ENTRAR

Política de seguridad

Política de seguridad

1. APROBACIÓN Y ENTRADA EN VIGOR

La presente Política de Seguridad de la Información ha sido aprobada por Llorenç Solé, Gerente de WeTown, el día 02/04/2025, de conformidad con lo establecido en el artículo 12 del Real Decreto 311/2022.

Esta política será revisada anualmente o siempre que se produzcan cambios significativos en los servicios, estructura o normativa aplicable. 

2. INTRODUCCIÓN

Esta política establece las directrices generales de seguridad de la información en WeTown, en el marco del Esquema Nacional de Seguridad (ENS), aplicando los principios del Real Decreto 311/2022, del Reglamento General de Protección de Datos (RGPD), y demás normativa vigente. 

2.1. PREVENCIÓN 

WeTown, a través de sus responsables y departamentos, debe evitar o, en su caso, minimizar al máximo los impactos que puedan derivarse de incidentes de seguridad que afecten a la confidencialidad, integridad, disponibilidad, autenticidad o trazabilidad de la información y los servicios.

Con este objetivo, se implantan las medidas mínimas exigidas por el Esquema Nacional de Seguridad (ENS), así como controles adicionales identificados mediante el análisis de riesgos y amenazas, conforme al principio de proporcionalidad y mejora continua.

Para garantizar el cumplimiento de esta política, se establecen las siguientes acciones estructurales: 

  • Autorización formal de los sistemas TIC antes de su puesta en producción.

  • Evaluaciones de seguridad periódicas, incluyendo la revisión de cambios rutinarios de configuración.

  • Solicitud de auditorías y revisiones independientes por parte de terceros, con periodicidad planificada, como parte del ciclo de mejora.

Los controles establecidos, junto con los roles y responsabilidades de seguridad, estarán definidos y documentados conforme a la normativa interna y serán comunicados a todo el personal implicado.

2.2. DETECCIÓN 

La capacidad de detección temprana de incidentes es esencial para preservar los niveles de servicio y reducir el impacto de los eventos de seguridad. 

WeTown implementará mecanismos de monitorización continua sobre sus sistemas y servicios, para identificar de forma proactiva comportamientos anómalos, degradaciones de rendimiento o desviaciones frente a parámetros previamente establecidos como normales.

Se establecen las siguientes medidas: 

  • Monitorización sistemática de los sistemas y servicios en producción.

  • Registro y análisis de eventos relevantes, accesibles a los responsables de seguridad.

  • Definición de umbrales de alerta y mecanismos de reporte inmediato ante anomalías.

La información recopilada será tratada con criterios de integridad y trazabilidad, facilitando la correlación de eventos, la detección temprana de patrones y el soporte a procesos de respuesta. 

2.3. RESPUESTA 

Con el objetivo de actuar con rapidez ante incidentes de seguridad, se desarrollarán e implantarán protocolos específicos para la gestión eficiente y coordinada de los mismos.

Los departamentos deben: 

  • Establecer procedimientos formales de respuesta ante incidentes, integrados en el Sistema de Gestión de Seguridad de la Información.

  • Designar puntos de contacto responsables de coordinar internamente la respuesta y canalizar la comunicación con otros departamentos, organizaciones o autoridades.

  • Establecer canales de intercambio de información con organismos externos (CERT/CSIRT), como el INCIBE-CERT o el CCN-CERT, garantizando la bidireccionalidad, la trazabilidad y la confidencialidad.

Todo incidente será registrado, categorizado y tratado conforme a su nivel de criticidad, activándose los niveles de escalado y comunicación previstos.

2.4. RECUPERACIÓN 

WeTown garantizará la disponibilidad de los servicios críticos mediante el desarrollo de planes de continuidad tecnológica, integrados en su plan general de continuidad de negocio.

Estos planes incluirán: 

  • Identificación de activos y procesos críticos.

  • Definición de estrategias de respaldo y recuperación ante desastres (backup/restore, replicación, tolerancia a fallos, etc.).

  • Procedimientos de activación de los planes, incluyendo responsables, medios y tiempos de recuperación aceptables (RTO/RPO).

