1. Objeto

El presente documento define la política de seguridad de la información de la información de LEARTIBAI FUNDAZIOA.

2. Alcance

Este documento aplica a todas las partes interesadas y activos de información de LEARTIBAI FUNDAZIOA.

3. Desarrollo

LEARTIBAI FUNDAZIOA depende de los activos de información para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad, autenticidad y trazabilidad de la información tratada o los servicios prestados.

3.1. Prevención

Las personas deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad de la información de seguridad de la información.

Para ello, LEARTIBAI FUNDAZIOA debe implementar las medidas mínimas de seguridad de la información determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de la información de todas las personas, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, LEARTIBAI FUNDAZIOA deben:

• Autorizar los activos de información antes de entrar en operación.
• Evaluar regularmente la seguridad de la información, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
• Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

3.2. Detección

Dado que los servicios y los activos se pueden degradar rápidamente debido a incidentes de seguridad de la información, que van desde una simple desaceleración hasta su detención, se debe monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.

La monitorización es especialmente relevante cuando se establecen líneas de defensa.

Se han establecido mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

3.3. Respuesta

LEARTIBAI FUNDAZIOA ha:

• Establecido mecanismos para responder eficazmente a los incidentes de seguridad de la información.
• Designado un punto de contacto para las comunicaciones con respecto a incidentes de seguridad de la información detectados.
• Establecido protocolos para el intercambio de información relacionada con el incidente.

3.4. Recuperación

Para garantizar la disponibilidad de los servicios críticos, LEARTIBAI FUNDAZIOA ha desarrollado planes de continuidad de los servicios como parte de su plan general de continuidad de negocio y actividades de recuperación.

4. Marco normativo

LEARTIBAI FUNDAZIOA está sujeta a las siguientes leyes, reglamentos y otra normativa, nacional e internacional en materia de seguridad de la información:

• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 (vigente en aquellos artículos que no contradigan el RGPD)
• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
• Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual.

5. Organización de la seguridad de la información

En LEARTIBAI FUNDAZIOA los roles relevantes en materia de seguridad de la información están definidos en el documento “Categorización de los sistemas de información” son los siguientes:

• El comité de seguridad de la información es la máxima autoridad y responsable en materia de seguridad de la información de LEARTIBAI FUNDAZIOA, coordina la gestión del cumplimiento de todos los requisitos de cliente, legales y reglamentarios en esta materia, y gestiona los potenciales conflictos.
• El responsable de la información determina los requisitos (de seguridad) de la información tratada, según los parámetros del Anexo I del ENS (categorización de nivel bajo, medio o alto en las dimensiones de seguridad de la información).
• El responsable del servicio determina los requisitos (de seguridad) de la información tratada, según los parámetros del Anexo I del ENS (categorización de nivel bajo, medio o alto en las dimensiones de seguridad de la información).
• El responsable de seguridad determina las decisiones de seguridad pertinentes para satisfacer los requisitos establecidos por los responsables de la información y de los servicios, siendo jerárquicamente independiente del responsable del sistema.
• El responsable del sistema se encarga de la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el responsable de la seguridad.

El punto de contacto (POC) de LEARTIBAI FUNDAZIOA es la dirección de correo electrónico  intool@intool.info.

6. Revisión, aprobación y comunicación de la política de seguridad de la información

El comité de seguridad de la información aprueba la política de seguridad de la información, y la revisa al menos anualmente.

La política de seguridad de la información está publicada en la página Web corporativa

7. Datos de carácter personal

LEARTIBAI FUNDAZIOA trata datos de carácter personal conforme a la legislación vigente en materia de protección de datos de carácter personal.

8. Análisis y gestión de riesgos de seguridad de la información

De todos los activos de información de LEARTIBAI FUNDAZIOA se ha realizado un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.

Este análisis se revisa y, si procede actualiza:

• regularmente, al menos una vez al año.
• cuando cambia la información manejada.
• cuando cambian los servicios prestados.
• cuando ocurre un incidente grave de seguridad de la información.
• cuando se reportan vulnerabilidades graves.

9. Desarrollo de la política de seguridad de la información de la información

Esta política de seguridad de la información se desarrolla en otras las políticas más concretas, normativas, procedimientos, …

10. Obligaciones de las personas

Todas las personas, propias y subcontratadas, de LEARTIBAI FUNDAZIOA tienen la obligación de conocer y cumplir esta política de seguridad de la información de la información y el resto de documentación que la desarrolla.

Todas las personas son concienciadas regularmente, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de los sistemas de información recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

11.         Terceras partes

Cuando LEARTIBAI FUNDAZIOA presta servicios o trate información de otras organizaciones:

• Se les hace partícipes de esta política de seguridad de la información.
• Se establecen canales para reporte y coordinación al comité de seguridad de la información.
• Se establecen procedimientos de actuación para la reacción ante incidentes de seguridad de la información de seguridad.

Cuando LEARTIBAI FUNDAZIOA utiliza servicios de terceros o ceda información a terceros:

• Se les hace partícipes de esta política y de la normativa de seguridad de la información que ataña a dichos servicios o información.
• Dicha tercera parte queda sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
• Se establecen procedimientos específicos de reporte y resolución de incidencias.
• Se requiere que el personal de terceros esté adecuadamente concienciado en materia de seguridad de la información, al menos al mismo nivel que el establecido en esta política.
• Cuando algún aspecto de la política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requiere un informe del responsable de seguridad de la información que precisa los riesgos en que se incurre y la forma de tratarlos. Se requiere la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

12.         Control de versiones

Aprobado por: Ainhoa Arrizubieta

Fecha: 30 de abril de 2025