Logotipo de Invicsa Airtech, que presenta un diseño estilizado con un símbolo de ala en color blanco sobre un fondo azul.
Logotipo de Invicsa Airtech, que presenta un diseño estilizado con un símbolo de ala en color blanco sobre un fondo azul.

Política de Seguridad de la Información

1. Aprobación y entrada en vigor

Texto aprobado por la Dirección de INVICSA.

Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hora hasta que sea reemplazada por una nueva versión.

2. Introducción

INVICSA depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada a los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuidad de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implican que deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de los servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

INVICSA debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en las condiciones de contratación para para proyectos donde se traten datos personales, se adquieran servicios TIC o se presten servicios que afecten a los sistemas de información.

INVICSA debe estar preparada para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 8 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en adelante (ENS).

3. Alcance

Esta Política de seguridad será de obligado cumplimiento para todos los miembros de INVICSA que dan soporte a las actividades de prestación de los siguientes servicios:

  • Sistema de información que da soporte a los servicios:
  • Formación de pilotos de sistemas no tripulados y sectores de aplicación.
  • Asesoría aeronáutica y gestión operacional de UAS (drones)
  • Grabación y edición de video.
  • Topografía, fotogrametría y seguimientos de obras.
  • Inspecciones industriales y vigilancia.
  • Inspecciones y tratamientos agrícolas.
  • Desarrollo, implantación, soporte y mantenimiento de aplicaciones software para comunicación y control de UAS así como para el análisis de los datos captados basado en reconocimiento de imágenes.

4. Misión

La misión de Invicsa Airtech es proporcionar soluciones aéreas inteligentes, eficientes y seguras que transformen necesidades operativas en resultados concretos mediante el uso de drones, inteligencia artificial, análisis de datos y tecnologías de conectividad avanzada. Para ello, la organización integra conocimiento, experiencia y tecnología modular y escalable, con el fin de ofrecer servicios de alto nivel de calidad y contribuir a la toma de decisiones fiables en sectores críticos.

La innovación surge cuando las ideas se ponen al servicio de un propósito. En Invicsa Airtech somos expertos en conectar conocimiento, experiencia y tecnología para transformar problemas en soluciones aéreas concretas. El futuro no tiene por qué esperar.

No todos los sectores necesitan lo mismo. Por eso utilizamos tecnologías modulares y escalables que se adaptan a tus necesidades. Nuestros sistemas integran drones, IA, análisis de datos,sensores específicos y conectividad inteligente para darte respuestas reales, allá donde estés.

5. Marco Normativo

La Dirección de INVICSA vela por el cumplimiento de los requisitos de la legislación aplicable y reglamentaria en materia de seguridad de la información.

Se toma como referencia básica en materia de Seguridad de la Información la normativa siguiente:

  • UNE-ISO/IEC 27001:2023, Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos.
  • UNE-EN ISO/IEC 27002:2023, Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
  • Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
  • Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.
  • Real Decreto ley 2/2018, de 13 de abril, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, y por el que se incorporan al ordenamiento jurídico español la Directiva 2014/26/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, y la Directiva (UE) 2017/1564 del Parlamento Europeo y del Consejo, de 13 de septiembre de 2017.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).
  • Ley 9/2014, de 9 de mayo, de Telecomunicaciones.
  • Reglamento (UE) 910/2014 del parlamento europeo y del consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento Europeo eIDAS).
  • Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
  • Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
  • Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.

6. Principios Básicos

Los principios básicos son las directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:

6.1. Alcance estratégico

La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles de la entidad y deberá coordinarse e integrarse con el resto de las iniciativas estratégicas de forma coherente.

6.2. Seguridad como proceso integral

La seguridad en INVICSA se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas TIC, procurando evitar cualquier actuación puntual o tratamiento coyuntural. INVICSA considera la seguridad de la información como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas TIC.

6.3. Gestión de la seguridad basada en los riesgos

En INVICSA el análisis y gestión de riesgos es parte esencial del proceso de seguridad. La gestión de riesgos permitirá a INVICSA el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales.

