Contactar
Contactar

Normativa de Seguridad

Versión: 1.0

Fecha de aprobación: 06/10/2025

Control de versiones

Versión

1.0

Autor

Equipo Consultor

Descripción

Política de Seguridad ENS

Fecha Entrega

Octubre 2025

Responsabilidades

Acción

Realizado por:

Revisado por:

Aprobado por:

Nombre

Equipo Interno

Equipo Interno

Dirección

Compañía

Seven Weeks

Soterguard

Soterguard

Fecha

Octubre 2025

Octubre 2025

Octubre 2025

Documentos de referencia

Documento

Artículo 12 Política de Seguridad

Comentario

BOE

Calificación del documento

Difusión

IN1 Interna

IN2 Clientes

IN3 Exterior

IN1

Seguridad

NL1 General

NL2 Restringido

NL3 Confidencial

NL2

Tabla de contenidos

1. Organización e implementación del proceso de seguridad (art.13)

Esta “Política de Seguridad de la Información” es efectiva desde su entrada en vigor el día 06 de octubre de 2025 por Soterguard.

La Política es revisada por el responsable de Seguridad de la Información a intervalos planificados, sin exceder el año de duración, o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

La seguridad de los sistemas de información deberá comprometer a todos los miembros de la organización, comunicándose de forma efectiva.

Los cambios sobre la Política de Seguridad de la Información serán aprobados por la Dirección de Soterguard. Cualquier cambio sobre la misma deberá ser difundido para conocimiento de toda la organización.

La dirección de la empresa es consciente del valor de la información y está profundamente comprometida con la política descrita en este documento.

2. Marco normativo

El marco normativo en materia de seguridad de la información en el que Soterguard desarrolla su actividad, esencialmente, es el siguiente:

• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

• Esquema Nacional de Seguridad (ENS), artículo 12: Organización e implantación del proceso de seguridad.

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos), de aplicación al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).

• Guía de Seguridad de las TIC CCN-STIC 805 (ENS): Política de seguridad de la información.

• Guía de Seguridad de las TIC CCN-STIC 801 (ENS): Responsabilidades y funciones.

• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).


• UNE-ISO/IEC 27001.

3. Responsabilidades

El propósito de esta Política de Seguridad de la Información es proteger la información de los servicios de Soterguard.

SoterGuard ha nombrado un Comité de Seguridad con sus Funciones y Responsabilidades.

El Comité de Seguridad de la Información está formado por:

  • Responsable de Seguridad
  • Responsable de Sistemas
  • Responsable de la Información
  • Responsable del Servicio
  • Delegado de Protección de Datos (DPD)

Se deben identificar unos claros responsables para velar por su cumplimiento y ser conocida por todos los miembros de la organización. Se detallarán en la SG_Aceptación de Roles y Funciones_v1 de la organización las atribuciones de cada responsable.

Los nombramientos los establece la Dirección de la organización y se revisan [cada 2 años] o cuando un puesto queda vacante. Las diferencias de criterios que pudiesen derivar en un conflicto se tratarán en el seno del Comité de Seguridad y prevalecerá en todo caso el criterio de la Dirección ejecutiva.

4. Localización de los Procedimiento de Seguridad

De acuerdo con lo establecido anteriormente se ha desarrollado un documento denominado Inventario de Procedimientos de Seguridad “SG_Inventario de Procedimientos_v1” donde se encuentran desarrollados la mayoría de los procedimientos que se usan actualmente.

5. Uso correcto de los Equipos

Soterguard facilita a los usuarios los equipos informáticos necesarios para el desarrollo de su actividad profesional.

Por lo que, los datos, dispositivos, programas y servicios informáticos que Soterguard pone a disposición de los usuarios deben utilizarse para el desarrollo de las funciones encomendadas, es decir, para fines profesionales.

Cualquier uso de los recursos con fines distintos a los autorizados está estrictamente prohibido.

En general, el ordenador personal (PC) será el recurso informático que permitirá el acceso de los usuarios a los Sistemas de Información y servicios informáticos de Soterguard, constituyendo un elemento fundamental en la cadena de seguridad de los sistemas de información, razón por la que es necesario adoptar una serie de precauciones y establecer políticas y procedimientos internos y controles de seguridad (ver apartado 5 de este documento de seguridad) para su adecuada utilización.

Este epígrafe concierne específicamente a todos los equipos informáticos facilitados y configurados por Soterguard para su utilización por parte de los usuarios, incluyendo equipos de sobremesa y portátiles con capacidades de acceso a los Sistemas de Información de Soterguard.

