Política de Seguridad de la Información

 

1. Contexto

En el actual contexto globalizado y tecnológico, el uso de las Tecnologías de la Información y las Comunicaciones (TIC) es fundamental para mejorar y optimizar los procesos y actividades de la compañía. La gestión adecuada de la información se vuelve crucial para proteger y asegurar la continuidad de las operaciones, la ventaja competitiva, el cumplimiento de las leyes y la imagen de la empresa. MECALUX reconoce esta importancia y muestra su compromiso en desarrollar sus actividades de manera segura y eficiente, cumpliendo con los estándares y regulaciones. Apostando así, por implementar medidas de seguridad que garanticen la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información necesaria para operar sus servicios.

Por ello, asume el compromiso de establecer, mantener y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información (SGSI) basado en los requisitos de la norma UNE-EN ISO/IEC 27001:2023 y en cumplimiento con el Esquema Nacional de Seguridad (ENS) en su categoría alta, aplicable a los sistemas de información que dan soporte a sus servicios.

Así mismo, se garantiza el cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica 3/2018 (LOPDGDD) en todas las actividades que impliquen tratamiento de datos personales.

 

2. Objetivo

MECALUX, tiene como uno de sus objetivos intentar salvaguardar la Seguridad de la Información, ya sea de carácter personal o no, y para ello establece un sistema de Seguridad de la Información con el objetivo de asegurar la reducción de los riesgos asociados a la misma y a la Ciberseguridad, que la información sea accesible sólo por aquellos que tienen una necesidad legítima para ejecutar sus funciones, que está protegida, disponible y es utilizada para los propósitos con que fue obtenida. Para ello MECALUX define los siguientes objetivos estratégicos:

  • Intentar minimizar los riesgos de pérdida de confidencialidad, integridad y disponibilidad de la información recibida, generada, procesada y almacenada por MECALUX.
  • Apoyar a las áreas de la empresa en asegurar los activos de información que soportan las operaciones del negocio y la información con datos personales.
  • Lograr la sensibilización de las personas trabajadoras en lo relacionado con la seguridad de la información y la Ciberseguridad en la ejecución de sus funciones.
  • Mantener un programa de Seguridad de la Información y Ciberseguridad que apoye los objetivos estratégicos de la organización, y a los nuevos proyectos de negocio.
  • Cumplimiento de los requisitos legales, compromisos adquiridos con clientes y proveedores y toda aquella reglamentación, normas internas o pautas de actuación a los que se someta la empresa.
  • Mejorar continuamente el sistema de Seguridad de la Información.

 

3. Alcance

La Política de Seguridad de la Información y Ciberseguridad concierne a todas las personas usuarias y se ha de aplicar a toda información creada, procesada o utilizada por MECALUX, sin importar el medio, formato, presentación o lugar en el que se encuentre. Todas las medidas de seguridad adoptadas van encaminadas a proteger la información y los sistemas de información que la soportan, incluyendo aplicaciones, recursos de sistemas operativos, redes de telecomunicaciones y soportes, y equipos informáticos, ya sean gestionados por MECALUX o por aquellas empresas o personal expresamente autorizados al efecto, como por ejemplo, aquellos que hayan suscrito un contrato de prestación de servicios o de tratamiento de datos con MECALUX o bien, cesionarios legalmente autorizados.

 

4. Política de Seguridad de la Información

La presente política tiene como propósito establecer el marco de referencia para la planificación, implementación, operación, evaluación y mejora continua de la seguridad de la información dentro del alcance del SGSI.

Los principios fundamentales que rigen esta política son:

  • Alinear la gestión de la seguridad de la información con los objetivos estratégicos de la organización.
  • Cumplir con los requisitos legales, reglamentarios, contractuales y normativos aplicables.
  • Proteger la información y los activos según los principios de confidencialidad, integridad y disponibilidad.
  • Clasificar y proteger la información de acuerdo con su nivel de sensibilidad y valor para la organización.
  • Establecer y mantener un registro actualizado de activos de información, así como definir responsables de su protección.
  • Definir, asignar y mantener roles y responsabilidades claras en materia de seguridad de la información.
  • Identificar, analizar, evaluar y tratar los riesgos de seguridad de la información, documentando el proceso conforme a criterios aprobados por la Dirección.
  • Aplicar controles para mitigar los riesgos identificados, considerando controles de seguridad en sus dimensiones organizativa, operativa y de protección.
  • Impulsar una cultura organizacional basada en la seguridad, promoviendo la formación y concienciación del personal en todos los niveles.
  • Establecer objetivos medibles y planes asociados para la seguridad de la información, revisados al menos anualmente.
  • Aplicar un enfoque basado en procesos y en la mejora continua.
  • Evaluar regularmente el desempeño del SGSI a través de auditorías internas, revisiones de la dirección y seguimiento de indicadores clave.

La Política de Seguridad de la Información está enfocada a intentar asegurar los siguientes tres grandes escenarios:

  • El cumplimiento de confidencialidad, que implica que la información crítica, sensible, privada o de carácter personal gestionada por MECALUX no sea robada o accedida por personas no autorizadas.
  • Minimizar las afectaciones a la disponibilidad, donde los servicios prestados por MECALUX sean inaccesibles o inutilizables.
  • La integridad, evitando la corrupción de datos o sistemas de MECALUX que afecten la precisión o integridad de la información y procesamiento, y que también podría afectar la disponibilidad de los servicios.

La política, los procedimientos, y todos los controles de seguridad aplicados han de ser revisados de forma periódica para adecuarlos a las necesidades del negocio, a los requerimientos del entorno y a cualquier cambio significativo que pueda producirse en la organización, la legislación aplicable o el sistema de gestión. Asimismo, la Política de Seguridad de la Información debe ser aprobada por la Dirección, comunicada a todo el personal y puesta a disposición de las partes interesadas.

Asimismo, existe el compromiso a proveer aquellos medios que sean necesarios para lograr los objetivos de seguridad establecidos, mantener la Política, los procedimientos y normativas subyacentes actualizados.

Ante el incumplimiento de la Política de Seguridad de la Información, o los documentos subyacentes, se seguirán lo procedimientos correspondientes aplicando las medidas que están previstas en las regulaciones legales, contractuales y en los reglamentos de la compañía que sean de aplicación.

MECALUX asume con firmeza que la seguridad de la información no es sólo una obligación normativa, sino un pilar fundamental para la confianza de sus clientes, el cumplimiento de sus objetivos estratégicos y la sostenibilidad de sus operaciones.

 

En Barcelona, a 30 de septiembre de 2025.