Conforme a las obligaciones establecidas en:
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD)
- Objeto
Lar España Real Estate SOCIMI, S.A. y sus Filiales (en adelante, LAR ESPAÑA) basa su actividad en el tratamiento de diferentes tipos de datos e información, lo que le permite ejecutar procesos básicos propios del negocio. Los sistemas, programas, infraestructuras de comunicaciones, ficheros, bases de datos, archivos, etc., constituyen el activo principal de LAR ESPAÑA, de tal manera que el daño o pérdida de los mismos inciden en la realización de sus operaciones y pueden poner en peligro la continuidad de LAR ESPAÑA.
La Política de Seguridad de la Información, proporciona las bases para definir y delimitar los objetivos y responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran para garantizar la seguridad de la información, cumpliendo el marco legal de aplicación y las directivas, políticas específicas y procedimientos definidos.
Estas actuaciones son seleccionadas e implantadas en base al análisis de riesgos realizado y el equilibrio entre riesgo aceptable y coste de las medidas.
Son los responsables de los activos de información (detallados en el Análisis de Riesgos) junto con el responsable de la Seguridad de la Información y de TI quienes deben definir los requisitos de seguridad, identificando y priorizando la importancia de los distintos elementos de la actividad realizada, de modo que los procesos más importantes y/o sensibles recibirán mayor protección.
Es responsabilidad de la Dirección (tal y como este término se define más adelante) de LAR ESPAÑA y del Área responsable de la Seguridad de la Información, promover y apoyar la implantación de las medidas técnicas y organizativas necesarias para minimizar los riesgos potenciales a los que se encuentra expuesta la información en la consecución de los objetivos estratégicos del negocio.
El objeto de esta Política es alcanzar una protección adecuada de la información de LAR ESPAÑA, preservando los siguientes principios de la seguridad:
- Confidencialidad: garantizar que la información sea accesible sólo para quien esté autorizado a tener acceso a la misma.
- Integridad: garantizar la exactitud y completitud de la información y de los métodos de su procesamiento.
- Disponibilidad: garantizar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados
Estos principios básicos se deben preservar y asegurar en cualquiera de las formas que adopte la información, ya sea en formato electrónico, impreso, visual o hablado, e independientemente de que sea tratada en las dependencias de LAR ESPAÑA o fuera de ellas.
Así mismo, estos principios se deberán contemplar en las siguientes áreas de seguridad:
- Física: Comprendiendo la seguridad de las dependencias, instalaciones, sistemas hardware, soportes y cualquier activo de naturaleza física que trate o pueda tratar información.
- Lógica: Incluyendo los aspectos de protección de aplicaciones, redes y prototipos de comunicación electrónica y sistemas informáticos.
- Político-corporativa: Formada por los aspectos de seguridad relativos a la propia entidad, a las normas internas, regulaciones y normativa legal.
- Declaración de Intenciones
El gestor o Mánager externo de LAR ESPAÑA, Grupo Lar Inversiones Inmobiliarias, junto con los directivos responsables de la seguridad de la información en la Compañía (todos ellos conjuntamente la “Dirección”) son conscientes de la importancia que tiene para la compañía la Seguridad de la Información de cara a conseguir un grado óptimo de competitividad en el mercado actual.
Por ello, LAR ESPAÑA ha desarrollado la presente Política de Seguridad de la Información y los correspondientes procedimientos que garantizan la confidencialidad, integridad y disponibilidad de la información.
La Dirección ha pretendido definir los procesos más adecuados para que LAR ESPAÑA emprenda un proceso de mejora de sus Sistemas de Seguridad de la Información con el convencimiento de que redundará en una mayor eficacia de sus procesos de producción.
Por ello, cuando se detallen las aplicaciones o soluciones concretas a los puntos contenidos en el presente documento, se hará bajo dicha perspectiva, potenciando en lo posible aquellas soluciones que lleven seguridad a la información relevante de LAR ESPAÑA.
La intención final de todo el sistema definido y desarrollado es la de ofrecer el mejor servicio a nuestros clientes, mejorando nuestros procesos y respetando escrupulosamente sus derechos legalmente establecidos.
Por todo ello, la dirección de LAR ESPAÑA quiere dejar constancia expresa de su conocimiento y de su aprobación de las políticas desarrolladas en este documento, de forma que todo el personal la debe conocer y asumir como una parte de sus funciones laborales.
Para que todo esto sea posible se asignarán los recursos necesarios para el buen desarrollo de lo aquí establecido, tanto en el inicio del proyecto como en su mantenimiento futuro.
- Política de Seguridad de la Información
LAR ESPAÑA basa su actividad en el tratamiento de diferentes tipos de datos e información, lo que le permite ejecutar procesos básicos propios del negocio. Los sistemas, programas, infraestructuras de comunicaciones, ficheros, bases de datos, archivos, etc., constituyen el activo principal de LAR ESPAÑA, de tal manera que el daño o pérdida de los mismos inciden en la realización de sus operaciones y pueden poner en peligro la continuidad de LAR ESPAÑA. Para que esto no suceda, se ha diseñado esta Política de Seguridad de la Información cuyos fines principales son:
- Proteger, mediante controles/medidas, los activos frente a amenazas que puedan derivar en incidentes de seguridad.
- Paliar los efectos de los incidentes de seguridad.
- Establecer un sistema de clasificación de la información y los datos con el fin de proteger los activos críticos de información.
- Definir las responsabilidades en materia de seguridad de la información generando la estructura organizativa correspondiente.
- Elaborar un conjunto de reglas, estándares y procedimientos aplicables a los órganos de dirección, empleados, socios, proveedores de servicios externos, etc.
- Especificar los efectos que conlleva el incumplimiento de la Política de Seguridad en el ámbito laboral.
- Evaluar los riesgos que afectan a los activos con el objeto de adoptar las medidas/controles de seguridad oportunos.
- Verificar el funcionamiento de las medidas/controles de seguridad mediante auditorías de seguridad internas realizadas por auditores independientes.
- Formar a los usuarios en la gestión de la seguridad y en tecnologías de la información y las comunicaciones.
- Proteger a las personas en caso de catástrofes naturales, incendios, inundaciones, ataques terroristas, etc., mediante planes de emergencia.
- Controlar el tráfico de información y de datos a través de infraestructuras de comunicaciones o mediante el envío de soportes de datos ópticos, magnéticos, en papel, etc.
- Observar la legislación en materia de protección de datos, propiedad intelectual, laboral, de servicios de la sociedad de la información, penal, etc., que afecte a los activos de LAR ESPAÑA.
- Proteger el capital intelectual de LAR ESPAÑA para que no se divulgue ni se utilice ilícitamente.
- Obtener las evidencias que permitan acreditar los incidentes de seguridad y la identificación de su autor.
- Reducir las posibilidades de indisponibilidad a través del uso adecuado de los activos de LAR ESPAÑA.
- Defender los activos ante ataques internos o externos para que no se transformen en incidentes de seguridad.
- Controlar el funcionamiento de las medidas de seguridad averiguando el número de incidencias, su naturaleza y efectos.
- Garantizar la seguridad de los sistemas de información y extremar las precauciones de las conexiones y accesos desde fuera del entorno habitual de trabajo, por ejemplo, en caso de teletrabajo, protegiendo los dispositivos con diferentes herramientas que aumenten su seguridad, así como las comunicaciones de acceso a la información a través de la conexión a la VPN de LAR ESPAÑA instalada en los mismos.