Los medios informáticos de cualquier tipo facilitados por Soterguard a los usuarios están exclusivamente dedicados a ser utilizados como herramienta de trabajo para el desarrollo de las funciones profesionales encomendadas, y en consecuencia no pueden ser utilizados para fines particulares o ajenos al interés de Soterguard.

Los equipos informáticos serán asignados por el Responsable de Sistemas.

Existirá un inventario actualizado de estos activos. El Responsable de Sistemas será el encargado de gestionar dicho inventario. Donde a cada nuevo usuario que se incorpore a Soterguard, el Responsable de Sistemas le facilitará un ordenador personal debidamente configurado y con acceso a los servicios y aplicaciones necesarias para el desempeño de sus competencias profesionales.

Para el alta de nuevos usuarios, se requerirá, como mínimo:

  • Nombre, apellidos
  • Área a la que se incorpora.
  • Servicios a los que requiere acceso.
  • Aplicaciones y perfiles.

 

Se tolera la utilización con fines privados de los recursos informáticos cuando esta sea puntual y razonable y vinculada a las necesidades de la vida corriente y familiar.  Es responsabilidad de cada persona un uso profesional y responsable de los recursos informáticos de Soterguard. El hecho de su eventual utilización en ámbitos ajenos al lugar de trabajo no modifica dicho principio. En la misma línea, el acceso a aplicaciones o servicios informáticos en horario de trabajo sólo es admisible para fines estrictamente laborales/profesionales.

Únicamente el personal autorizado por el Responsable de Sistemas podrá distribuir, instalar o desinstalar software y hardware, o modificar la configuración de cualquiera de los equipos, especialmente en aquellos aspectos que puedan repercutir en la seguridad de los Sistemas de Información del Soterguard. Cuando se precise instalar dispositivos no provistos por Soterguard deberá solicitarse autorización previa al Responsable de Sistemas. Para ello, el Responsable de Sistemas definirá los diferentes procedimientos que se usen en Soterguard, dejando evidencia escrita de la manera de proceder.

Está prohibido alterar, sin la debida autorización, cualquiera de los componentes físicos o lógicos de los equipos informáticos y dispositivos de comunicación, salvo autorización expresa del Responsable de Sistemas. En todo caso, estas operaciones sólo podrán realizarse por el personal de soporte técnico autorizado.

Salvo autorización expresa del Responsable de Sistemas, los usuarios no tendrán privilegio de administración sobre los equipos.

Los usuarios deberán facilitar al personal de soporte técnico el acceso a sus equipos para labores de reparación, instalación o mantenimiento. Este acceso se limitará únicamente a las acciones necesarias para el mantenimiento o la resolución de problemas que pudieran encontrarse en el uso de los recursos informáticos y de comunicaciones, y finalizará completado el mantenimiento o una vez resueltos aquellos.

Los ordenadores personales de Soterguard deberán mantener actualizados los parches de seguridad de todos los programas que tengan instalados. Se deberá prestar especial atención a la correcta actualización, configuración y funcionamiento de los programas antivirus.

Cada equipo deberá estar asignado a un usuario o grupo de usuarios concreto. Tales usuarios son responsables de su correcto uso. El buen uso de los activos de Soterguard está definido en la correspondiente política interna de la organización, la cual han de leer todos los usuarios y firmar, dejando evidencia de que han comprendido el uso y restricciones de los activos y posibles sanciones derivadas.

El usuario deberá participar en el cuidado y mantenimiento del equipo que tiene asignado, detectando la ausencia de cables y accesorios, y dando cuenta al Responsable de Sistemas de tales circunstancias.

El usuario debe ser consciente de las amenazas provocadas por malware. Muchos virus y troyanos requieren la participación de los usuarios para propagarse, ya sea a través de, memorias USB, mensajes de correo electrónico o instalación de programas descargados desde Internet. Es imprescindible, por tanto, vigilar el uso responsable los equipos para reducir este riesgo. Por este motivo en Soterguard está controlado y vigilado el uso de memorias USB a través de la una directiva desde Intune.

El cese de actividad de cualquier usuario debe ser comunicado de forma inmediata al Responsable de Sistemas, para darle de baja en el sistema de información de Soterguard y será el responsable de RRHH quien se encargue de retirar los recursos informáticos que tuviese asignados. Así mismo, cuando los medios informáticos o de comunicaciones proporcionados por Soterguard estén asociados al desempeño de un determinado puesto o función, la persona que los tenga asignados tendrá que devolverlos inmediatamente a la unidad responsable cuando finalice su vinculación con dicho puesto o función.