6.4. Prevención, detección, respuesta y conservación

6.4.1. Prevención

INVICSA debe evitar, o al menos prevenir en la medida de lo posibles, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello implementará las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evolución de amenazas y riesgos. Estos controles, van a estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

6.4.2. Detección

INVICSA, establece controles de operación de sus sistemas de información con el objetivo de detectar anomalías en la prestación de los servicios y actuar en consecuencia según lo dispuesto en el artículo 10 del ENS (vigilancia continua y reevaluación periódica). Cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales (conforme a lo indicado en el artículo 9 del ENS, Existencia de líneas de defensa), se establecerán los mecanismos de detección, análisis y reporte necesarios para que lleguen a los responsables regularmente.

6.4.3. Respuesta

INVICSA:

  • Establece mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designa puntos de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establece protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

6.4.4. Conservación

La información gestionada debe mantenerse accesible y utilizable durante el tiempo que sea necesario para cumplir con las obligaciones legales, administrativas o contractuales. Este principio garantiza que la información no se pierda ni se degrade, y que pueda ser recuperada en condiciones adecuadas de calidad, integridad y autenticidad.

Se debe asegurar la continuidad operativa y la trazabilidad de las actuaciones de la organización, permitiendo responder ante auditorías, reclamaciones o revisiones.

6.5. Existencia de líneas de defensa

El sistema de información de INVICSA dispondrá de una estrategia de protección constituida por diferentes capas, de forma que cuando una de las capas sea comprometida, permita desarrollar una acción adecuada frente a los incidentes que no han podido evitarse, reduciendo la probabilidad del que el sistema sea comprometido en su conjunto, minimizando el impacto final sobre el mismo.

Existirán líneas de defensa constituidas tanto por medidas organizativas, físicas y lógicas.

6.6. Vigilancia continua y reevaluación periódica

INVICSA llevará a cabo una vigilancia continua que permita la detección de actividades o comportamientos anómalos y su oportuna respuesta.

La evaluación permanente del estado de la seguridad de los activos permite a INVICSA medir su evolución, detectando vulnerabilidades e identificando deficiencias de configuración.
INVICSA reevaluará y actualizará periódicamente las medidas de seguridad, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.

6.7. Seguridad por defecto y desde el diseño

Los sistemas deben estar diseñados y configurados para garantizar la seguridad por defecto. Los sistemas proporcionarán la funcionalidad mínima necesaria para prestar el servicio para el que fueron diseñados.

6.8. Diferenciación de responsabilidades

INVICSA tendrá en cuenta la diferenciación de responsabilidades en su sistema de información, siempre que sea posible. El detalle de las atribuciones de cada responsable, los mecanismos de coordinación y la resolución de conflictos se detallarán a lo largo de la presente política de seguridad.

7. Requisitos mínimos

Esta política de seguridad de la Información complementa las políticas de seguridad de INVICSA en materia de protección de datos de carácter personal.

Esta Política de Seguridad de seguridad se desarrollará aplicando los siguientes requisitos mínimos:

  • Organización e implantación del proceso de seguridad, de acuerdo al marco organizativo definido en elapartado 8 de esta Política.
  • Análisis y gestión de los riesgos, de acuerdo a lo previsto en el procedimiento PS01 Planificación.
  • Gestión de personal, de acuerdo a lo previsto en el procedimiento PS09 Gestión de Personal.
  • Profesionalidad, de acuerdo a lo previsto en el procedimiento PS09 Gestión de Personal.
  • Autorización y control de los accesos, de acuerdo a lo previsto en el procedimiento PS03 Control de Acceso.
  • Protección de las instalaciones, de acuerdo a lo previsto en el procedimiento PS08Protección de instalaciones.
  • Adquisición de productos, de acuerdo a lo previsto en el procedimiento  PS05 Recursos externos y servicios en nube.
  • Seguridad por defecto, de acuerdo a lo previsto en el procedimiento  PS04 Explotación.
  • Integridad y actualización del sistema, de acuerdo a lo previsto en el procedimiento PS04 Explotación.
  • Protección de la información almacenada y en tránsito, de acuerdo a lo previsto en los procedimientos PS14 Protección de la información y PS11 Protección de comunicaciones
  • Prevención ante otros sistemas de información interconectados, de acuerdo a lo previsto en el procedimiento PS05 Recursos externos y servicios en nube.
  • Registro de actividad, de acuerdo a lo previsto en el procedimiento PS04 Explotación.
  • Incidentes de seguridad, de acuerdo a lo previsto en el procedimiento PS04 Explotación.
  • Continuidad de la actividad, de acuerdo a lo previsto en el procedimiento PS06 Continuidad del servicio.
  • Mejora continua del proceso de seguridad, de acuerdo a lo previsto en el procedimiento PG04 Mejora continua.

