Saltar al contenido

    § Seguridad de la información

    Última actualización

    19 de diciembre de 2025

    Política de seguridad de la información

    1. Introducción

    La información se ha convertido en uno de los principales activos de nuestra organización, y es por ello que cuidarla y protegerla se convierte en un objetivo absolutamente prioritario.

    Es parte de nuestra estrategia, a partir de ahora, mantener la seguridad de la información como un elemento crítico y fundamental. Este reto se multiplica en exigencia e importancia si lo aplicamos a un entorno tan específico y crítico como el nuestro, donde el tratamiento y la gestión segura de la información se imponen como una necesidad para competir y mejorar en el futuro.

    NAVILENS Y NAVILENS PROJECTS CORP. (en adelante NAVILENS Y NAVILENS PROJECT CORPS.) depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información tratada o los servicios prestados.

    El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

    Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad cómo el estándar internacional ISO27001, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

    Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

    Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 7 del ENS.

    1.1 Prevención

    Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, los departamentos deben:

    • Autorizar los sistemas antes de entrar en operación.
    • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
    • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

    1.2 Detección

    Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS. La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

    1.3 Respuesta

    Los departamentos deben:

    • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
    • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
    • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

    1.4 Recuperación

    Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

    2. Objeto y alcance

    El propósito de esta Política de alto nivel es definir el objetivo, dirección, principios y reglas básicas para la gestión de la seguridad de la información.

    Esta Política se aplica a todo el Sistema de gestión de seguridad de la información (SGSI) y a todos los empleados de NAVILENS Y NAVILENS PROJECTS CORP. Y extensible a terceras partes que realicen tratamientos de información propiedad de NAVILENS Y NAVILENS PROJECTS CORP.

    La Política de Seguridad se aplica a toda la empresa y a sus activos de información:

    • A todos los departamentos, tanto a sus directivos como a empleados.
    • A los contratistas, clientes o cualquier otra tercera parte que tenga acceso a la información o los sistemas de la organización.
    • A bases de datos, ficheros electrónicos y en soporte papel, tratamientos, equipos, soportes, programas y sistemas.
    • A la información generada, procesada y almacenada, independientemente de su soporte y formato, utilizada en tareas operativas o administrativas.
    • A la información cedida dentro de un marco legal establecido, que será considerada como propia a efectos exclusivos de su protección.
    • A todos los sistemas utilizados para administrar y gestionar la información, sean propios o alquilados o licenciados por la misma.

    3. Referencias y marco normativo

    La gerencia de NAVILENS Y NAVILENS PROJECT CORPS. se asegura de que la documentación de origen externo que resulta de interés para el funcionamiento de la empresa es conocida por los empleados de la empresa que lo necesitan y es mantenida actualizada y disponible en todo momento.

    Para ello se utilizan los medios definidos en este documento y los procedimientos que lo desarrollan.

    En cuanto a normas aplicadas para formalizar los diferentes procedimientos de Seguridad establecidos se han seguido los criterios de las siguientes normas internacionales:

    • Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. UNE-ISO/IEC 27001
    • Tecnología de la información. Técnicas de seguridad. Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. UNE-ISO/IEC 27002
    • Exigencias de partes interesadas

    De forma adicional se crea el registro «SGSI84_RE07_ Registro Normativa aplicable» para nutrir de toda la información, enlaces de interés e información relacionada con la Normativa aplicada. A continuación se crea un estracto de la normativa aplicable general:

    • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD), relativo a la protección de datos personales y a la libre circulación de los mismos, que establece principios como la licitud, transparencia, minimización, seguridad y responsabilidad proactiva.
    • Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que complementa el RGPD e incorpora derechos como la desconexión digital y la protección frente al uso de datos biométricos.
    • Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE), que regula los servicios digitales, la utilización de cookies y las comunicaciones comerciales electrónicas.
    • Ley 31/1995, de Prevención de Riesgos Laborales, que establece el marco legal para la seguridad y salud de los trabajadores.
    • Real Decreto 39/1997, por el que se aprueba el Reglamento de los Servicios de Prevención, que regula la organización y funcionamiento de los servicios de prevención.
    • Orden TIN/2504/2010, que desarrolla el Reglamento de los Servicios de Prevención en lo relativo a la acreditación de entidades especializadas y la actividad de auditoría.
    • Ley 10/2010, de prevención del blanqueo de capitales y de la financiación del terrorismo, que establece obligaciones de diligencia debida, formación, comunicación de operaciones y control interno.
    • Real Decreto 304/2014, por el que se aprueba el Reglamento de desarrollo de la Ley 10/2010, detallando los procedimientos, controles y medidas exigibles.
    • Real Decreto Legislativo 2/2015, por el que se aprueba el texto refundido del Estatuto de los Trabajadores, que regula los derechos y deberes laborales.
    • Real Decreto-ley 28/2020, de trabajo a distancia, que regula el teletrabajo y sus condiciones.
    • Real Decreto Legislativo 8/2015, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social, que recoge las prestaciones y derechos en materia de cotización y cobertura.
    • Orden ESS/86/2015, que desarrolla las normas de cotización a la Seguridad Social, protección por cese de actividad, Fondo de Garantía Salarial y formación profesional.
    • Reforma Laboral de 2021, que introduce cambios en la contratación temporal, subcontratación, negociación colectiva y estabilidad laboral.
    • Derecho a la desconexión digital, reconocido legalmente como el derecho del trabajador a no atender dispositivos fuera del horario laboral.
    • Real Decreto Legislativo 1/1996, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, que regula los derechos de autor y la protección de obras originales.
    • Ley 17/2001, de Marcas, que regula el registro y la protección de signos distintivos en el mercado.
    • Ley Orgánica 10/1995, del Código Penal, aplicable especialmente en delitos informáticos, revelación de secretos, daños a sistemas y responsabilidad penal de la persona jurídica.
    • Código de Comercio, que regula los actos mercantiles, obligaciones contables y relaciones comerciales.
    • Ley 1/2010, de Sociedades de Capital, que regula la constitución, funcionamiento y disolución de las sociedades mercantiles.
    • Ley 3/2004, de medidas de lucha contra la morosidad en operaciones comerciales, que establece plazos de pago y medidas para prevenir la morosidad.
    • Constitución Española de 1978, especialmente el artículo 18, que protege el honor, la intimidad personal y familiar y la propia imagen, así como la protección de datos personales.
    • Ley 14/2011, de la Ciencia, la Tecnología y la Innovación, que promueve la investigación, el desarrollo tecnológico y la innovación.
    • Ley 38/2003, General de Subvenciones, y su Reglamento aprobado por Real Decreto 887/2006, que regulan el régimen jurídico de las ayudas y subvenciones públicas, obligaciones de justificación y control.
    • Real Decreto-ley 12/2018, de seguridad de redes y sistemas de información, no aplicable a la empresa según su ámbito actual.

    ITS (Instrucciones Técnicas de Seguridad) ENS:

    • ITS de Auditoría de la Seguridad de los Sistemas de Información por la Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública (BOE núm. 81, de 3 de abril de 2018).
    • ITS de Conformidad con el ENS por la Resolución de 13 de octubre de 2016, del Secretario de Estado de Administraciones Públicas (BOE-A-2016-10109).
    • ITS de Informe del Estado de la Seguridad por la Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas (BOE-A-2016-10108).
    • ITS de Notificación de Incidentes de Seguridad por la Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública (BOE núm. 95, de 19 de abril de 2018).

    De acuerdo al Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad se articula el sistema de gestión de seguridad de la información al que la organización se compromete a través de la presente política garantizando que se han atendido todos y sin excepción los siguientes requisitos de seguridad:

    • Organización e implantación del proceso de seguridad.
    • Análisis y gestión de los riesgos.
    • Gestión de personal.
    • Profesionalidad.
    • Autorización y control de los accesos.
    • Protección de las instalaciones.
    • Adquisición de productos de seguridad y contratación de servicios de seguridad.
    • Mínimo privilegio.
    • Integridad y actualización del sistema.
    • Protección de la información almacenada y en tránsito.
    • Prevención ante otros sistemas de información interconectados.
    • Registro de la actividad y detección de código dañino.
    • Incidentes de seguridad.
    • Continuidad de la actividad.
    • Mejora continua del proceso de seguridad.

    4. Organización de la Seguridad

    4.1 Comités: funciones y responsabilidades

    Se conforma un comité de seguridad, cuyos miembros y mails quedan reservados de esta publicación por motivos de seguridad. No obstante, será comunicado en la intranet, así como puede ser compartido con partes interesadas bajo demanda.

    Existe una lista de distribución de correo llamada comiteseguridad@navilens.com para responder a cualquier necesidad interna/externa en la seguridad de la información.

    Cada responsable de su área podrá modificar y adecuar documentos o procedimientos que sean de su competencia sin la aprobación expresa del resto del comité, siempre y cuando estas modificaciones no alteren de manera significativa el funcionamiento del SGSI. En cualquier caso, el comité debe ser informado de estas modificaciones.

    A continuación, se enumeran cuáles son las funciones y responsabilidades del Comité de seguridad.

    • La coordinación de la Seguridad de la Información (SI) asegurando que se cumpla con la Política de Seguridad en la Información, aprobando metodologías, procedimientos e instrucciones técnicas en materia de protección de seguridad en la información, y estableciendo una cultura de concienciación en Seguridad en la Información en toda la organización.
    • Adoptará o propondrá la adopción de medidas necesarias para que el personal conozca las normas en materia de seguridad que afectan al desarrollo de sus funciones y de las consecuencias en que pudieran incurrir en caso de incumplimiento.
    • Actualizará la documentación del SGSI y la adecuará a la normativa vigente.
    • Será el órgano consultivo para establecer nuevas medidas relacionadas con la seguridad de la información y protección de datos.
    • Adoptar o proponer la adopción a la Dirección, de las medidas correctoras como consecuencia de las deficiencias detectadas en un proceso de auditoría y así como las aprobadas por la Dirección.
    • Supervisar el cumplimiento de los procedimientos establecidos para autorizar el uso de dispositivos móviles y el teletrabajo.
    • Supervisar que se mantiene, según los procedimientos que se establezcan, una relación del personal con acceso a datos personales, una relación del personal autorizado para conceder, anular o alterar los derechos de acceso, conforme con los criterios establecidos y una relación del personal con acceso autorizado a los lugares donde se almacenan soportes y documentos.
    • Promover la información y asesorar a la organización y al personal empleado que se ocupen del tratamiento de las obligaciones que les incumben en materia de protección de datos y SI.
    • Supervisar el cumplimiento de lo dispuesto en la normativa aplicable, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
    • Supervisar el correcto mantenimiento y actualización de los Registros de Actividades de Tratamiento y otros soportes documentales para el cumplimiento de la legislación RGPD.

    4.2 Roles: funciones y responsabilidades

    Dirección ejecutiva. Participa en la elaboración de objetivos y mediciones. Aprueba las políticas. Aprueba las revisiones por dirección del SGSI. Valida las conclusiones de las auditorías de sistemas. La dirección ejecutiva establece el organigrama de la organización que contiene más funciones y roles de los que se especifican aquí. En esta política detallamos los responsables relacionados con la seguridad de la información.

    Responsable de seguridad.

    • Promover la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información, con la responsabilidad y autoridad para asegurarse de que el Sistema de Gestión de la Seguridad de la Información cumple con los requisitos del Esquema Nacional de Seguridad.
    • Supervisar el cumplimiento de la presente Política, de sus normas, procedimientos derivados y de la configuración de seguridad de los sistemas.
    • Establecer las medidas de seguridad, adecuadas y eficaces para cumplir los requisitos de seguridad establecidos por los Responsables del Servicio y de la Información, siguiendo en todo momento lo exigido en el Anexo II del ENS, declarando la aplicabilidad de dichas medidas.
    • Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad.
    • Realizar la coordinación y seguimiento de la implantación de los proyectos de adecuación a la norma ENS, en colaboración con el Responsable de Sistemas.
    • Realizar con la colaboración del Responsable del Sistema, los preceptivos análisis de riesgos, de seleccionar las salvaguardas a implantar y de revisar el proceso de gestión del riesgo. Asimismo, junto al Responsable del Sistema, aceptar los riesgos residuales calculados en el análisis de riesgos.
    • Promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información y analizar los informes de auditoría, elaborando las conclusiones a presentar al Responsable del Sistema para que adopte las medidas correctoras adecuadas.
    • Coordinar el proceso de Gestión de la Seguridad, en colaboración con el Responsable de Sistemas.
    • Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y las medidas de seguridad que deben aplicarse de acuerdo con lo previsto en el Anexo II del ENS.
    • Verificar que las medidas de seguridad son adecuadas para la protección de la información y los servicios.

    Responsable del sistema.

    • Desarrollar, operar y mantener el sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
    • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
    • Realizar ejercicios y pruebas sobre los procedimientos operativos de seguridad y los planes de continuidad existentes.
    • Implantar las medidas necesarias para garantizar la seguridad del sistema durante todo su ciclo de vida, de acuerdo con el Responsable de Seguridad.
    • Realizar con la colaboración del Responsable de Seguridad, los preceptivos análisis de riesgos, de seleccionar las salvaguardas a implantar y de revisar el proceso de gestión del riesgo. Asimismo, junto al Responsable de Seguridad, aceptar los riesgos residuales calculados en el análisis de riesgos.
    • Elaborar en colaboración con el Responsable de Seguridad, la documentación de seguridad de tercer nivel (Procedimientos Operativos STIC e Instrucciones Técnicas STIC).
    • La aplicación de los procedimientos operativos de seguridad.
    • Asegurar que los controles de seguridad establecidos son cumplidos estrictamente, así como asegurar que son aplicados los procedimientos aprobados para manejar el sistema de información.
    • Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
    • Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.
    • Informar a los respectivos Responsables de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
    • Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.

    Responsable de protección de datos.

    • Informar y asesorar al responsable de la información y a sus empleados de las obligaciones que les incumben en relación al RGPD y otras disposiciones de protección de datos.
    • Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
    • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.
    • Cooperar con la autoridad de control.
    • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

    Responsable del servicio.

    • Establecer los requisitos del servicio en materia de seguridad, incluyendo los requisitos de interoperabilidad, accesibilidad y disponibilidad.
    • Determinar los niveles de seguridad del servicio, de acuerdo con el Responsable de Seguridad y el Responsable del Sistema.
    • Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad.

    Responsable de la información.

    • Velar por el buen uso de la información y, por tanto, de su protección.
    • Establecer los requisitos de la información en materia de seguridad.
    • Determinar los niveles de seguridad de la información tratada, valorando las consecuencias de un impacto negativo.

    Usuarios y empleados.

    • Cumplir la política de seguridad de la información y las normas, procedimientos e instrucciones complementarias.
    • Proteger y custodiar la información de la empresa, evitando la revelación, emisión al exterior, modificación, borrado o destrucción accidental o no autorizadas o el mal uso independientemente del soporte o medios por el que haya sido accedida o conocida.
    • Conocer y aplicar la Política de Seguridad de la Información, las Normas de Uso de los Sistemas de Información y el resto de las políticas, normas, procedimientos y medidas de seguridad aplicables.

    4.3 Procedimientos de designación

    El responsable de Seguridad de la Información será nombrado por la Dirección a propuesta del Comité de Seguridad. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante. El Departamento responsable de un servicio que se preste electrónicamente de acuerdo a la ley 39/2015 (Ley del Procedimiento Administrativo Común) y la Ley 40/2015 (Régimen Jurídico del Sector Público) designará al Responsable del Sistema, precisando sus funciones y responsabilidades dentro del marco establecido por esta Política.

    4.4 Política de seguridad de la información

    El Comité de Seguridad de la Información es el encargado de construir y mantener la Política de Seguridad de la Información, si bien, es la Dirección de NAVILENS Y NAVILENS PROJECTS CORP. la responsable de la aprobación y publicación de dicha Política, así como de distribuirla a todos los empleados y terceros afectados.

    Cualquier cambio o evolución que afecte o pudiera afectar al contenido de la Política de Seguridad de la Información quedará registrado en una nueva firma del documento de aprobación. De esta forma se concreta y confirma el compromiso de estas entidades por la seguridad de la información.

    Periódicamente, y en todo caso no superando el plazo de un año, se revisará la vigencia y razonabilidad de la presente política y se llevarán a cabo las mejoras, adaptaciones o modificaciones requeridas en función de los cambios organizativos, técnicos o regulatorios aplicables.

    4.5 Distribución de la Política de Seguridad

    La distribución de la política de seguridad se distribuirá de las siguientes formas en función del grupo de interés al que se dirija:

    Personal y directivos de la empresa NaviLens. La distribución de la política de seguridad se realizará mediante correo electrónico. Para asegurar que se recibe se firmará un acuse de recibo del documento correspondiente.

    Clientes, partners, proveedores y restantes grupos de interés: la política de seguridad se le incluirá como un apartado de la página web de la empresa (www.navilens.com), donde podrán consultarla en cualquier momento.

    4.6 Nivel de seguridad de la información

    La Organización cuenta con una política «SGSI05_PO02- Politica de clasificacion, etiquetado y manejo de la informacion», en la que se define el sistema de clasificación, los criterios de asignación basados en naturaleza, sensibilidad, impacto y requisitos legales, así como los controles asociados a cada nivel.

    La organización cuenta con un procedimiento de categorización del sistema formalmente definido en base a la Guía CCN-STIC 803: Valoración de los sistemas mediante el cual se concluye que SGSI192_PR029-Procedimiento de categorización del sistema: «De acuerdo con el Real Decreto 311/2022, de 3 de mayo y las directrices de la Guía CCN-STIC 803, la categoría de un sistema se determina por el mayor nivel de las dimensiones evaluadas (Confidencialidad, Integridad, Disponibilidad, Trazabilidad y Autenticidad) en todos los servicios y la información asociada.

    En este caso:

    • Se identifican dimensiones en nivel alto, siendo la máxima a seguir. Por ende se realiza una adecuación a ENS nivel alto.
    • Por tanto, según el ENS, la categoría del sistema es Alto, lo que implica que se deben implementar las medidas de seguridad correspondientes a dicha categoría recogidas en el Anexo II del ENS.»

    5. Sanciones

    Cualquier violación premeditada o negligente de las políticas y normas de seguridad y que suponga un potencial daño, consumado o no a NAVILENS Y NAVILENS PROJECTS CORP., será sancionada de acuerdo con los mecanismos habilitados en el convenio de Empresa y en la normativa legal, contractual y corporativa vigentes.

    Todas las acciones en las que se comprometa la seguridad de NAVILENS Y NAVILENS PROJECTS CORP. y que no estén previstas en esta política, deberán ser revisadas por la Dirección Ejecutiva y por el responsable de Seguridad de la Información para dictar una resolución sujetándose al criterio de la empresa y la legislación prevista.

    Las acciones disciplinarias en respuesta a los incumplimientos de la Política de Seguridad de la Información son atribución de la Dirección Ejecutiva de NAVILENS Y NAVILENS PROJECTS CORP. y de los órganos de gobierno según la legislación aplicable.

    Existe un canal de denuncias y un protocolo de gestión de incidencias puesto a disposición de los trabajadores a través del cual cualquier miembro de la empresa puede comunicar una posible incidencia o incumplimiento al comité de seguridad o al responsable de seguridad.

    Dicha infracción y la sanción correspondiente será comunicada al infractor por un miembro de dirección mediante correo electrónico con solicitud de confirmación de recepción.

    6. Misión

    Como respuesta a un nuevo entorno tecnológico donde la convergencia entre la informática y las comunicaciones están facilitando un nuevo paradigma de productividad para las empresas, NAVILENS Y NAVILENS PROJECTS CORP., está altamente comprometido con mantener la Promoción de proyectos de investigación, desarrollo tecnológico e innovación, en un entorno de calidad, donde el desarrollo de buenas prácticas en Seguridad de la Información es fundamental para conseguir los objetivos de disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad y legalidad de toda la información gestionada. En consecuencia, a lo anterior, NAVILENS Y NAVILENS PROJECTS CORP., define los siguientes principios de aplicación a tener en cuenta en el marco del Sistema de Gestión de Seguridad de la Información (SGSI):

    La Dirección de NAVILENS Y NAVILENS PROJECTS CORP., entiende su deber de garantizar la seguridad de la información como elemento esencial para el correcto desempeño de los servicios de la organización, y, por tanto, soporta los siguientes objetivos y principios:

    • Implementar el valor de la Seguridad de la Información en el conjunto de la Organización.
    • Contribuir, todas y cada una de las personas de NAVILENS Y NAVILENS PROJECTS CORP., a la protección de la Seguridad de la Información.
    • Preservar la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad y resiliencia de la información, con el objetivo de garantizar que se cumplan los requisitos legales, normativos, y de nuestros clientes, relativos a la seguridad de la información; y de forma específica en lo que respecta a datos de carácter personal:
    • Los datos serán tratados de manera lícita, leal y transparente en relación con el interesado (Licitud, lealtad y transparencia).
    • Serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (Limitación de la finalidad).
    • Los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (Minimización de datos).
    • Los datos deberán ser exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (Exactitud).
    • Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos (Limitación del plazo de conservación).
    • Tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (Integridad y confidencialidad).

    Esta Política será mantenida, actualizada y adecuada a los fines de la Organización, alineándose con el contexto de gestión de riesgos de esta. A este efecto se revisará a intervalos planificados o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

    De igual forma, para gestionar los riesgos que afronta NAVILENS Y NAVILENS PROJECTS CORP se establece un procedimiento de evaluación de riesgos formalmente definido. Por su parte, todas las políticas y procedimientos incluidos en el SGSI serán revisados, aprobados e impulsados por la Dirección Ejecutiva de NAVILENS Y NAVILENS PROJECTS CORP.

    • Proteger los activos de la información de NAVILENS Y NAVILENS PROJECTS CORP. de amenazas, ya sean internas o externas, deliberadas o accidentales, con el objetivo de garantizar la continuidad del servicio ofrecido a nuestros clientes y la seguridad de la información.
    • Establecer un Plan de seguridad de la información que integre las actividades de prevención y minimización del riesgo de los incidentes de seguridad en base a los criterios de gestión del riesgo establecidos por NAVILENS Y NAVILENS PROJECTS CORP.
    • Proporcionar los medios necesarios para poder realizar las actuaciones pertinentes de cara a la gestión de los riesgos identificados.
    • Asumir la responsabilidad en materia de concienciación y formación en materia de seguridad de la información como medio para garantizar el cumplimiento de esta política.
    • Extender nuestro compromiso con la seguridad de la información a nuestro personal trabajador y proveedores.
    • Mejorar continuamente la seguridad mediante el establecimiento y seguimiento periódico de objetivos de seguridad de la información.

    7. Gestión de Riesgos

    Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

    • regularmente, al menos una vez al año;
    • cuando cambie la información manejada;
    • cuando cambien los servicios prestados;
    • cuando ocurra un incidente grave de seguridad;
    • cuando se reporten vulnerabilidades graves.

    Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

    8. Desarrollo de la Política de Seguridad de la Información

    Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos, así como con otras políticas complementarias. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

    9. Obligaciones del personal

    Todos los miembros de NAVILENS Y NAVILENS PROJECT CORPS. Y NAVILENS PROJECTS CORP. tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados. Todos los miembros de NAVILENS Y NAVILENS PROJECT CORPS. Y NAVILENS PROJECTS CORP. atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de la organización, en particular a los de nueva incorporación. Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

    La Seguridad de la Información es un esfuerzo conjunto, por ello requiere la implicación y participación de todos los miembros de la organización que trabajan con los Sistemas de Información de la organización. Por ello, cada empleado debe cumplir los requerimientos de la Política de Seguridad y su documentación asociada.

    Los empleados que deliberadamente o por negligencia incumplan la Política de Seguridad serán sujetos a acciones disciplinarias según se contempla en este documento.

    9.1 Definición de Responsables de la Información

    Información de Clientes. Responsable: Dirección Comercial. Funciones: garantizar la exactitud, el uso adecuado y la actualización de la información de clientes. Seguridad: el Responsable de Seguridad de la Información (RSI) vela por su protección conforme a la clasificación establecida. Acceso: acceso permitido únicamente al personal autorizado, bajo compromisos de confidencialidad y siguiendo el principio de necesidad de conocer.

    Información Financiera. Responsable: Dirección Financiera. Funciones: asegurar la integridad, disponibilidad y veracidad de la información contable, fiscal y presupuestaria. Acceso: limitado al personal autorizado, aplicando el principio de mínimo privilegio. Seguridad: el RSI verifica la aplicación de controles adecuados (cifrado, segregación de funciones, trazabilidad de accesos).

    Información de Recursos Humanos (RRHH). Responsable: Dirección de RRHH. Funciones: gestionar y custodiar los datos personales de las personas empleadas conforme a GDPR y LOPDGDD. Acceso: restringido al equipo de RRHH y a responsables específicamente autorizados. Seguridad: el RSI supervisa que existan controles reforzados dada la naturaleza sensible de estos datos.

    Información de Desarrollo / I+D / Código Fuente. Responsable: Dirección Técnica (CTO) o la persona responsable del área de Desarrollo. Funciones: proteger el código fuente, algoritmos, diseños y documentación técnica. Acceso: restringido al personal técnico autorizado; se aplican controles de autenticación y gestión segura de repositorios. Seguridad: el RSI garantiza medidas de protección, separación de entornos y prevención de fugas de información.

    Información Operativa y de Proyectos. Responsable: Área de Operaciones o la persona responsable del proyecto. Funciones: mantener actualizada la documentación operativa, de proyectos y entregables. Acceso: autorizado únicamente al personal involucrado en cada proyecto. Seguridad: el RSI garantiza controles para prevenir accesos no autorizados.

    Información de Marketing y Comunicación. Responsable: Área de Marketing. Funciones: gestionar los contenidos corporativos internos y externos. Acceso: personal de marketing y dirección, según corresponda. Seguridad: el RSI verifica que no se difunda información sensible accidentalmente.

    Información de Seguridad y Sistemas. Responsable: Área de Seguridad de la Información / Área de Sistemas. Funciones: gestionar y custodiar logs, configuraciones, políticas y registros sensibles. Acceso: limitado al personal específicamente autorizado. Seguridad: controles reforzados, auditorías periódicas y salvaguardas frente a accesos indebidos.

    10. Terceras partes

    La presente Política de Seguridad es de extensible conocimiento y cumplimiento para cualquier persona externa perteneciente a terceras entidades que realice cualquier tipo de tratamiento sobre la información propiedad de NAVILENS Y NAVILENS PROJECTS CORP.

    Cuando NAVILENS Y NAVILENS PROJECT CORPS. Y NAVILENS PROJECTS CORP. preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad. Cuando NAVILENS Y NAVILENS PROJECT CORPS. Y NAVILENS PROJECTS CORP. utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que atañe a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política. Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

    11. Aprobación y Vigencia

    El presente documento ha sido aprobado por la Dirección, con vigencia a partir del 19 de diciembre de 2025.