Las altas y bajas de personal de Soterguard que conlleven la activación o baja de usuario, credenciales, otorgación de activos, etc, es recogida en el correspondiente procedimiento escrito “SG_Gestión de Personal y SG_Control de Accesos_v1”, definiendo las fases de dichos procesos.

Soterguard podrá efectuar controles sistemáticos y/o aleatorios para comprobar la naturaleza y frecuencia de dichos accesos, y su justificación profesional/laboral. La utilización para otros fines podrá considerarse como conducta merecedora de sanción disciplinaria.

Las medidas de supervisión y control que la empresa pueda llevar a cabo para constatar genérica o puntualmente el correcto uso de los medios informáticos por parte de los empleados deberán observar el necesario respeto a la intimidad del trabajador, de acuerdo con las características de cada caso.

6. Normas específicas para equipos portátiles

Los equipos portátiles serán asignados por el Responsable de Sistemas.

Existirá un inventario actualizado de los equipos portátiles. El departamento de TI será el encargado de gestionar dicho inventario.

Este tipo de dispositivos estará bajo la custodia del usuario que los utilice. El usuario del equipo deberá adoptar las medidas necesarias para evitar daños o sustracción, así como el acceso a ellos por parte de personas no autorizadas.

La sustracción de estos equipos se ha de poner inmediatamente en conocimiento del Responsable de Seguridad para la adopción de las medidas que correspondan y a efectos de baja en el inventario.

Los equipos portátiles deberán utilizarse únicamente para fines institucionales, especialmente cuando se usen fuera de las instalaciones de Soterguard.

Los usuarios de estos equipos se responsabilizarán de que no serán usados por terceras personas ajenas a Soterguard o no autorizadas para ello.

En general, los equipos portátiles no deberán conectarse directamente a redes externas públicas.

En casos debidamente justificados y previamente autorizados por el Responsable de Sistemas se podrá hacer uso de conexiones alternativas, observando estrictas medidas de seguridad en cuanto a la navegación en Internet y el resto de los preceptos de la presente Normativa General que resulten de aplicación.

Los usuarios de equipos portátiles una vez integrados en la plataforma de Intune tendrán revisiones periódicas a la red de Soterguard, según las instrucciones proporcionadas por el Responsable de Sistemas, para permitir la actualización de aplicaciones, sistema operativo, y demás medidas de seguridad.

Cuando la tipología de la información tratada lo requiera, los ordenadores portátiles afectados deberán cifrar el disco duro, disponer de software que garantice un arranque seguro, así como mecanismos de auditoría capaces de crear un registro por cada fichero extraído del sistema por cualquier medio (red, dispositivos extraíbles, impresoras, etc.).

Cuando se modifiquen las circunstancias profesionales que originaron la entrega de un activo, el usuario lo devolverá al área de TI, para proceder al borrado seguro de la información almacenada y restaurar el equipo a su estado original para que pueda ser asignado a un nuevo usuario.

7. Uso eficiente de equipos y recursos informáticos

Dentro de las medidas de austeridad y reducción del gasto de SoterGuard, se promueven las siguientes acciones para un uso más eficiente de los medios tecnológicos puestos a disposición de los usuarios.

Apagar el PC, al finalizar la jornada laboral. Esta medida obedece tanto a razones de seguridad como de eficiencia energética.

Imprimir únicamente aquellos documentos que sean estrictamente necesarios. La impresión se hará, preferiblemente, a doble cara y evitando, siempre que sea posible, la impresión en color

Se optará por usar las impresoras en red antes que las locales.

Puesto que los recursos de almacenamiento en red son limitados, es preciso hacer un uso responsable de los mismos y almacenar únicamente aquella información que sea estrictamente necesaria.

8. Instalación de Software

Únicamente el personal técnico autorizado por el Responsable de Sistemas podrá instalar software en los equipos informáticos o de comunicaciones de los usuarios. La solicitud de instalación habrá de hacerse al Responsable de Sistemas a través de la creación de un Ticket en la plataforma expresamente habilitada.

En los casos en que un usuario esté autorizado a ser el propio administrador de su PC, éste sólo se podrá instalar/desinstalar las aplicaciones acordadas en su solicitud inicial. Cualquier otro tipo de software que necesite debe solicitarlo igualmente al Responsable de Sistemas.

No se podrá instalar o utilizar software que no disponga de la licencia correspondiente o cuya utilización no sea conforme con la legislación vigente en materia de Propiedad Intelectual.

