POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1. OBJETO Y ALCANCE
Esta Política de Seguridad de la Información, establece el marco organizativo y técnico para garantizar la protección de la información tratada, almacenada y transmitida por SOLUCIONES TECNOLÓGICAS DE INFORMACIÓN, COMUNICACIÓN Y SEGURIDAD, S.L.(en adelante METAPROTEC), en la realización de proyectos y prestación de servicios en las áreas de ciberseguridad, ciberinteligencia, diseño y desarrollo de software, implantación e integración de sistemas informáticos y soporte técnico y gestión de servicios de clientes, así como el cumplimiento del Esquema Nacional de Seguridad (ENS) en su categoría Media y de la normativa aplicable en materia de protección de datos, servicios digitales y propiedad de la información.


El objeto de esta Política es establecer el marco estratégico que regula la Seguridad de la Información en METAPROTEC, definiendo principios, roles y compromisos para garantizar:

  • La protección de los activos de información conforme a su valor e importancia.
  • El cumplimiento del Esquema Nacional de Seguridad (ENS) en categoría Media.
  • El cumplimiento normativo (se detalla en el apartado 2).
  • Garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.
  • Gestionar los riesgos identificados de manera diligente.
  • Preservar la privacidad de clientes, empleados, proveedores y terceras partes.
  • Garantizar el cumplimiento de los requisitos aplicables, y en especial los legales.
  • Mejorar continuadamente el sistema de seguridad de la información.


Esta Política aplica a:

  • Todo el personal de METAPROTEC, independientemente de su tipo de contrato; así como a terceros y proveedores con acceso a sistemas o información de METAPROTEC.
  • Todos los sistemas de información, redes, dispositivos, infraestructura on-premise o cloud utilizados para la prestación de los servicios.
  • Todos los servicios gestionados o prestados por METAPROTEC.
  • Toda la información tratada por METAPROTEC, incluyendo los datos personales y no personales y cualquier otra información sensible relacionada con los servicios prestados.


La política es de obligado cumplimiento y no cumplirla puede derivar en acciones disciplinarias, contractuales o legales.


2. MARCO NORMATIVO Y REFERENCIAS DE SEGURIDAD
La organización se compromete a cumplir con toda la legislación, regulaciones y normas aplicables en materia de seguridad de la información, ciberseguridad y protección de datos. En particular, esta Política de Seguridad se enmarca en los siguientes referentes:
Política de Seguridad de la Información – Público 5


2.1 Legislación y regulación aplicable

  • Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad.
  • Reglamento (UE) 2016/679 (RGPD) Y Ley Orgánica 3/2018 (LOPDGDD) de Protección de Datos Personales y Garantía de Derechos Digitales.
  • Ley 34/2002 (LSSI-CE) de Servicios de la Sociedad de la Información.
  • Ley 40/2015 de Régimen Jurídico del Sector Público y Ley 39/2015 de Procedimiento Administrativo Común.
  • Ley 6/2020, de servicios electrónicos de confianza.
  • Ley 10/2021, de trabajo a distancia.
  • Real Decreto Legislativo 1/1996 y Ley 2/2019, de Propiedad Intelectual.
  • Real Decreto Legislativo 2/2015, Estatuto de los Trabajadores.
  • Ley 9/2017, de Contratos del Sector Público (cuando sea aplicable).


2.2 Normativa técnica ENS y guías CCN-STIC

  • Instrucciones Técnicas de Seguridad del ENS.
    • Normativa de Accesos
    • Normativa de Contraseñas y Autenticación
    • Normativa de Uso Aceptable
    • Normativa de Hardening
    • Normativa de Copias de Seguridad
    • Normativa de Logs y Monitorización
    • Normativa de Incidentes
    • Normativa de Teletrabajo
    • Normativa de Relación con Proveedores
    • Normativa de Protección de Datos
    • Procedimientos específicos ENS
  • Guías CCN-STIC: 801, 804, 805, 808, 817, 819, 822, 830, 882, 883.

 

2.3 Buenas prácticas internacionales

  • ISO/IEC 27001:2022.
  • ISO/IEC 27002:2022.
  • ISO/IEC 27005:2022.
  • ISO 22301 (Continuidad).
  • NIST Cybersecurity Framework.
  • OWASP (ASVS/MASVS) cuando aplique.


3. PRINCIPIOS DE SEGURIDAD DEL ENS
Se asumen los principios básicos de seguridad recogidos en el ENS y en los estándares internacionales:

  • Enfoque integral y basado en la gestión del riesgo: La seguridad se gestiona como un proceso continuo e integral que abarca factores tecnológicos, humanos, físicos y organizativos. Se realiza un análisis y gestión permanente de los riesgos para
    mantenerlos en niveles aceptables, aplicando medidas de seguridad proporcionales a la naturaleza de la información y los servicios.
  • Prevención, detección, respuesta y corrección: Se implementan controles preventivos para reducir la probabilidad de incidentes, mecanismos de vigilancia continua para detectar actividades anómalas, y procedimientos de respuesta y recuperación oportuna ante incidentes, asegurando la conservación y disponibilidad de los datos y servicios esenciales.
  • Multicapa y mínima exposición: La protección se articula en múltiples líneas de defensa (medidas organizativas, físicas y lógicas). Se aplica el principio de mínimo privilegio, de forma que cada usuario o sistema sólo tiene los accesos imprescindibles, reduciendo la superficie de exposición.
  • Diferenciación de responsabilidades: Se separan claramente las funciones de decisión sobre la información, la prestación del servicio, la gestión de la seguridad y la administración de los sistemas. Esta separación evita conflictos de intereses y asegura controles independientes (por ejemplo, el responsable de seguridad no coincide jerárquicamente con el responsable del sistema).
  • Concienciación y profesionalidad: La Dirección promueve una cultura de seguridad, asegurando que todos los miembros de la organización conocen esta Política y reciben formación adecuada. Se fomenta la profesionalización del personal en seguridad, estableciendo responsabilidades claras, capacitación continua y mecanismos para evitar que la falta de conocimientos o sensibilización genere riesgos.
  • Legalidad y cumplimiento: Todos los procesos de seguridad se realizan dentro del marco legal aplicable y respetando los derechos de las personas. Se incluyen controles específicos para proteger datos personales y garantizar su uso legítimo.
  • Mejora continua: La organización se compromete con la mejora continua de la seguridad. Se revisan periódicamente las medidas, controles y procedimientos para adaptarlos a la evolución de los riesgos, las tecnologías y las necesidades del negocio. Los sistemas de información son reevaluados y actualizados de forma regular, aplicando ajustes o rediseños cuando sea necesario para mantener la eficacia de la protección.

 

4. ORGANIZACIÓN DE LA SEGURIDAD Y ROLES RESPONSABLES

  • La Alta Dirección de METAPROTEC asume la responsabilidad última de la seguridad de la información en la empresa aprobando, firmando y publicando esta política de seguridad, para conocimiento de todos los interesados.
  • La Dirección demuestra su liderazgo proporcionando los recursos necesarios y apoyando las iniciativas de seguridad, asegurándose de que la seguridad se integra en todos los procesos de negocio.
  • Asimismo, ha establecido una estructura organizativa específica para la gestión de la seguridad, designando roles con funciones y responsabilidades definidas. Conforme a lo exigido por el ENS e ISO 27001, se nombran los siguientes roles de seguridad en la organización:
    • Responsable de la Información: Persona o Área, encargada de determinar los requisitos de seguridad de la información que se gestiona. Decide sobre la clasificación de la información y las necesidades de protección de los datos tratados en los servicios de METAPROTEC. Autorizando los accesos a información crítica.
    • Responsable del Sistema: Persona o Área, encargada de determinar los requisitos de seguridad de los servicios prestados. Asegura que la prestación de
      los servicios, cumplan con las políticas de seguridad definidas. Aprueba los cambios relevantes.
    • Responsable de Seguridad (CISO): Persona o Área, encargada de definir las decisiones necesarias para satisfacer los requisitos de seguridad de la información y de los servicios. Supervisa la implantación de las medidas de seguridad y controla que se cumplan los controles establecidos. Coordina la gestión de los incidentes de seguridad. Mantiene el análisis de riesgos, proponiendo mejoras al SGSI y coordina las auditorías internas del ENS. Es el referente principal en materia de ciberseguridad, informa a la Dirección y al Comité de Seguridad sobre el estado de la seguridad y los incidentes relevantes. En cumplimiento del principio de independencia, el responsable de la seguridad es distinto del responsable del sistema tecnológico, evitando una subordinación jerárquica directa.
    • Responsable del Servicio: Persona o Área, encargada de gestionar la seguridad en la explotación técnica de los sistemas de información. Implementa las medidas de seguridad en los sistemas (servidores, redes, aplicaciones SOC, dispositivos de señalización, etc.) y supervisa su operación diaria, así como la continuidad del servicio. Puede delegar tareas en administradores de sistemas u operadores, pero manteniendo la responsabilidad sobre el cumplimiento de las medidas.
    • Delegado de Protección de Datos (DPD o DPO): Supervisa la correcta aplicación de las políticas de protección de datos personales dentro de la empresa, asesorando en el cumplimiento del RGPD/LOPD y monitorizando los riesgos asociados al tratamiento de datos personales. Este rol garantiza que los riesgos para los datos personales se evalúan y mitigan dentro del SGSI de la organización.
    • Administradores y personal técnico: Ejecutan las medidas de seguridad en los sistemas. Mantienen las configuraciones, parches y registros. Documentando la gestión del cambio en los sistemas y las evidencias de cumplimiento del ENS.
    • Usuarios del sistema: Todo empleado de METAPROTEC tiene responsabilidades individuales de seguridad: debe cumplir las políticas, proteger la información a su alcance e informar de posibles incidentes o vulnerabilidades que detecte.


5. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN.
METAPROTEC constituirá un Comité de Seguridad de la Información encargado de la gestión y coordinación global de la seguridad en la organización. Este Comité actúa como el máximo órgano decisor en materia de seguridad de la información dentro de la compañía, con las siguientes características y responsabilidades:

  • Composición: El Comité estará integrado, al menos, por los titulares de los roles de seguridad clave: Responsable de la Información, Responsable del Servicio, Responsable de la Seguridad (quien, normalmente, presidirá las sesiones técnicas), Responsable del Sistema y un representante de la Alta Dirección (Director General o equivalente).
    El Delegado de Protección de Datos será invitado cuando los temas a tratar tengan que ver con su área de responsabilidad.
    Se pueden incluir otros miembros según convenga, como responsables de departamentos relevantes (IT, RRHH, Legal) o asesores externos en seguridad, garantizando una visión multidisciplinar.
  • Funciones principales: Aprobar las estrategias y planes de seguridad, incluyendo esta Política y las normativas de desarrollo. Tomar decisiones sobre inversiones y recursos en seguridad. Revisar periódicamente el estado del sistema de gestión de seguridad (SGSI), los resultados de análisis de riesgos, auditorías e incidentes ocurridos. Proponer mejoras y asegurarse de la implementación de controles necesarios para cumplir con ENS e ISO 27001. Además, el Comité gestiona las designaciones de los responsables de seguridad (nombramiento, renovación o cese en los roles) y dirime cualquier conflicto organizativo relacionado con la seguridad.
  • Régimen de reuniones: El Comité se reunirá de forma ordinaria con periodicidad trimestral, y de forma extraordinaria cuando la situación lo requiera (p.ej. tras un incidente grave de seguridad). De cada reunión se levantarán actas con los acuerdos y acciones a realizar.
  • Autonomía y autoridad: El Comité de Seguridad tiene la autoridad delegada por la Dirección para tomar decisiones ejecutivas en materia de seguridad, sin necesidad de aprobación de otros comités operativos de la empresa. Sus decisiones son de obligado cumplimiento.
    Reportará a la Alta Dirección, manteniéndola informada de los asuntos críticos y solicitando aprobación formal cuando sea preceptivo (por ejemplo, ante cambios mayores de esta Política o necesidad de inversiones extraordinarias).


La existencia de este Comité garantiza un gobierno de la seguridad eficiente, coordinando a las diferentes partes de la organización en la implementación del ENS y del SGSI. A través del Comité se asegura que la seguridad de la información se gestiona de forma transversal y alineada con los objetivos corporativos, dando cumplimiento al requisito de estructurar un órgano de coordinación de la seguridad tal como exige el ENS.


6. COMPROMISOS GENERALES DE METAPROTEC
La organización se compromete a:

  • Proteger la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.
  • Elaborar una normativa de clasificación de la información que garantice la protección en el nivel adecuado en base a su clasificación.
  • Mantener un análisis de riesgos activo y actualizado.
  • Implantar las medidas de seguridad establecidas en el perfil de cumplimiento ENS Nivel Medio.
  • Disponer de procesos documentados para accesos, incidencias, copias, cambios, vulnerabilidades y continuidad.
  • Realizar formación y concienciación periódica a todo el personal.
  • Gestionar incidentes de seguridad de acuerdo con CCN-STIC-882.
  • Garantizar la continuidad del negocio mediante planes y pruebas periódicas.
  • Supervisar a los proveedores que tengan acceso a información o sistemas críticos.


7. CUMPLIMIENTO Y AUDITORÍA
METAPROTEC:

  • Realizará auditorías internas periódicas.
  • Se someterá a auditorías externas ENS con la periodicidad exigida.
  • Mantendrá la Declaración de Aplicabilidad ENS (SoA) y la Matriz ENS de Trazabilidad.
  • Identificará y aplicará acciones correctivas cuando se detecten desviaciones.


8. REVISIÓN Y ACTUALIZACIÓN DE LA POLÍTICA
Esta Política será revisada:

  • Al menos una vez al año.
  • Tras incidentes graves.
  • Tras auditorías con hallazgos relevantes.
  • Cuando existan cambios normativos, tecnológicos o organizativos significativos.

 

Las revisiones serán aprobadas por la Dirección General y comunicadas a todo el personal.


9. APROBACIÓN
Firmado por: Dirección General – METAPROTEC

Última actualización: 13 de marzo de 2026

® Metaprotec es una marca registrada.

  • 645350663
  • info@metaprotec.com
  • Ciudad del Conocimiento C/ Miguel Manaute, s/n, 41704 Dos Hermanas, (Sevilla)

METAPROTEC

LEGAL