8. Organización de la seguridad

La implantación de la Política de Seguridad en INVICSA requiere que todos los miembros de la organización entiendan sus obligaciones y responsabilidades en función del puesto desempeñado. Como parte de la Política de Seguridad de la Información, cada rol especifico, personalizado en usuarios concretos, debe entender las implicaciones de sus acciones y las responsabilidades que tiene atribuidas, quedando identificadas y detalladas en esta sección, y que se agrupan del modo siguiente:

  1. Comité de Seguridad de la Información
  2. Responsables del Servicio
  3. Responsables de la Información
  4. Responsable de Seguridad de la Información
  5. Responsable del Sistema

En los siguientes apartados se especifican las funciones atribuidas a cada uno de estos roles.

8.1. Comité de seguridad de la información

La seguridad de la Información es una responsabilidad organizativa que es compartida con la Dirección General . En consecuencia, la Dirección General de INVICSA promueve la composición de un Comité de Seguridad de la Información, en aras de establecer una vida definida y el palpable apoyo a las iniciativas de seguridad.

El Comité de Seguridad de la Información coordina la seguridad de la información en INVICSA. Dicho Comité está compuesto por cada una de las figuras anteriormente mencionadas.

Dicho Comité está compuesto por el Responsable del Servicio, el responsable de la Información, el Responsable de Seguridad de la Información y el Responsable del Sistema, y actuando el Responsable de Seguridad como Secretario.

Las funciones del Comité de Seguridad de la Información son las siguientes:

  • Revisión y propuesta de la Política de Seguridad de la Información, para su aprobación por la Dirección.
  • Revisión y propuesta de la Normativa de Seguridad de la Información para su aprobación por la Dirección.
  • Informar regularmente del estado de la seguridad de la información a la Dirección.
  • Promover la mejora continua del sistema de gestión de la seguridad de la información.
  • Elaborar la estrategia de evolución de la organización en lo que respecta a seguridad de la información.
  • Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, que están alineados con la estrategia decidida en la materia, evitando duplicidades.
  • Definir e impulsar la estrategia y la planificación de la seguridad de la información proponiendo la asignación de presupuesto y los recursos precisos.
  • Supervisión y control de los cambios significativos en la exposición de los activos de información a las amenazas principales, así como del desarrollo e implantación de los controles y medidas destinados a garantizar la Seguridad de dichos activos;
  • Aprobación de las iniciativas principales para mejorar la Seguridad de la Información.
  • Promover mecanismos para asegurar la concienciación, educación y formación en materia de seguridad de todo el personal.
  • Coordinar y promover las acciones necesarias, relacionadas con el cumplimiento legal y normativo, en temas relacionados con la seguridad de la información.
  • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

8.1.1. Responsable de la Información

  • Tiene la potestad de establecer los requisitos, en materia de seguridad, de la información gestionada. Si esta información incluye datos de carácter personal, además deberán tenerse en cuenta los requisitos derivados de la legislación correspondiente sobre protección de datos.
  • Determina los niveles de seguridad de la información, efectuando las valoraciones del impacto que tendría un incidente que afectase a la seguridad de la información, así como posteriores modificaciones que fuesen necesarias.
  • Es el Propietario del Riesgo de los activos esenciales de información.

8.1.2. Responsable del Servicio

  • Tiene la potestad de establecer los requisitos, en materia de seguridad, de los servicios prestados.
  • Determina los niveles de seguridad del servicio, efectuando las valoraciones del impacto que tendría un incidente que afectase este, así como posteriores modificaciones que fuesen necesarias.
  • Es el Propietario del Riesgo de los activos esenciales de servicios.

8.1.3. Responsable de Seguridad de la Información

Responsable de la definición, coordinación, implantación y verificación de cumplimiento de los requisitos de seguridad de la información definidos de acuerdo a los objetivos estratégicos de la Dirección General .

El Responsable de Seguridad será el Punto de Contacto (PoC) en materia de seguridad de la información y tendrá las siguientes funciones:

  • La determinación de la categoría de seguridad del sistema, con base en las valoraciones de los Responsables de la Información y del Servicio.
  • Formalizar y aprobar la Declaración de Aplicabilidad, que incluirá las medidas seleccionadas del Anexo II del ENS, incluyendo las medidas compensatorias o complementarias de vigilancia.
  • Analizar los informes de Auditoria que se refieran a los sistemas de su ámbito competencial, y presentación de sus conclusiones al Responsable del Sistema y, en su caso, al Comité de Seguridad de la Información.
  • Aprobar explícitamente los cambios que impliquen un riesgo alto, con carácter previo a su implantación.
  • Es el Propietario de todos los activos de INVICSA en lo que respecta a la norma ISO 27001. En el inventario de activos podrá especificarse un responsable del Activo, en el que el Propietario del Activo delega la toma de decisiones respecto a dicho activo.
  • Dirigir las reuniones del Comité de Seguridad, informando, proponiendo y coordinando sus actividades y decisiones.
  • Coordinar y controlar las medidas de seguridad de la información y de protección de datos de INVICSA.
  • Supervisar la implantación, mantener, controlar y verificar el cumplimiento de:
    • La estrategia de seguridad de la información definida por el Comité de Seguridad.
    • Las normas y procedimientos contenidos en la Política de Seguridad de la Información de INVICSA y normativa de desarrollo.
  • Supervisar (como responsable último) los incidentes de seguridad informática producidas en INVICSA.
  • Difundir en INVICSA las normas y procedimientos contenidos en la Política de Seguridad de la Información de INVICSA y normativa de desarrollo, así como las funciones y obligaciones de INVICSA en materia de seguridad de la información.
  • Supervisar y colaborar en las auditorías internas o externas necesarias para verificar el grado de cumplimiento de la Política de Seguridad, normativa de desarrollo y leyes aplicables tales como el RGPD.
  • Asesorar en materia de seguridad de la información a las diferentes áreas operativas de INVICSA.

8.1.4. Responsable del Sistema

Es responsable último de asegurar la ejecución de medidas para asegurar los activos y servicios de los Sistemas de Información, que soportan la actividad INVICSA, de acuerdo a los objetivos estratégicos de INVICSA.

Es el Propietario del Riesgo de todos los activos, con excepción de los activos esenciales (Servicios e Información).

Las funciones del Responsable del Sistema de la Información son las siguientes:

  • Desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.
  • Seleccionar y establecer las funciones y obligaciones a los técnicos informáticos encargados de personificar una gestión de la seguridad de los activos de INVICSA, conforme a la estrategia de seguridad definida.
  • Garantizar la actualización del inventario de activos de Sistemas de Información de INVICSA.
  • Asegurar que existe el nivel de seguridad informática adecuado para cada uno de los activos inventariados, coordinando el correcto desarrollo, implantación, adecuación y operación de los controles y medidas destinados a garantizar el nivel de protección requerido.
  • Garantizar que la implantación de nuevos sistemas y de los cambios en los existentes cumple con los requerimientos de seguridad establecidos en
  • Establecer los procesos y controles de monitorización del estado de la seguridad que permitan detectar las incidencias producidas y coordinar su investigación y resolución.
  • Mantener y actualizar las directrices y políticas de seguridad de los Sistemas de Información y normativa asociada.

8.1.5. Propietario de Activos

El propietario de un activo, entendiendo por tal al responsable de dicho activo, tendrá las siguientes responsabilidades:

  • Definir si el activo está afectado por la normativa aplicable en materia de Protección de Datos y aplicar, en su caso, los procedimientos correspondientes.
  • Asegurarse de que el software que se utiliza tiene licencia.
  • Definir quiénes pueden tener acceso a la información, cómo y cuándo, de acuerdo con la clasificación de la información y la función a desempeñar.
  • Asegurarse de que el activo cuenta con el mantenimiento adecuado
  • Asegurarse de que el personal le informa inmediatamente de cualquier violación de seguridad o mal uso de la información o los sistemas. El propietario del activo deberá informar a su vez al responsable de Seguridad para tratar la incidencia.
  • Asegurarse de que la plantilla cuenta con la formación adecuada, conoce y comprende la Política de Seguridad y pone en práctica las directrices de seguridad.
  • Asegurarse de que los soportes y equipos que contengan información sean desechados según lo establecido.
  • Implementar las medidas de seguridad necesarias en su área para evitar fraudes, robos o interrupción en los servicios.
  • Mantener documentación actualizada de todas las funciones críticas para asegurar la continuidad de las operaciones en caso de que alguien no esté disponible.
  • Informar al responsable de Seguridad cuando ocurran cambios de personal que afecten al acceso de la información o los sistemas (cambio de función o departamento, causar baja en la empresa) para que se modifiquen apropiadamente los permisos de acceso.
  • En los casos que aplique, asegurarse de que el personal y los contratistas tienen cláusulas de confidencialidad en sus contratos y son conscientes de sus responsabilidades.

8.1.6. Propietario del Riesgo

El propietario del riesgo, asociado a uno o varios activos de información, tendrá las siguientes responsabilidades:

  • Participar en el desarrollo del análisis y evaluación de riesgos realizada al menos con carácter anual
  • Verificar la conformidad con los niveles de riesgo aceptable y colaborar en la aprobación de los mismos (que le afecten), así como la gestión de los riesgos asociado a los activos de información y los riesgos de los que es responsable.
  • Asegurarse de que el personal le informa inmediatamente de cualquier violación de seguridad o mal uso de la información o los sistemas. El propietario del riesgo deberá informar a su vez al responsable de Seguridad para tratar la incidencia.
  • Informar al responsable de Seguridad cuando ocurran cambios del personal, la organización, o del resto de los activos de información, que pueda implicar una revisión o actualización del análisis de riesgos, o de los permisos de acceso asignados

8.2. Procedimientos de designación

Se designan, mediante acta formal las siguientes responsabilidades:

  • Responsable del Servicio
  • Responsable de la Información
  • Responsable de Seguridad
  • Responsable del Sistema

Los nombramientos se revisarán cada 2 años o cuando alguno de los puestos quede vacante.

El Responsable de Seguridad de la Información será nombrado por la Dirección a propuesta del Comité de Seguridad.

8.3. Resolución de conflictos

En caso de conflicto entre los diferentes responsables y/o entre diferentes servicios de INVICSA, éste será resuelto por el superior jerárquico de los mismos con la mediación del Responsable de Seguridad. En defecto de lo anterior, prevalecerá la decisión del Comité de Seguridad, elevando a la Dirección aquellos casos en los que no tenga suficiente autoridad para decidir.

En la resolución de estas controversias se tendrán siempre en cuenta las exigencias derivadas de la protección de datos de carácter personal.

9. Datos de carácter personal

Todos los sistemas de información de INVICSA se ajustarán a los niveles de seguridad requeridos por la normativa vigente en materia de Protección de Datos de Carácter Personal, identificada en el apartado 5. Marco Normativo, de la presente Política de Seguridad de la Información.

Todo usuario interno o externo que, en virtud de su actividad profesional, pudiera tener acceso a datos de carácter personal, está obligado a guardar secreto sobre los mismos, deber que se mantendrá de manera indefinida, incluso más allá de la relación laboral o profesional con INVICSA.

10. Objetivos de seguridad

La Dirección de INVICSA establecerá objetivos y metas enfocados hacia la evaluación del desempeño en materia de seguridad de la información, así como a la mejora continua en sus actividades, reguladas en el Sistema de Gestión de Seguridad de la Información que desarrolla esta política.

11. Mejora continua del Sistema de Seguridad de la Información

INVICSA garantiza un análisis continuo de todos los procesos relevantes, estableciéndose las mejoras pertinentes en cada caso, en función de los resultados obtenidos y de los objetivos establecidos.

La Dirección de INVICSA se compromete al cumplimiento de mejora continua del Sistema de Gestión de Seguridad de la Información que desarrolla esta política.

12. Gestión de riesgos

Para todos los sistemas sujetos a esta Política de Seguridad de la Información debe realizarse periódicamente una evaluación de los a los que están expuestos. Este análisis se repetirá:

  • Regularmente, al menos una vez al año
  • Cuando cambie la información gestionada
  • Cuando cambien los servicios prestados
  • Cuando ocurra un incidente grave de seguridad
  • Cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información gestionados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.