Se prohíbe terminantemente la reproducción, modificación, transformación, cesión, comunicación o uso fuera del ámbito de Soterguard de los programas y aplicaciones informáticas instaladas en los equipos que pertenecen a Soterguard.

En ningún caso se podrán eliminar o deshabilitar las aplicaciones informáticas instaladas por el área de TI, especialmente aquellas relacionadas con la seguridad.

9. Acceso a los sistemas de información y a los datos tratados

Los datos gestionados por Soterguard y tratados por cualquier Sistema de Información de este deben tener asignado un responsable, que será el encargado de conceder, alterar o anular la autorización de acceso a dichos datos por parte de los usuarios.

El alta de los usuarios será comunicada al Responsable de Sistemas. Para acceder a los recursos informáticos es necesario tener asignada previamente una cuenta de usuario y estar dado de alta.

La autorización del acceso establecerá el perfil necesario con el que se configuren las funcionalidades y privilegios disponibles en las aplicaciones según las competencias de cada usuario, adoptando una política de asignación de privilegios mínimos necesarios para la realización de las funciones encomendadas*.

El buen uso de la cuenta de usuario es responsabilidad del usuario. En caso de mala utilización se podrá desactivar la cuenta por el Responsable de Sistemas.

Los usuarios tendrán autorizado el acceso únicamente a aquella información y recursos que precisen para el desarrollo de sus funciones. El acceso a la información será personal y las credenciales de acceso, intransferibles.

Cuando un usuario deje de atender un PC durante [5] minutos, la sesión de usuario se bloqueará automáticamente para evitar que ninguna persona pueda hacer un mal uso de sus credenciales, pudiendo llegar a suplantarlo.

Deberá salvaguardar cualquier información, documento, soporte informático, dispositivo de almacenamiento extraíble, etc., que pueda contener información confidencial o protegida frente a posibles revelaciones o robos de terceros no autorizados. Por razones de seguridad, el PC de un usuario se bloqueará automáticamente tras un periodo de inactividad de [5] minutos.

La baja de los usuarios será comunicada al responsable de sistemas, para proceder a la eliminación efectiva de los derechos de acceso y los recursos asignados al mismo.

* Como se define en el apartado 7 de Normas generales de este documento.

10. Identificación y autenticación

Los usuarios dispondrán de un código de usuario (user-id) y una contraseña (password) para el acceso a los Sistemas de Información de Soterguard , y son responsables de la custodia de los mismos y de toda actividad relacionada con el uso de su acceso autorizado. El código de usuario es único para cada persona en Soterguard , intransferible e independiente del PC o terminal desde el que se realiza el acceso.

En la asignación de la contraseña al usuario se utilizará un procedimiento que garantice la confidencialidad e integridad, comunicándosela de manera que ninguna otra persona pueda tener acceso a la misma.

El sistema almacenará las contraseñas cifradas, con el objeto de garantizar la confidencialidad e integridad de las mismas.

Los usuarios no deben revelar o entregar, bajo ningún concepto, sus credenciales de acceso a otra persona, ni mantenerlas por escrito a la vista o al alcance de terceros.

Los usuarios no deben utilizar ningún acceso autorizado de otro usuario, aunque dispongan de la autorización de su titular.

Si un usuario tiene sospechas de que sus credenciales están siendo utilizadas por otra persona, debe proceder inmediatamente a comunicar al Responsable de Seguridad la correspondiente incidencia de seguridad.

La generación de las primeras contraseñas de los usuarios de acceso al sistema de información y al resto de aplicaciones, las realiza, bajo la supervisión del Responsable de Seguridad, el Responsable de Sistemas, comunicándoselas de modo confidencial al usuario.

Una vez recibida sus primeras claves, el usuario debe cambiarlas por sí mismo, de modo que sólo serán conocidas por él.

En cualquier caso, el sistema exigirá a los usuarios para que las contraseñas de acceso al sistema de información, por ellos elegidas, cumplan las siguientes características:

  • Deben tener un mínimo de (8] caracteres.
  • Deben contener tres (3) de las siguientes cuatro (4) opciones, al menos;
  • Una letra mayúscula,
  • Una letra minúscula,
  • Un número,
  • Un carácter especial.

 

Los sistemas que realicen la identificación del usuario garantizarán que la introducción de la contraseña y su representación en pantalla, en el momento de la autenticación, se efectúan en un formato no legible para el resto de los usuarios.

Después de validado el usuario, transcurridos [5] minutos sin que se realice ninguna operación, se bloqueará su sesión y será necesario introducir de nuevo la contraseña.