  • Pruebas regulares de los mecanismos definidos, con seguimiento de los resultados e incorporación de mejoras.

La recuperación de los servicios deberá minimizar el impacto sobre los usuarios y garantizar la restauración de la normalidad operativa en el menor tiempo posible.

3. ALCANCE

Esta política aplica a todos los sistemas de información, recursos tecnológicos, procesos, empleados, colaboradores y terceros de WeTown relacionados con la gestión y tratamiento de la información, en cualquier formato, que forme parte del Sistema de Información sujeto al ENS.

4. MISIÓN DE LA ORGANIZACIÓN [org.1.1]

WeTown tiene como misión ofrecer soluciones tecnológicas centradas en la participación y comunicación ciudadana y la transformación digital segura de comunidades y ayuntamientos, asegurando en todo momento la protección de la información y servicios prestados. 

5. MARCO NORMATIVO [org.1.2]

Las actividades de WeTown se desarrollan conforme al siguiente marco normativo:

  • Real Decreto 311/2022 (ENS)

  • RGPD (UE 2016/679)

  • Ley Orgánica 3/2018 (LOPDGDD)

  • Ley 39/2015 y Ley 40/2015

WeTown dispone de un procedimiento interno para identificar, registrar y actualizar toda la normativa aplicable en materia de seguridad y protección de datos.

6. ORGANIZACIÓN DE LA SEGURIDAD

6.1. COMITÉS: FUNCIONES Y RESPONSABILIDADES 

De acuerdo con la guía CCN-STIC 402, WeTown ha constituido un Comité de Seguridad de la Información como órgano colegiado encargado de coordinar, impulsar y supervisar las actividades de seguridad dentro del Sistema de Gestión de Seguridad de la Información. 

El Comité de Seguridad TIC está formado por: 

  • Llorenç Solé Borràs, Responsable del Servicio (CEO)

  • Daniel Fargas Alcántara, Responsable de la Información y del Sistema (CTO)

  • Antonio Martínez Cívico, Responsable de Seguridad (Ingeniero de Software)

El Secretario del Comité de Seguridad TIC será Antonio Martínez Cívico, que tendrá como funciones: 

  • Preparar las convocatorias y actas de las reuniones.

  • Coordinar la ejecución de las acciones acordadas por el comité.

  • Mantener actualizado el registro de acuerdos e incidencias.

El Comité de Seguridad TIC reporta directamente a la Dirección General de WeTown, representada por el CEO. 

Las funciones del Comité de Seguridad de la Información incluyen: 

  • Revisar y proponer la aprobación o modificación de la Política de Seguridad de la Información.

  • Supervisar la implantación de medidas técnicas y organizativas de seguridad.

  • Evaluar periódicamente los riesgos y su tratamiento.

  • Promover actividades de concienciación y formación en seguridad.

  • Proponer recursos y presupuestos necesarios para la mejora continua.

  • Evaluar incidentes relevantes e impulsar acciones correctivas.

6.2. ROLES: FUNCIONES Y RESPONSABILIDADES 

Según la guía CCN-STIC 801, se han designado formalmente los siguientes roles:

  • Responsable del Servicio (RSERV): 

Llorenç Solé Borràs (CEO)

Determina los requisitos de seguridad aplicables a los servicios prestados y acepta los niveles de riesgo residual asociados a dichos servicios.

  • Responsable de la Información (RINFO): 

Daniel Fargas Alcántara (CTO)

Determina los requisitos de seguridad de la información tratada, establece los niveles de seguridad y colabora en la clasificación de los activos.

  • Responsable de Seguridad de la Información (RSEG): 

Antonio Martínez Cívico

Define, coordina y supervisa el cumplimiento de las medidas de seguridad. Actúa como punto de contacto ante el CCN-CERT o autoridades competentes. Asesora al resto de roles y participa activamente en el Comité de Seguridad.

  • Responsable del Sistema (RSIS): 

Daniel Fargas Alcántara

Implementa las medidas de seguridad en el sistema, monitoriza su estado, aplica parches y configura los controles técnicos de seguridad. Puede delegar en administradores técnicos bajo su supervisión.

Nota: En caso de evolución de la estructura, se podrán designar Responsables Delegados de Seguridad que asumirán funciones específicas en coordinación con el RSEG. 

6.3. PROCEDIMIENTOS DE DESIGNACIÓN 

El Responsable de Seguridad de la Información (RSEG) será nombrado por la Dirección General de WeTown, a propuesta del Comité de Seguridad TIC. El nombramiento será válido por dos años, pudiendo renovarse o ser revocado por motivos justificados o cambios organizativos.

El Responsable del Sistema (RSIS) será designado por el área responsable del servicio TIC correspondiente, en cumplimiento de lo establecido en la Ley 11/2007 (actualmente derogada, pero integrada en la Ley 39/2015), debiendo documentarse su designación formal, funciones y responsabilidad.

Todos los responsables deben firmar un documento de aceptación del cargo y sus obligaciones, el cual se conservará en el expediente de Seguridad de la Información.

6.4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 

La revisión anual de esta Política de Seguridad de la Información es responsabilidad del Comité de Seguridad TIC. Esta revisión incluirá: 

  • Verificación de la adecuación a cambios tecnológicos, legales y organizativos.

  • Evaluación de resultados de auditorías, análisis de riesgos e incidentes de seguridad.

  • Actualización de las responsabilidades o medidas cuando proceda.

La versión actualizada será sometida a la aprobación de la Dirección General de WeTown, y difundida a todos los empleados y terceros implicados en el tratamiento de información o la prestación de servicios tecnológicos. 

7. DATOS DE CARÁCTER PERSONAL

WeTown trata datos de carácter personal en el desarrollo de sus actividades, tanto propios como de terceros (usuarios, clientes, colaboradores y empleados), por lo que se compromete a cumplir estrictamente con las obligaciones legales en materia de protección de datos personales.

La organización dispone de un Documento de Seguridad, de acceso restringido al personal autorizado, en el que se identifican los tratamientos realizados, los responsables asignados, las categorías de datos tratadas y las medidas de seguridad aplicadas en función de su naturaleza, criticidad y finalidad. 

Este documento recoge: 

  • Los ficheros y tratamientos realizados por WeTown, incluidos los realizados por encargo de terceros.

  • Las responsabilidades asignadas en relación con dichos tratamientos.

  • Las medidas técnicas y organizativas implementadas para garantizar los derechos y libertades de los interesados.

Todos los sistemas de información donde se realicen tratamientos de datos personales están clasificados y protegidos conforme a los niveles de seguridad establecidos por el Reglamento (UE) 2016/679 y la LOPDGDD, y alineados con las exigencias del Esquema Nacional de Seguridad (ENS). 

WeTown aplica el principio de responsabilidad proactiva, lo que implica:

  • La identificación y documentación de la base legal para cada tratamiento.

  • La aplicación de análisis de riesgos sobre los tratamientos y, en su caso, evaluaciones de impacto en protección de datos.

  • La designación de un punto de contacto de seguridad y, en caso necesario, un Delegado de Protección de Datos (DPD).

  • El mantenimiento actualizado del Registro de Actividades de Tratamiento (RAT) conforme al artículo 30 del RGPD.

  • La notificación, en caso de incidentes, a la Agencia Española de Protección de Datos

  • (AEPD) y a los afectados, si procede, en los plazos establecidos por la ley.

Todos los usuarios de sistemas TIC de WeTown reciben formación específica en protección de datos como parte del programa de concienciación y sensibilización en seguridad. 

8. GESTIÓN DE RIESGOS

Todos los sistemas de información sujetos al ámbito de aplicación de esta Política deberán someterse a un proceso sistemático de análisis y gestión de riesgos, con el objetivo de identificar, valorar y tratar las amenazas que puedan afectar a la seguridad de la información y los servicios.

El análisis de riesgos evaluará la probabilidad de ocurrencia de incidentes y el impacto potencial sobre la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de los activos afectados. 

El análisis se repetirá obligatoriamente en los siguientes casos: 

  • Al menos una vez al año, como parte del ciclo de mejora continua del sistema de gestión.

  • Cuando se modifique la información gestionada o sus categorías.

  • Cuando se introduzcan cambios en los servicios prestados o en su criticidad.

  • Cuando ocurra un incidente de seguridad grave.

  • Cuando se detecten o comuniquen vulnerabilidades significativas.

Para garantizar la coherencia y comparabilidad de los análisis realizados, el Comité de Seguridad TIC establecerá valores de referencia y criterios normalizados que permitan armonizar la valoración de riesgos para los diferentes tipos de activos, servicios y tratamientos. 

Este comité será responsable de: 

  • Validar la metodología empleada para los análisis (por ejemplo, MAGERIT).

  • Impulsar la utilización de herramientas de apoyo a la evaluación de riesgos, adecuadas al tamaño y complejidad de la organización.

  • Asegurar que el análisis considera tanto las amenazas internas como las externas, así como aspectos tecnológicos, humanos y organizativos.

  • Promover la planificación de inversiones horizontales que mitiguen riesgos comunes a varios sistemas o servicios.

  • Dinamizar la disponibilidad de recursos técnicos y humanos necesarios para la gestión eficaz de riesgos.

Los resultados de los análisis de riesgos formarán parte de la documentación de seguridad del sistema y se utilizarán como base para: 

  • Definir medidas adicionales a las exigidas por el ENS.

  • Elaborar planes de tratamiento de riesgos.

  • Aceptar, transferir, mitigar o evitar riesgos residuales, conforme a la política de seguridad.

9. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

La presente Política de Seguridad de la Información constituye el marco general sobre el que se articula todo el Sistema de Gestión de Seguridad de la Información (SGSI) de WeTown, y se complementa con otras políticas y normativas específicas en materias afines, que establecen directrices operativas y técnicas más detalladas.

Entre las políticas actualmente en vigor que complementan esta PSI, se encuentran: 

  • Política de Protección de Datos Personales

  • Política de Continuidad de Negocio y Recuperación ante Desastres

  • Política de Control de Accesos y Gestión de Usuarios

  • Política de Gestión de Incidentes de Seguridad

  • Política de Clasificación y Tratamiento de la Información

  • Política de Uso Aceptable de los Recursos TIC

  • Política de Contratación y Relaciones con Terceros

Desarrollo normativo 

Esta Política se desarrollará mediante una normativa interna de seguridad, que incluirá: 

  • Procedimientos operativos.

  • Normas técnicas.

  • Instrucciones para usuarios.

  • Guías de buenas prácticas.

Dicha normativa abordará aspectos concretos del ENS como la gestión de activos, control de accesos, gestión de copias de seguridad, comunicaciones seguras, gestión de cambios, etc., conforme a las medidas del Anexo II del Real Decreto 311/2022. 

Disponibilidad de la normativa 

Toda la normativa de desarrollo será puesta a disposición de los miembros de la organización que lo requieran, especialmente: 

  • Personal técnico que gestione o administre sistemas de información.

  • Usuarios con acceso a servicios o información sensible.

  • Colaboradores y proveedores con responsabilidades contractuales en materia de seguridad.

La normativa se encontrará en formato digital, en el sitio web de WeTown accesible desde internet: Enlazar URL 

Todo documento de desarrollo de la política estará sometido a control de versiones, y será aprobado formalmente por el Comité de Seguridad TIC antes de su entrada en vigor. 

10. OBLIGACIONES DEL PERSONAL

Todos los miembros de WeTown, independientemente de su nivel jerárquico o función, tienen la obligación de conocer, respetar y aplicar lo establecido en esta Política de Seguridad de la Información, así como en la normativa de seguridad complementaria desarrollada a partir de la misma.

Es responsabilidad del Comité de Seguridad TIC garantizar que toda la información relacionada con las políticas, normativas, procedimientos e instrucciones técnicas llegue adecuadamente a las personas afectadas, y que estas dispongan de los conocimientos necesarios para cumplir con sus deberes.

Concienciación y sensibilización 

Con el fin de fomentar una cultura organizativa de seguridad, WeTown establece un programa anual de concienciación en materia de seguridad TIC, obligatorio para todos los empleados, que cubrirá temas como: 

  • Buenas prácticas en el uso de sistemas.

  • Riesgos comunes y su prevención.

  • Gestión segura de la información.

  • Responsabilidades individuales según el ENS.

Además, se implementará un programa continuo de sensibilización, dirigido a mantener actualizados a los empleados ante nuevas amenazas, cambios normativos o mejoras tecnológicas.

Este programa contemplará sesiones específicas para: 

  • Personal recién incorporado.

  • Usuarios con acceso a datos especialmente protegidos o sistemas críticos.

  • Equipos técnicos y administrativos con funciones sensibles.

Formación técnica específica 

Las personas que tengan responsabilidades técnicas en el uso, administración o explotación de sistemas TIC deberán recibir formación específica en materia de seguridad, adecuada a las funciones que desempeñan. 

Dicha formación: 

  • Será obligatoria antes de asumir el cargo o responsabilidad, ya sea en un nuevo puesto o por reasignación de funciones.

  • Se ajustará a la criticidad de los sistemas gestionados y al perfil de riesgo de los procesos afectados.

  • Incluirá contenidos adaptados al ENS, a la normativa de protección de datos, y a los procedimientos internos de WeTown.

Todos los cursos, talleres o sesiones formativas impartidos serán registrados documentalmente por el Comité de Seguridad TIC, que también supervisará su contenido y su calidad. 

11. TERCERAS PARTES

Cuando WeTown preste servicios o maneje información en nombre de otros organismos, ya sean entidades públicas o privadas, se garantizará que dichos organismos conozcan esta Política de Seguridad de la Información, así como la normativa específica que resulte aplicable. 

En estos casos: 

  • Se facilitará copia de la PSI y los anexos relevantes a los representantes designados por los organismos afectados.

  • Se establecerán canales de comunicación y coordinación entre comités de seguridad, si procediera, o al menos entre los responsables de seguridad de ambas partes.

  • Se definirán procedimientos conjuntos de reporte, análisis y respuesta ante incidentes que puedan impactar a los servicios o datos compartidos.

Cuando WeTown contrate servicios, soluciones tecnológicas o soporte técnico de terceros, o ceda información a terceros proveedores, se aplicarán estrictamente las siguientes medidas: 

  1. Obligaciones contractuales de seguridad:

Se incluirán cláusulas específicas en los contratos y acuerdos de nivel de servicio (SLA) que reflejen los requisitos de seguridad establecidos por esta política, el ENS y la normativa de protección de datos personales.

  1. Adopción de esta política y normativa asociada:

Se hará entrega formal a la tercera parte de la Política de Seguridad y de cualquier normativa adicional relevante para el servicio contratado o los datos compartidos.

  1. Responsabilidad del proveedor:

El proveedor será responsable de desarrollar y aplicar sus propios procedimientos de seguridad operativos, siempre que garanticen un nivel de protección igual o superior al exigido por WeTown.

  1. Reporte y tratamiento de incidentes:

Se establecerán canales específicos para la notificación inmediata de incidentes de seguridad, así como procedimientos documentados para su análisis, respuesta y resolución.

  1. Formación y concienciación del personal externo:

Se exigirá que el personal de terceros reciba formación adecuada en seguridad, y en particular en las normas que resulten de aplicación a los servicios prestados a WeTown. Este personal deberá haber sido informado de sus obligaciones y riesgos asociados.

Tratamiento de excepciones 

En caso de que una tercera parte no pueda cumplir algún aspecto de esta política, el Responsable de Seguridad deberá emitir un informe de riesgos que: 

  • Identifique claramente los aspectos no cumplidos.

  • Evalúe los riesgos residuales y su impacto.

  • Proponga medidas compensatorias o alternativas.

Este informe deberá ser validado y aprobado por el Responsable de la Información y el Responsable del Servicio afectados, antes de formalizar el contrato, continuar con la cesión de datos, o permitir el acceso a los sistemas de información. 

Aprobado por: Llorenç Solé