Si, en un momento dado, un usuario recibiera una llamada telefónica solicitándole su nombre de usuario y contraseña, nunca facilitará dichos datos y procederá a comunicar este hecho al Responsable de Seguridad, de forma inmediata.

11. Confidencialidad de las contraseñas

Cada identificador y contraseña debe ser tratado por los usuarios como información confidencial, personal e intransferible y no podrán ser revelados a terceras personas, ni siquiera a compañeros de trabajo.

En caso de que la confidencialidad de una contraseña pudiera verse comprometida, se deberá poner esta circunstancia en conocimiento del Responsable de Seguridad.

Si un usuario necesita acceder a datos o correos electrónicos a los que no tenga acceso, debe comunicarlo al Responsable de Sistemas, quien, si lo considera justificado, podrá facilitarle el acceso, bajo la supervisión del Responsable de Seguridad. En ningún caso dos usuarios podrán compartir sus contraseñas para acceder de manera conjunta a los datos de carácter personal.

12. Almacenamiento de las contraseñas

No está permitido a los usuarios apuntar los identificadores y contraseñas, ni en papel ni en soporte electrónico.

Las contraseñas se almacenan en formato ininteligible en el sistema informático donde se realiza la autenticación de usuarios, en cada caso.

13. Renovación periódica de contraseñas

Las contraseñas del usuario de acceso al sistema de información son renovadas cada 360 días. A tal fin, cuando corresponde el cambio de la contraseña, el sistema informático envía un mensaje al equipo del usuario indicándole la fecha límite para modificar su clave, de tal modo que, de no ser cambiada en ese plazo, el correspondiente usuario quedaría deshabilitado.

14. Limitación de intentos reiterados de acceso al sistema

El sistema de usuario y contraseñas de acceso al sistema de información de los usuarios se bloquea cada vez que alguien intenta reiteradamente el acceso no autorizado al mismo.

Se considera que existe un intento reiterado de acceso no autorizado cuando alguien introduzca (5) o más veces un nombre de usuario o contraseña erróneos o falsos para acceder al sistema. (Configuración por defecto Microsoft Entra ID).

15. Uso del correo electrónico corporativo

El correo electrónico corporativo es una herramienta de mensajería electrónica centralizada, puesta a disposición de los usuarios de Soterguard, para el envío y recepción de correos electrónicos mediante el uso de cuentas de correo corporativas.

Se trata de un recurso compartido por todos los usuarios de Soterguard, por lo que un uso indebido del mismo repercute de manera directa en el servicio ofrecido a todos.

Por ello, se dictan las siguientes normas de uso:

  • Todos los usuarios que lo precisen para el desempeño de su actividad profesional dispondrán de una cuenta de correo electrónico. Este correo, única y exclusivamente, será utilizado para la realización de las funciones encomendadas al usuario, evitando el uso privado del mismo.
  • Solamente se podrán utilizar las herramientas y programas de correo electrónico suministrados, instalados y configurados por Soterguard.
  • Se deberá notificar al Responsable de Sistemas o al Responsable de Seguridad cualquier tipo de anomalía detectada, así como los correos no deseados (spam) que se reciban, a fin de configurar adecuadamente las medidas de seguridad.
  • Se prestará especial atención a los emails recibidos evitando abrir ni ejecutar ficheros de fuentes no fiables, puesto que podrían contener virus o código malicioso. En caso de duda se deberá notificar esta al Responsable de Seguridad.
  • Está terminantemente prohibido suplantar la identidad de un usuario de internet, correo electrónico o cualquier otra herramienta colaborativa.
  • Los datos de conexión y tráfico se guardarán en un registro durante el tiempo que establezca la normativa vigente en cada supuesto para su verificación y monitorización. En ningún caso esta retención de datos afectará al secreto de las comunicaciones.
  • Los usuarios deben evitar correos electrónicos innecesarios con el fin de no recargar el tráfico interno de los servidores de Soterguard.
  • Cuando se envíe un e-mail a varios destinatarios simultáneamente, para evitar que las direcciones de correo electrónico de cada uno de ellos sean visibles para los demás, dichas direcciones se incluirán siempre en el campo “CCO” (con copia oculta) y nunca en el campo “Para”, ni en el campo “CC” (con copia). Además, se deberá de asegurar que los destinatarios de emails que se deban reenviar sean los apropiados.
  • Evitar, en la medida de lo posible, el uso ineficiente en los envíos de correo: agrupar los envíos a múltiples destinatarios en un solo mensaje, evitar la incorporación de firmas escaneadas, imágenes y fondos como formato habitual de los correos (ya que incrementan innecesariamente el tamaño y volumen de estos), envíos innecesarios, etc.

16. Acceso a internet y otras herramientas de colaboración

El acceso a Internet es un recurso centralizado que Soterguard pone a disposición de los usuarios, como herramienta necesaria para el acceso a contenidos y recursos de Internet y como apoyo al desempeño de su actividad profesional.

Soterguard velará por el buen uso del acceso a Internet, tanto desde el punto de vista de la eficiencia y productividad del personal, como desde los riesgos de seguridad asociados a su uso. Por ello, se dictan las siguientes normas de uso:

  • El acceso a Internet para fines personales debe limitarse y, de ser absolutamente necesario, sólo debe utilizarse un tiempo razonable, que no interfiera en el rendimiento profesional ni en la eficiencia de los recursos informáticos corporativos.
  • Deberá notificarse al responsable de seguridad cualquier anomalía detectada en el uso del acceso a Internet, así como la sospecha de posibles problemas o incidentes de seguridad relacionados con dicho acceso.

17. Uso indebido de los equipos

Las siguientes actuaciones están explícita y especialmente prohibidas:

El envío de correos electrónicos con contenido inadecuado, ilegal, ofensivo, difamatorio, inapropiado o discriminatorio por razón de sexo, raza, edad, discapacidad, que contengan programas informáticos (software) sin licencia, que vulneren los derechos de propiedad intelectual de los mismos, de alerta de virus falsos o difusión de virus reales y código malicioso, o cualquier otro tipo de contenidos que puedan perjudicar a los usuarios, identidad e imagen corporativa y a los propios sistemas de información de Soterguard.

El acceso a un buzón de correo electrónico distinto del propio y el envío de correos electrónicos con usuarios distintos del propio.

La difusión de la cuenta de correo del usuario en listas de distribución, foros, servicios de noticias, etc., que no sean consecuencia de la actividad profesional del usuario.

Responder mensajes de los que se tenga sospechas sobre su autenticidad, confiabilidad y contenido, o mensajes que contengan publicidad no deseada.

La utilización del correo corporativo como medio de intercambio de ficheros especialmente voluminosos sin autorización, y el envío de información sensible, confidencial o protegida.

La utilización del correo corporativo para recoger correo de buzones que no pertenezcan a Soterguard o el reenvío automático del correo corporativo a buzones ajenos a Soterguard. Para ello se necesitará la autorización expresa del responsable de seguridad.

Los mensajes espontáneos dirigidos a todos los miembros de Soterguard. De nuevo, la interferencia en el tráfico de correo de Soterguard justifica esta medida, así como evitar la generación de un encadenamiento de respuestas. Si se considera que el asunto merece y exige la difusión general, el responsable de seguridad analizará previamente la pertinencia del envío masivo.

También quedan prohibidas las siguientes actuaciones:

  • La descarga de programas informáticos sin la autorización previa del responsable de sistemas o ficheros con contenido dañino que supongan una fuente de riesgos para Soterguard. En todo caso debe asegurarse que el sitio Web visitado es confiable.
  • El acceso a recursos y páginas-web, o la descarga de programas o contenidos que vulneren la legislación en materia de Propiedad Intelectual.
  • La utilización de aplicaciones o herramientas (especialmente, el uso de programas de intercambio de información, P2P) para la descarga masiva de archivos, programas u otro tipo de contenido (música, películas, etc.) que no esté expresamente autorizada por el responsable de sistemas

Asimismo, están terminantemente prohibidos los siguientes comportamientos:

  • Utilización de cualquier tipo de software dañino.
  • Conexión a la red informática corporativa de cualquier equipo o dispositivo no facilitado por Soterguard, sin la previa autorización del Responsable de Sistemas.
  • Utilización de conexiones y medios inalámbricos con tecnologías WiFi, Bluetooth o infrarrojos que no estén debidamente autorizados por el Responsable de Sistemas.
  • Utilización de dispositivos USB, teléfonos móviles u otros elementos, como acceso alternativo a Internet, salvo autorización expresa del Responsable de Sistemas.
  • Instalación y/o utilización de programas o contenidos que vulneren la legislación vigente en materia de Propiedad Intelectual. Este comportamiento estará sometido a las previsiones disciplinarias, administrativas, civiles o penales descritas en las leyes.
  • El uso de Internet, del correo electrónico y el acceso al resto de los servicios y sistemas de Soterguard estará debidamente controlado para todos los usuarios. Si se hiciese un uso abusivo o inapropiado de estos servicios, Soterguard podrá adoptar las medidas disciplinarias que considere oportunas, sin perjuicio de las acciones civiles o penales a las que hubiere lugar.
  • El uso abusivo de los accesos a Internet es otra de las principales preocupaciones de Soterguard por eso quedan prohibidas:
  • Acceso a otras redes, con el propósito de violar su integridad o seguridad.

Acceso a contenidos no relacionados con los fines profesionales del usuario, tales como:

  • Acceder, recuperar o visualizar textos o gráficos que excedan los límites de la ética.
  • Almacenar en el puesto de trabajo del usuario o en los servidores de Soterguard archivos personales, salvo autorización previa del Responsable de Sistemas.
  • Utilizar Internet para el uso de mensajería instantánea para fines no profesionales.
  • Transferencia de ficheros no relativa a las actividades profesionales del usuario (tales como juegos, ficheros de sonido, fotos, videos o películas, etc.).
  • Realizar cualquier actividad de promoción de intereses personales.
  • Publicación o envío de información no solicitada, o sensible, confidencial, protegida o propiedad de Soterguard, a personas, empresas o sistemas de información externos no autorizados. En este sentido, los usuarios se comprometen a garantizar la privacidad de estos datos y contraseñas de acceso, así como a evitar la difusión de estos.
  • Publicación o envío de mensajes a través de Internet que contengan amenazas, ofensas o imputación de hechos que puedan lesionar la dignidad personal y, en general, la utilización del servicio de Internet de manera ilegal o infringiendo cualquier norma interna que pudiera resultar de aplicación.

Asimismo, se considera incorrecto utilizar el correo electrónico para fines distintos a los derivados de las actividades profesionales del usuario, especialmente:

  • Intercambiar contenidos (textos o gráficos) que excedan los límites de la ética.
  • Transferencia de ficheros ajena a las actividades profesionales del usuario (como: software sin licencia, ficheros de sonido, fotos y videos, gráficos, virus, código malicioso, etc.).
  • Realizar cualquier actividad con intereses personales.
  • Usar la cuenta de correo de Soterguard para enviar mensajes o cartas en cadena y/o correos basura o spam (correo electrónico no solicitado).
  • Usar cualquier cuenta de correo de Soterguard para enviar mensajes que contengan amenazas, ofensas o imputación de hechos que puedan lesionar la dignidad personal y, en general, la utilización del correo electrónico de manera ilegal o infringiendo cualquier norma que pudiera resultar de aplicación.
  • Revelar a terceros el contenido de cualquier dato reservado o confidencial propiedad de Soterguard o de terceros, salvo que tal actuación fuera realizada en cumplimiento de fines estrictamente profesionales con el previo consentimiento de los afectados.
  • En general, se considera inapropiado tener acceso a servicios y/o contenidos de Soterguard con el propósito de violar su integridad o seguridad, así como las acciones realizadas desde una cuenta de usuario o desde una cuenta de correo electrónico de usuario son responsabilidad de su titular.

Soterguard implantará los sistemas de protección de acceso a los sistemas que considere necesario, para evitar que se produzcan incidentes relacionados con el abuso de estos servicios.

18. Compromisos de los usuarios

Es responsabilidad directa del usuario:

  1. Custodiar las credenciales que se le proporcionen y seguir todas las recomendaciones de seguridad que elabore el Responsable de Seguridad, para garantizar que no puedan ser utilizadas por terceros. Deberá cerrar su cuenta al terminar la sesión o bloquear el equipo cuando lo deje desatendido.
  2. En el caso de que su equipo contenga información sensible, confidencial o protegida, esta deberá cumplir todos los requisitos legales aplicables y las medidas de protección que la normativa de Soterguard establezca al respecto.
  3. Además de lo anterior, no se podrá acceder a los recursos informáticos y telemáticos de Soterguard para desarrollar actividades que persigan o tengan como consecuencia:
    • El uso intensivo de recursos de proceso, memoria, almacenamiento o comunicaciones, para usos no profesionales.
  • La degradación de los servicios.
  • La destrucción o modificación no autorizada de la información, de manera premeditada.
  • La violación de la intimidad, del secreto de las comunicaciones y del derecho a la protección de los datos personales.
  • El deterioro intencionado del trabajo de otras personas.
  • El uso de los sistemas de información para fines ajenos a los Soterguard, salvo aquellas excepciones que contempla la presente Normativa.
  • Dañar intencionadamente los recursos informáticos de Soterguard o de otras instituciones.
  • Incurrir en cualquier otra actividad ilícita, del tipo que sea.

19. Incumplimiento de la normativa

En el supuesto de que en un usuario se observe alguno de los preceptos señalados en la presente Normativa General, sin perjuicio de las acciones disciplinarias y administrativas que procedan y, en su caso, las responsabilidades legales correspondientes, se podrá acordar la suspensión temporal o definitiva del uso de los recursos informáticos asignados a tal usuario.

Todos los usuarios de Soterguard están obligados a cumplir lo prescrito en la presente Normativa General de Utilización de los Recursos y Sistemas de Información.

Soterguard, por motivos legales, de seguridad y de calidad del servicio, y cumpliendo en todo momento los requisitos que al efecto establece la legislación vigente:

  • Revisará periódicamente el estado de los equipos, el software instalado, los dispositivos y redes de comunicaciones de su responsabilidad.

  • Monitorizará los accesos a la información contenida en sus sistemas.

  • Auditará la seguridad de las credenciales y aplicaciones.

  • Monitorizará los servicios de internet, correo electrónico y otras herramientas de colaboración.

Soterguard llevará a cabo esta actividad de monitorización sin utilizar sistemas o programas que pudieran atentar contra los derechos constitucionales de los usuarios, tales como el derecho a la intimidad personal y al secreto de las comunicaciones, manteniéndose en todo momento la privacidad de la información manejada, salvo que, por requerimiento legal e investigación sobre un uso ilegitimo o ilegal, sea necesario el acceso a dicha información, salvaguardando en todo momento los derechos fundamentales de los usuarios.

En los sistemas que se detecte un uso inadecuado o que no cumplan los requisitos mínimos de seguridad, podrán ser bloqueados o suspendidos temporalmente. El servicio se restablecerá cuando la causa de su inseguridad o degradación desaparezca.

El Responsable de Seguridad, con la colaboración de las restantes unidades de Soterguard, velará por el cumplimiento de la presente Normativa General e informará al comité de seguridad sobre los incumplimientos o deficiencias de seguridad observados, para que se tomen las medidas oportunas.

El sistema que proporciona el servicio de correo electrónico podrá, de forma automatizada, rechazar, bloquear o eliminar parte del contenido de los mensajes enviados o recibidos en los que se detecte algún problema de seguridad o de incumplimiento de la presente Normativa. Se podrá insertar contenido adicional en los mensajes enviados con objeto de advertir a los receptores de estos de los requisitos legales y de seguridad que deberán cumplir en relación con dichos correos.

El sistema que proporciona el servicio de navegación podrá contar con filtros de acceso que bloqueen el acceso a páginas web con contenidos inadecuados, programas lúdicos de descarga masiva o páginas potencialmente inseguras o que contengan virus o código dañino.

Igualmente, el sistema podrá registrar y dejar traza de las páginas a las que se ha accedido, así como del tiempo de acceso, volumen y tamaño de los archivos descargados. El sistema permitirá el establecimiento de controles que posibiliten detectar y notificar al responsable de seguridad sobre usos prolongados e indebidos del servicio.

Las faltas cometidas por los trabajadores al servicio de las empresas reguladas por el Convenio de Soterguard, se clasificarán atendiendo a su importancia, reincidencia e intención, en leves, graves y muy graves.

Faltas leves:

  • Incumplimiento de las Políticas de Seguridad, y de uso de dispositivos tecnológicos que provoquen amenazas para la Organización.
  • Apreciación de mala fe en materia de seguridad informática
  • Incumplimiento de las obligaciones exigibles en nuestro Sistema de Gestión.
  • Discusiones que repercutan en la buena marcha de los servicios
  • Asistir al trabajo bajo los efectos del alcohol o drogas

Faltas graves:

  • El uso fraudulento de la información de la empresa
  • Daños informáticos con intención de causar daño
  • Corrupción entre particulares en el ámbito empresarial
  • La reincidencia en faltas leves


Faltas muy graves:

  • Falsear datos
  • Utilizar la influencia personal en el ámbito empresarial para obtener favores
  • Financiación ilegal de partidos políticos
  • El acoso sexual
  • La reincidencia en faltas graves

Sanciones

  • Todas las sanciones, tipología, duración y prescripción de las mismas, Soterguard se acoge a lo establecido en el convenio de trabajo.

20. Referencia documental

  • Políticas de Seguridad ISO 27001

  • SG_Política de Seguridad

  • SG_Inventario de Procedimientos

  • SG_Gestión del Personal

  • SG_Gestión de Incidentes

  • SG_Control de Accesos

  • SG_Proceso de Autorización

21. Aprobación del documento

Documento: Política de Seguridad
Estado: Aprobado
Firmado: