Aviso legal e Informaciones legales

Aquesta política ha estat aprovada per la Direcció en data 07/05/2025

Introducció

Aquest document exposa la Política de Seguretat de la Informació d’Augusta Advocats, S.L.P. (en endavant, «Augusta Advocats»), com el conjunt de principis bàsics i línies d’actuació als quals l’organització es compromet, en el marc de l’Esquema Nacional de Seguretat (ENS) i la ISO 27001.
La informació és un actiu crític, essencial i de gran valor per al desenvolupament de l’activitat d’Augusta Advocats. Aquest actiu ha de ser adequadament protegit, mitjançant les necessàries mesures de seguretat, davant de les amenaces que puguin afectar-lo, independentment dels formats, suports, mitjans de transmissió, sistemes o persones que hi intervinguin en el seu coneixement, processament o tractament.
La Seguretat de la Informació és la protecció d’aquest actiu, amb la finalitat d’assegurar la qualitat de la informació i la continuïtat del negoci, minimitzar el risc i permetre maximitzar el retorn de les inversions i les oportunitats de negoci.
La seguretat de la informació és un procés que requereix mitjans tècnics i humans i una adequada gestió i definició dels procediments i en el qual és fonamental la màxima col·laboració i implicació de tot el personal d’Augusta Advocats.
La direcció d’Augusta Advocats, conscient del valor de la informació, està profundament compromesa amb la política descrita en aquest document.

Definicions

Sistema d’Informació: conjunt organitzat de recursos perquè la informació es pugui recollir, emmagatzemar, processar o tractar, mantenir, usar, compartir, distribuir, posar a disposició, presentar o transmetre.
Risc: estimació del grau d’exposició a què una amenaça es materialitzi sobre un o més actius causant danys o perjudicis a l’organització.
Gestió de riscos: activitats coordinades per dirigir i controlar una organització pel que fa als riscos.
Sistema de Gestió de Seguretat de la Informació (SGSI): sistema de gestió que, basat en l’estudi dels riscos, s’estableix per crear, implementar, fer funcionar, supervisar, revisar, mantenir i millorar la seguretat de la informació. El sistema de gestió inclou l’estructura organitzativa, les polítiques, les activitats de planificació, les responsabilitats, les pràctiques, els procediments, els processos i els recursos.
Disponibilitat: És necessari garantir que els recursos del sistema es trobaran disponibles quan es necessitin, especialment la informació crítica.
Integritat: La informació del sistema ha d’estar disponible tal com s’emmagatzemà per un agent autoritzat.
Confidencialitat: La informació només ha d’estar disponible per a agents autoritzats, especialment el seu propietari.
Autenticitat: S’ha d’assegurar la identitat o origen de la informació.
Traçabilitat: S’ha d’assegurar per a certs dades qui va fer què i en quin moment.

Propòsit

El propòsit d’aquesta Política de la Seguretat de la Informació és protegir els actius d’informació d’Augusta Advocats, assegurant per a això la disponibilitat, integritat, confidencialitat, autenticitat i traçabilitat de la informació i de les instal·lacions, sistemes i recursos que la processen, gestionen, transmeten i emmagatzemen, sempre d’acord amb els requeriments del negoci i la legislació vigent.

Abast

La present Política de Seguretat de la Informació és d’aplicació a totes les persones, sistemes i mitjans que accedeixin, tractin, emmagatzemin, transmetin o utilitzin la informació coneguda, gestionada o propietat d’Augusta Advocats per als processos descrits.
El personal subjecte a aquesta política inclou a totes les persones amb accés a la informació descrita, independentment del suport automatitzat o no en què es trobi aquesta i de si l’usuari és empleat o no d’Augusta Advocats. Per tant, també s’aplica a qualsevol altra tercera part que tingui accés a la informació o els sistemes d’Augusta Advocats.
Per garantir que el procés de seguretat implantat serà actualitzat i millorat de forma contínua, s’implantarà i documentarà un Sistema de Gestió de la Seguretat de la Informació. D’aquesta forma, el contingut de la Política de Seguretat de la Informació serà desenvolupat en normes i procediments complementaris de seguretat.

Objectius o Missió de l’Organització

Augusta Advocats ofereix als seus clients, serveis legals transversals per donar cobertura a les necessitats dels negocis actuals. D’aquesta forma, assessorem i aportem solucions legals en tots els processos de creació, protecció i desenvolupament del negoci des de les diferents àrees del dret.

Fonaments d’aquesta Política

L’objectiu últim de la seguretat de la informació és garantir que una organització pugui complir els seus objectius, desenvolupar les seves funcions i exercir les seves competències utilitzant sistemes d’informació. Per això, en matèria de seguretat de la informació s’hauran de tenir en compte els següents principis bàsics:

Seguretat com a procés integral

La seguretat s’ha d’entendre com un procés integrat per tots els elements tècnics, humans, materials i organitzatius, relacionats amb el sistema.
Es promourà la conscienciació de les persones que intervenen en el procés i als seus responsables jeràrquics, perquè, ni la ignorància, ni la manca d’organització i coordinació, ni instruccions inadequades, siguin font de risc per a la seguretat.

Gestió de la seguretat basada en els riscos

L’anàlisi dels riscos és part essencial i contínua del procés de seguretat. La gestió d’aquests riscos permetrà el manteniment d’un entorn controlat, amb aquests riscos a nivells acceptables, i es realitzarà mitjançant l’aplicació de mesures de seguretat de manera proporcionada a la naturalesa de la informació tractada i dels serveis a prestar.

Prevenció, detecció, resposta i conservació

La seguretat del sistema contempla mesures que implementin els aspectes de prevenció, detecció i resposta davant incidents de seguretat, i de conservació de la informació i serveis en cas que l’incident es produeixi.

Existència de línies de defensa

Augusta Advocats implementa una estratègia de protecció basada en múltiples capes, constituïdes per mesures organitzatives, físiques i lògiques, de tal forma que quan una de les capes falli, el sistema implementat permeti:

Guanyar temps per a una reacció adequada davant dels incidents que no s’han pogut evitar.
Reduir la probabilitat que el sistema sigui compromès en el seu conjunt.
Minimitzar l’impacte final sobre el mateix.

Les línies de defensa han d’estar constituïdes per mesures de naturalesa organitzativa, física i lògica.

Vigilància contínua i reevaluació periòdica

La vigilància contínua permetrà la detecció d’activitats o comportaments anòmals i la seva oportuna resposta.
Augusta Advocats implementa controls i avaluacions regulars de la seguretat, (incloent avaluacions dels canvis de configuració de forma rutinària), per conèixer en tot moment l’estat de la seguretat dels sistemes en relació a les especificacions dels fabricants, a les vulnerabilitats i a les actualitzacions que els afectin, reaccionant amb diligència per gestionar el risc a la vista de l’estat de seguretat dels mateixos. Abans de l’entrada de nous elements, ja siguin físics o lògics, aquests requeriran d’una autorització formal.
Així mateix, sol·licitarà la revisió periòdica per part de tercers amb la finalitat d’obtenir una avaluació independent.
Les mesures de seguretat s’avaluaran i actualitzaran periòdicament, adequant la seva eficàcia a l’evolució dels riscos i els sistemes de protecció, podent arribar a un replantejament de la seguretat, si fos necessari.

Diferenciació de responsabilitats

Augusta Advocats ha organitzat la seva seguretat comprometent a tots els membres de la corporació mitjançant la designació de diferents rols de seguretat amb responsabilitats clarament diferenciades, tal com es recull més endavant en aquest document.
En els sistemes d’informació es diferenciarà el responsable de la informació, que determina els requisits de seguretat de la informació tractada; el responsable del servei, que determina els requisits de seguretat dels serveis prestats; el responsable del sistema, que té la responsabilitat sobre la prestació dels serveis; i el responsable de seguretat, que determina les decisions per satisfer els requisits de seguretat. En els supòsits de tractament de dades personals a més s’identificarà el responsable de tractament i, en el seu cas, l’encarregat de tractament.

Requisits de Seguretat

Aquesta política de seguretat es desenvoluparà aplicant els següents requisits:

Organització i implantació del procés de seguretat

La seguretat de la informació compromet a tots els membres de l’organització. Augusta Advocats identifica els responsables i estableix les seves responsabilitats a l’efecte en els apartats de “Rols, responsabilitats i deures” i “Terceres Parts” d’aquest document. Aquesta Política de seguretat i la normativa seran conegudes per totes les persones compreses en l’àmbit d’aplicació d’aquest document.

Anàlisi i gestió dels riscos. Inclusió dels riscos amb Dades Personals

Conèixer els riscos i elaborar una estratègia per gestionar-los adequadament és primordial per a Augusta Advocats, ja que únicament si es coneix l’estat de seguretat es podran prendre les decisions adequades per mitigar els riscos als quals s’enfronta.
Quan un sistema d’informació tracti dades personals li serà d’aplicació el disposat en el RGPD i en la LOPDGDD o, en el seu cas, la Llei Orgànica 7/2021, de 26 de maig, de protecció de dades personals tractats per a fins de prevenció, detecció, investigació i enjudiciament d’infraccions penals i d’execució de sancions penals. El responsable o l’encarregat del tractament, assessorat pel delegat de protecció de dades, realitzarà una anàlisi de riscos conforme a l’article 24 del Reglament General de Protecció de Dades i, en els supòsits del seu article 35, una avaluació d’impacte en la protecció de dades. Del resultat d’aquesta anàlisi poden derivar-se mesures addicionals a implantar.
Augusta Advocats utilitza la metodologia Magerit per analitzar els riscos., realitzant una anàlisi detallada dels riscos que afectin als actius recollits en un inventari d’actius, que queda documentat en un document d’Anàlisi de Riscos.
L’entitat determina els nivells de risc a partir dels quals pren accions de tractament sobre els mateixos. Un Risc es considera acceptable quan implementar més controls de seguretat s’estima que consumiria més recursos que el possible impacte associat.
El Comitè de Seguretat de la Informació serà l’encarregat que es realitzi l’anàlisi de riscos, així com d’identificar mancances i debilitats i posar-les en coneixement de la direcció. Aquesta anàlisi es repetirà:

Regularment, almenys una vegada cada any.
Quan canviïn la informació manejada i/o els serveis prestats de manera significativa.
Quan ocorri un incident greu de seguretat o es detectin vulnerabilitats greus.

Un cop dut a terme el procés d’avaluació de riscos, la direcció d’Augusta Advocats és la responsable d’aprovar els riscos residuals i els plans de tractament de risc.
En el cas de les mesures implantades en l’ENS, si l’anàlisi de riscos estableix mesures més importants, s’afegiran aquestes a les descrites en l’ENS.

Gestió de personal

Tot el personal d’Augusta Advocats relacionat amb la informació i els sistemes és format i informat dels seus deures i obligacions en matèria de seguretat, essencialment mitjançant els procediments de seguretat que en cada cas corresponguin i mitjançant la normativa d’ús dels actius. Les seves actuacions són supervisades segons els rols establerts per verificar que es segueixen els procediments definits.
Els accessos dels usuaris són únics i es verifiquen de forma periòdica els seus drets i les activitats que tenen a veure amb la Seguretat de la informació per corregir o exigir responsabilitats en el seu cas.

Professionalitat, Conscienciació i Formació

La seguretat dels sistemes és gestionada i revisada per personal d’Augusta Advocats qualificat i personal extern especialitzat, que rep i actualitza la formació necessària per garantir la seguretat de la informació en tot el cicle de vida dels sistemes d’informació: planificació, disseny, adquisició, construcció, desplegament, explotació, manteniment, gestió d’incidències i desmantellament. Els requisits de qualificació (formació i experiència) seran sempre establerts per Augusta Advocats.
La present Política de Seguretat de la Informació ha de ser coneguda per tots els usuaris interns i externs i per les empreses que accedeixin, gestionin o tractin dades d’Augusta Advocats.
El conjunt de Polítiques, normes i procediments complementaris a aquesta Política de Seguretat de la Informació també hauran de ser adequadament comunicats i posats en coneixement de les persones, empreses i institucions afectades o implicades en cada cas.
Es definiran, periòdicament, programes de comunicació, conscienciació i formació i es posarà a disposició dels usuaris la normativa d’ús dels actius d’informació.
Augusta Advocats promourà la Formació tècnica en Seguretat de la Informació necessària, així com activitats de conscienciació per a tot el personal.

Autorització i control dels accessos.

L’accés als sistemes d’informació és controlat, monitoritzat i limitat als usuaris, processos, dispositius i sistemes d’informació amb les mínimes funcionalitats permeses i/o autoritzades.
S’establiran i gestionaran les autoritzacions necessàries per a les tasques crítiques.

Adquisició de productes de seguretat i contractació de serveis de seguretat

Per a l’adquisició de productes, Augusta Advocats tindrà en compte que aquests productes tinguin certificada la funcionalitat de seguretat relacionada amb l’objecte de la seva adquisició, excepte en aquells casos en què les exigències de proporcionalitat pel que fa als riscos assumits no ho justifiquin, segons el parer del Comitè de seguretat de la informació.
Per a la contractació de serveis de seguretat es tindrà en compte el que s’indica als apartats anteriors i el que es disposa a l’apartat de “Terceres parts” més endavant en aquest document.

Mínim Privilegi i Seguretat des del Disseny

A Augusta Advocats, els sistemes es dissenyen i configuren sempre pensant en la Seguretat per Defecte. El sistema proporciona la mínima funcionalitat requerida perquè les funcions d’operació, administració i registre d’activitat siguin les mínimes necessàries, i Augusta Advocats s’assegura que només són accessibles per les persones, i des d’emplaçaments o equips autoritzats.
S’eliminaran o desactivaran, mitjançant el control de la configuració, les funcions que siguin innecessàries o inadequades per a la finalitat que es persegueix. L’ús ordinari del sistema ha de ser senzill i segur, de manera que una utilització insegura requereixi un acte conscient per part de l’usuari. Per a això, s’aplicaran guies de configuració de seguretat per a les diferents tecnologies, adaptades a la categorització del sistema, amb la finalitat d’eliminar o desactivar les funcions que siguin innecessàries o inadequades.
Tots els projectes relacionats o que afectin els sistemes d’informació hauran d’incloure, en el seu procés d’anàlisi, una avaluació dels requisits de seguretat i definir un model de seguretat consensuat amb el Comitè de Seguretat de la Informació.
En el disseny, desenvolupament, instal·lació i gestió dels sistemes d’informació i en els projectes es tindran en compte i s’aplicaran els conceptes de seguretat des del disseny, codificació segura i els controls i mesures de seguretat que corresponguin segons el document d’aplicabilitat aprovat per Augusta Advocats.

Integritat i actualització del sistema

A Augusta Advocats, els sistemes s’avaluen de manera periòdica per conèixer en tot moment el seu estat de seguretat, tenint en compte les especificacions dels fabricants, les vulnerabilitats, les deficiències de la seva configuració, les actualitzacions que corresponguin i la detecció precoç d’incidents, i gestionant així la seva integritat.
Tots els elements dels sistemes requereixen autorització prèvia per a la seva instal·lació.

Protecció de la informació emmagatzemada i en trànsit

La informació es classifica d’acord amb la sensibilitat requerida en el seu tractament i segons els nivells de seguretat i protecció exigibles.
Augusta Advocats presta especial atenció a la informació emmagatzemada o en trànsit a través d’entorns insegurs. Això inclou la informació emmagatzemada o tractada en equips portàtils, tauletes, telèfons intel·ligents, dispositius perifèrics, suports d’informació, així com les comunicacions sobre xarxes obertes o amb xifrat feble, on s’apliquen les mesures de seguretat que garanteixin que la informació es tracta segons la seva classificació.
S’aplicaran procediments que garanteixin la recuperació i conservació a llarg termini dels documents electrònics produïts pels sistemes d’informació.
Tota informació en suport no electrònic que hagi estat causa o conseqüència directa de la informació electrònica haurà d’estar protegida amb el mateix grau de seguretat que aquesta. Per a això, s’aplicaran les mesures que corresponguin a la naturalesa del suport, d’acord amb les normes que resultin d’aplicació.

Prevenció davant d’altres sistemes d’informació interconnectats

Augusta Advocats protegeix el perímetre d’accés al seu sistema, en particular en les connexions a través d’Internet, analitzant sempre els riscos derivats de la interconnexió amb altres sistemes i establint les mesures que garanteixin el nivell de seguretat necessari.

Registre d’activitat i detecció de codi maliciós

Augusta Advocats ha habilitat registres de l’activitat dels usuaris retenint la informació necessària per monitoritzar, analitzar, investigar i documentar activitats indegudes o no autoritzades, permetent identificar en tot moment la persona que actua. Tot això amb plenes garanties del dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge dels afectats, i d’acord amb la normativa sobre protecció de dades personals i altres disposicions que resultin d’aplicació.
Augusta Advocats implementa un procés integral de detecció, reacció i recuperació davant de codi maliciós mitjançant el desenvolupament de procediments que cobreixen els mecanismes de detecció, els criteris de classificació, els procediments d’anàlisi i resolució, així com els canals de comunicació a les parts interessades i el registre de les actuacions.
Per tal de preservar la seguretat dels sistemes d’informació, garantint el compliment rigorós dels principis d’actuació de les administracions públiques, i de conformitat amb el que disposa el Reglament General de Protecció de Dades i el respecte als principis de limitació de la finalitat, minimització de les dades i limitació del termini de conservació, es podrà, en la mesura estrictament necessària i proporcionada, analitzar les comunicacions entrants o sortints, i únicament per als fins de seguretat de la informació, de manera que sigui possible impedir l’accés no autoritzat a les xarxes i sistemes d’informació, detenir els atacs de denegació de servei, evitar la distribució malintencionada de codi maliciós així com altres danys a les esmentades xarxes i sistemes d’informació.
Per corregir o, si escau, exigir responsabilitats, cada usuari que accedeixi al sistema d’informació haurà d’estar identificat de manera única, de manera que es sàpiga, en tot moment, qui rep drets d’accés, de quin tipus són aquests i qui ha realitzat una determinada activitat.

Incidents de seguretat

Perquè la informació i/o els serveis no es vegin perjudicats per incidents de seguretat, Augusta Advocats implementa les mesures de seguretat establertes, així com qualsevol altre control addicional, que hagi identificat com a necessari, mitjançant una avaluació d’amenaces i riscos. Aquests controls, així com els rols i responsabilitats de seguretat de tot el personal, estan clarament definits i documentats.
Quan es produeixi una desviació significativa dels paràmetres preestablerts com a normals, s’establiran els mecanismes de detecció, anàlisi i report necessaris perquè arribin als responsables regularment.
Augusta Advocats establirà les següents mesures de reacció davant incidents de seguretat:

Mecanismes per respondre eficaçment als incidents de seguretat.
Designar un punt de contacte per a les comunicacions respecte als incidents detectats en altres departaments o organismes.
Establir protocols per a l’intercanvi d’informació relacionada amb l’incident.
Disposar dels mitjans i tècniques necessàries per garantir la recuperació dels serveis més crítics.

Els usuaris disposen de canals establerts per informar immediatament de qualsevol incident o anomalia detectada.

Continuitat de l’activitat

Augusta Advocats realitza les còpies de seguretat que garanteixen la recuperació de la informació, i estableix els mecanismes adequats per garantir la continuïtat de les operacions en cas de pèrdua dels mitjans habituals.
En aquest sentit, s’han desenvolupat procediments que asseguren la recuperació i conservació a llarg termini dels documents i dades electròniques produïts en l’àmbit de les seves competències.

Millora contínua del procés de seguretat

El sistema de gestió de seguretat implantat és actualitzat i millorat de manera contínua, segons estableixen les certificacions, tal com està descrit més endavant en aquest document.

Requisits legals i marc normatiu

Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals (RGPD).
Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD).
Llei Orgànica 7/2021, de 26 de maig, de protecció de dades personals tractades amb finalitats de prevenció, detecció, investigació i enjudiciament d’infraccions penals i d’execució de sancions penals.
Reial decret legislatiu 1/1996, de 12 d’abril, Llei de Propietat Intel·lectual.
Llei 2/2019, d’1 de març, per la qual es modifica el text refós de la Llei de Propietat Intel·lectual, aprovat pel Reial decret legislatiu 1/1996, de 12 d’abril, i per la qual s’incorporen a l’ordenament jurídic espanyol la Directiva 2014/26/UE del Parlament Europeu i del Consell, de 26 de febrer de 2014, i la Directiva (UE) 2017/1564 del Parlament Europeu i del Consell, de 13 de setembre de 2017.
Reial decret llei 12/2018, de 7 de setembre, de seguretat de les xarxes i sistemes d’informació.
Reial decret 43/2021, de 26 de gener, pel qual es desenvolupa el Reial decret llei 12/2018, de 7 de setembre, de seguretat de les xarxes i sistemes d’informació.
Reial decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat.
Llei 58/2003, de 17 de desembre, General Tributària.
Llei 2/2007, de 15 de març, de societats professionals.
Reial decret 135/2021, de 2 de març, pel qual s’aprova l’Estatut general de l’Advocacia Espanyola.
Reial decret legislatiu 1/2007, de 16 de novembre, pel qual s’aprova el text refós de la Llei general per a la Defensa dels Consumidors i Usuaris i altres lleis complementàries.
Reial decret legislatiu 2/2015, de 23 d’octubre, pel qual s’aprova el text refós de la Llei de l’Estatut dels Treballadors.
Llei 9/2017, de 8 de novembre, de Contractes del Sector Públic.
UNE-ISO/IEC 27001:2023 Seguretat de la Informació, ciberseguretat i protecció de la privacitat. SGSI. Requisits.
UNE-ISO/IEC 27002:2023 Seguretat de la Informació, ciberseguretat i protecció de la privacitat. Control de Seguretat de la Informació.

Així mateix, el Comitè de Seguretat de la Informació serà responsable d’identificar les guies de seguretat del Centre Criptològic Nacional (CCN) que seran d’aplicació per millorar el compliment del que estableix l’Esquema Nacional de Seguretat.

Rols, Responsabilitats i Deures

Usuaris
Tota persona o sistema que accedeixi a la informació tractada, gestionada o propietat d’Augusta Advocats es considerarà un usuari. Els usuaris són responsables de la seva conducta quan accedeixen a la informació o utilitzen els sistemes informàtics d’Augusta Advocats. L’usuari és responsable de totes les accions realitzades utilitzant els seus identificadors o credencials personals.
Els usuaris tenen l’obligació de:

Complir la Política de Seguretat de la Informació i les normes, procediments i instruccions complementàries.
Protegir i custodiar la informació d’Augusta Advocats, evitant la revelació, emissió a l’exterior, modificació, esborrat o destrucció accidental o no autoritzada, o el mal ús, independentment del suport o mitjà pel qual hagi estat accedida o coneguda.
Conèixer i aplicar la Política de Seguretat de la Informació, les Normes d’Ús dels Sistemes d’Informació i la resta de polítiques, normes, procediments i mesures de seguretat aplicables.

Els usuaris que incompleixin la Política de Seguretat de la Informació o les normes i procediments complementaris podran ser sancionats d’acord amb el que estableixin els contractes que emparen la seva relació amb Augusta Advocats i amb la legislació vigent i aplicable.
Responsable de la Informació (Esquema Nacional de Seguretat)
El Responsable de la Informació, la responsabilitat del qual recau en la Direcció, és qui determina els requisits de la informació tractada.
El Responsable de la Informació té les següents responsabilitats:

Vetllar pel bon ús de la informació i, per tant, per la seva protecció.
Establir els requisits de la informació en matèria de seguretat.
Determinar els nivells de seguretat de la informació tractada, valorant les conseqüències d’un impacte negatiu.

Responsable del Servei (Esquema Nacional de Seguretat)
El Responsable del Servei, la responsabilitat del qual recau en la Direcció, tindrà les següents responsabilitats generals:

Establir els requisits del servei en matèria de seguretat, incloent-hi els requisits d’interoperabilitat, accessibilitat i disponibilitat.
Determinar els nivells de seguretat del servei, d’acord amb el Comitè de Seguretat de la Informació.
Mantenir la seguretat de la informació gestionada i dels serveis prestats pels sistemes d’informació en el seu àmbit de responsabilitat.

Direcció

La direcció d’Augusta Advocats està profundament compromesa amb la política descrita en aquest document i és conscient del valor de la informació i del greu impacte econòmic i d’imatge que pot produir un incident de seguretat.
La Direcció és, per tant, propietària dels actius d’informació propis d’Augusta Advocats, i també és responsable dels riscos.
La Direcció assumeix, a més, les següents responsabilitats:

Demostrar lideratge i compromís respecte al sistema de gestió de seguretat de la informació.
Assegurar que s’estableixen la política i els objectius de seguretat de la informació i que aquests són compatibles amb la direcció estratègica de l’organització.
Aprovar i comunicar la Política de Seguretat de la Informació, les Normes d’Ús dels Sistemes d’Informació i la importància del seu compliment a tots els usuaris, interns o externs, als clients i als proveïdors.
Reunir-se almenys un cop l’any, i quan qualsevol esdeveniment o sol·licitud extraordinària ho requereixi, amb els Socis d’Augusta Advocats per informar sobre el SGSI i actualitzar l’estratègia en matèria de Seguretat de la Informació.
Fomentar una cultura corporativa de seguretat de la informació.
Donar suport a la millora contínua dels processos de seguretat de la informació.
Assegurar que hi hagi disponibles els recursos necessaris per al compliment de la política de seguretat de la informació, de les normes d’ús dels sistemes i per al funcionament del sistema de gestió de seguretat de la informació.
Definir l’enfocament per a l’anàlisi i la gestió dels riscos de seguretat de la informació i els criteris per assumir els riscos, i assegurar-ne l’avaluació almenys amb una periodicitat anual.
Assegurar que es realitzen auditories internes de seguretat de la informació i que se’n revisen els resultats per identificar oportunitats de millora.
Definir i controlar el pressupost per a la seguretat de la informació.
Aprovar els plans de formació i les millores i projectes relacionats amb la Seguretat de la Informació.
Aprovar la documentació fins al seu segon nivell de normes i procediments.
Determinar les mesures, siguin disciplinàries o de qualsevol altre tipus, que es puguin aplicar als responsables de violacions de seguretat.

Responsable de Seguretat

El responsable de la seguretat determina les decisions per satisfer els requisits de seguretat de la informació i dels serveis i supervisa la implantació de les mesures necessàries per garantir que es compleixen aquests requisits i informarà sobre aquestes qüestions.
La persona amb el càrrec de Responsable de Seguretat de la Informació assumirà les següents funcions:

Promoure la seguretat de la informació gestionada i dels serveis electrònics prestats pels sistemes d’informació, amb la responsabilitat i autoritat per assegurar-se que el Sistema de Gestió de la Seguretat de la Informació compleix els requisits de l’Esquema Nacional de Seguretat i de la Norma UNE-ISO/IEC 27001.
Supervisar el compliment de la present Política, de les seves normes, procediments derivats i de la configuració de seguretat dels sistemes.
Establir les mesures de seguretat adequades i eficaces per complir els requisits de seguretat establerts pels Responsables del Servei i de la Informació, seguint en tot moment el que exigeix l’Annex II de l’ENS, declarant l’aplicabilitat d’aquestes mesures.
Promoure les activitats de conscienciació i formació en matèria de seguretat en el seu àmbit de responsabilitat.
Realitzar la coordinació i el seguiment de la implantació dels projectes d’adequació a les normes especificades en col·laboració amb el Responsable de Sistemes.
Realitzar, amb la col·laboració del Responsable del Sistema, les anàlisis de riscos preceptius, seleccionar les salvaguardes a implantar i revisar el procés de gestió del risc. Així mateix, juntament amb el Responsable del Sistema, acceptar els riscos residuals calculats en l’anàlisi de riscos.
Promoure auditories periòdiques per verificar el compliment de les obligacions en matèria de seguretat de la informació i analitzar els informes d’auditoria, elaborant les conclusions a presentar al Responsable del Sistema perquè adopti les mesures correctores adequades.
Coordinar el procés de Gestió de la Seguretat, en col·laboració amb el Responsable de Sistemes.
Signar la Declaració d’Aplicabilitat, que comprèn la relació de mesures de seguretat seleccionades per a un sistema.
Elaborar informes periòdics de seguretat que incloguin els incidents més rellevants en cada període, en coordinació amb el Responsable de Sistemes.
Determinar la categoria del sistema segons el procediment descrit a l’Annex I de l’ENS i les mesures de seguretat que s’han d’aplicar d’acord amb el previst a l’Annex II de l’ENS.
Verificar que les mesures de seguretat són adequades per a la protecció de la informació i els serveis.
Participar en la preparació dels temes a tractar en les reunions del Comitè de Seguretat, en coordinació amb el Responsable del Sistema, aportant informació puntual per a la presa de decisions.
Responsable de l’execució directa o delegada de les decisions de la Direcció, es reunirà amb aquesta i amb el Responsable del Sistema per assegurar l’estratègia.
Respecte a la documentació, i amb el suport del Responsable del Sistema, són funcions del Responsable de Seguretat:
Proposar a la Direcció i al Responsable de Sistemes per a la seva aprovació la documentació de seguretat de segon nivell (Normes de Seguretat TIC –STIC– i Procediments Generals del Sistema de Gestió de la Seguretat de la Informació –SGSI–) i signar aquesta documentació.
Aprovar la documentació de seguretat de tercer nivell (Procediments Operatius STIC i Instruccions Tècniques STIC).
Mantenir la documentació organitzada i actualitzada, gestionant els mecanismes d’accés a aquesta.

Per al desenvolupament de qualsevol de les seves funcions, el Responsable de Seguretat podrà recaptar la col·laboració del Responsable del Sistema.
Delegat de Protecció de Dades
Seguint el que s’indica en el RGPD i en la LOPDGDD, el Delegat de Protecció de Dades tindrà, com a mínim, les funcions següents:

Informar i assessorar el responsable del tractament i els seus empleats sobre les obligacions que els corresponen en relació amb el RGPD i altres disposicions de protecció de dades.
Supervisar el compliment del present Reglament, d’altres disposicions de protecció de dades de la Unió o dels Estats membres i de les polítiques del responsable o de l’encarregat del tractament en matèria de protecció de dades personals, inclosa l’assignació de responsabilitats, la conscienciació i formació del personal que participa en les operacions de tractament, i les auditories corresponents.
Oferir l’assessorament que se li sol·liciti sobre l’avaluació d’impacte relativa a la protecció de dades i supervisar-ne l’aplicació de conformitat amb l’article 35.
Cooperar amb l’autoritat de control.
Actuar com a punt de contacte de l’autoritat de control per a qüestions relatives al tractament, inclosa la consulta prèvia a què es refereix l’article 36, i realitzar consultes, si escau, sobre qualsevol altre assumpte.

Responsable del Sistema
El responsable del sistema, per si mateix o a través de recursos propis o contractats, s’encarrega de desenvolupar la forma concreta d’implementar la seguretat en el sistema i de la supervisió de l’operació diària d’aquest, podent delegar en administradors o operadors sota la seva responsabilitat.
Les funcions del Responsable del Sistema seran les següents:

Desenvolupar, operar i mantenir el sistema d’informació durant tot el seu cicle de vida, des de les seves especificacions fins a la instal·lació i verificació del seu correcte funcionament.
Definir la topologia i el sistema de gestió del Sistema d’Informació, establint els criteris d’ús i els serveis disponibles en aquest.
Assegurar-se que les mesures específiques de seguretat s’integrin adequadament dins del marc general de seguretat.
Realitzar exercicis i proves sobre els procediments operatius de seguretat i els plans de continuïtat existents.
Seguiment del cicle de vida dels sistemes: especificació, arquitectura, desenvolupament, operació i canvis.
Implantar les mesures necessàries per garantir la seguretat del sistema durant tot el seu cicle de vida, d’acord amb el Comitè de Seguretat de la Informació.
Aprovar qualsevol modificació substancial de la configuració de qualsevol element del sistema.
Suspendre la gestió d’una determinada informació o la prestació d’un servei electrònic si és informat de deficiències greus de seguretat, previ acord amb el Comitè de Seguretat de la Informació i la Direcció.
Realitzar, amb la col·laboració del Comitè de Seguretat de la Informació, les anàlisis de riscos preceptives, seleccionar les salvaguardes a implantar i revisar el procés de gestió del risc. Així mateix, juntament amb el Comitè de Seguretat de la Informació, acceptar els riscos residuals calculats en l’anàlisi de riscos.
Elaborar, en col·laboració amb el Comitè de Seguretat de la Informació, la documentació de seguretat de tercer nivell (Procediments Operatius STIC i Instruccions Tècniques STIC).

L’Administrador de la Seguretat del Sistema
Les funcions que durà a terme són les següents:

La implementació, gestió i manteniment de les mesures de seguretat aplicables al sistema d’informació.
La gestió, configuració i actualització, si escau, del maquinari i programari en què es basen els mecanismes i serveis de seguretat dels sistemes d’informació.
La gestió de les autoritzacions concedides als usuaris del sistema, en particular, els privilegis concedits, incloent-hi la supervisió que l’activitat desenvolupada en el sistema s’ajusta al que està autoritzat.
L’aplicació dels procediments operatius de seguretat.
Aplicar els canvis de configuració del sistema d’informació.
Assegurar que els controls de seguretat establerts es compleixen estrictament, així com assegurar que s’apliquen els procediments aprovats per gestionar el sistema d’informació.
Supervisar les instal·lacions de maquinari i programari, les seves modificacions i millores per garantir que la seguretat no es veu compromesa i que en tot moment s’ajusten a les autoritzacions pertinents.
Monitoritzar l’estat de seguretat del sistema proporcionat per les eines de gestió d’esdeveniments de seguretat i mecanismes d’auditoria tècnica implementats en el sistema.
Informar els respectius Responsables de qualsevol anomalia, compromís o vulnerabilitat relacionada amb la seguretat.
Col·laborar en la investigació i resolució d’incidents de seguretat, des de la seva detecció fins a la seva resolució.

Comitè de Seguretat de la Informació
El Comitè de seguretat de la informació està compost pels següents rols:

- President: Direcció.
- Secretària: Advocada TMT.
- Vocals:
  - Delegada de protecció de dades i responsable de seguretat.
  - Responsable d’Administració.
  - Responsable del sistema.

El Comitè de Seguretat de la Informació es reunirà un cop al trimestre i puntualment amb més assiduïtat si les circumstàncies ho requereixen.
Les seves funcions són les següents:

- Atendre les sol·licituds, en matèria de Seguretat de la Informació, de l’Administració i dels diferents rols de seguretat i/o àrees, informant regularment de l’estat de la Seguretat de la Informació.
- Assessorar en matèria de Seguretat de la Informació.
- Resoldre els conflictes de responsabilitat que puguin sorgir entre les diferents unitats administratives.
- Promoure la millora contínua del sistema de gestió de la Seguretat de la Informació. Per a això s’encarregarà de:
  - Coordinar els esforços de les diferents àrees en matèria de Seguretat de la Informació, per assegurar que aquests siguin consistents, alineats amb l’estratègia decidida en la matèria, i evitar duplicitats.
  - Proposar plans de millora de la Seguretat de la Informació, amb la seva dotació pressupostària corresponent, prioritzant les actuacions en matèria de seguretat quan els recursos siguin limitats.
  - Vetllar perquè la Seguretat de la Informació es tingui en compte en tots els projectes des de la seva especificació inicial fins a la seva posada en operació. En particular, haurà de vetllar per la creació i utilització de serveis horitzontals que redueixin duplicitats i donin suport a un funcionament homogeni de tots els sistemes TIC.
  - Fer un seguiment dels principals riscos residuals assumits i recomanar possibles actuacions respecte a aquests.
  - Fer un seguiment de la gestió dels incidents de seguretat i recomanar possibles actuacions respecte a aquests.
  - Revisar regularment la present Política de Seguretat de la Informació per a la seva aprovació per l’òrgan competent.
  - Elaborar la normativa de Seguretat de la Informació per a la seva aprovació en coordinació amb la Direcció General.
  - Verificar els procediments de seguretat de la informació i altra documentació per a la seva aprovació.
  - Elaborar programes de formació destinats a formar i sensibilitzar el personal en matèria de Seguretat de la Informació i protecció de dades de caràcter personal.
  - Elaborar i aprovar els requisits de formació i qualificació d’administradors, operadors i usuaris des del punt de vista de Seguretat de la Informació.
  - Promoure la realització d’auditories periòdiques ENS, ISO 27001 i de protecció de dades que permetin verificar el compliment de les obligacions de l’organització en matèria de Seguretat de la Informació.

El Comitè de Seguretat de la Informació, finalment, adoptarà a més les funcions del Responsable de Seguretat.
Procediment de designació i resolució de conflictes
La Direcció d’Augusta Advocats assigna, renova i comunica les responsabilitats, autoritats i rols pel que fa a la seguretat de la informació, determinant en cada cas els motius i el termini de vigència. També s’assegurarà que els usuaris coneixen, assumeixen i exerceixen les responsabilitats, autoritats i rols assignats, resolent els conflictes que es generin en relació amb cada responsabilitat en Seguretat de la Informació.

Dades de Caràcter Personal

L’organització només recollirà dades de caràcter personal quan siguin adequades, pertinents i no excessives i aquestes es trobin en relació amb l’àmbit i les finalitats per a les quals s’hagin obtingut. De la mateixa manera, adoptarà les mesures d’índole tècnica i organitzativa necessàries per al compliment de la normativa de Protecció de Dades vigent en cada cas.
D’aquesta manera, amb la LOPDGDD s’han adaptat les mesures oportunes, com ara l’anàlisi de legitimitat jurídica de cadascun dels tractaments de dades que es duguin a terme, l’anàlisi de riscos, l’avaluació d’impacte si el risc és alt, el registre d’activitats i el nomenament de qui hagi de dur a terme les funcions de Delegat de Protecció de Dades.

Terceres parts

Quan l’organització presti serveis a altres organismes, o gestioni informació d’altres organismes, se’ls farà partícips d’aquesta Política de Seguretat de la Informació. Augusta Advocats definirà i aprovarà els canals per a la coordinació de la informació i els procediments d’actuació per a la reacció davant incidents de seguretat, així com la resta d’actuacions que Augusta Advocats dugui a terme en matèria de Seguretat en relació amb altres organismes.
Quan Augusta Advocats utilitzi serveis de tercers o cedeixi informació a tercers, se’ls farà partícips d’aquesta Política de Seguretat i de la Normativa de Seguretat existent que concerneix aquests serveis o informació. Aquesta tercera part quedarà subjecta a les obligacions establertes en l’esmentada normativa, podent desenvolupar els seus propis procediments operatius per satisfer-la. S’establiran procediments específics de comunicació i resolució d’incidències. Es garantirà que el personal de tercers estigui adequadament conscienciat en matèria de seguretat, almenys al mateix nivell que el que estableix aquesta Política de Seguretat.
Quan algun aspecte d’aquesta Política de Seguretat no pugui ser satisfet per una tercera part segons es requereix en els paràgrafs anteriors, es requerirà un informe del Comitè de Seguretat de la Informació que precisi els riscos en què s’incorre i la manera de tractar-los. Es requerirà l’aprovació d’aquest informe per part dels responsables de la informació i els serveis afectats abans de continuar endavant.

Desenvolupament del SGSI, Revisió i Auditories

La direcció ha aprovat el desenvolupament d’un sistema de gestió de seguretat de la informació (SGSI) que és establert, implementat, mantingut i millorat conforme als estàndards de seguretat. Aquest sistema s’adequarà i servirà per a la gestió dels controls de l’Esquema Nacional de Seguretat i la ISO 27001. El sistema serà documentat i permetrà generar evidències dels controls i del compliment dels objectius marcats. Existeix un procediment de gestió documental que estableix les directrius per a l’estructuració de la documentació de seguretat del sistema, la seva gestió i accés.
La Política i les Normes de Seguretat de la Informació s’adaptaran a l’evolució dels sistemes i de la tecnologia i als canvis organitzatius, i s’alinearan amb la legislació vigent i amb els estàndards i millors pràctiques de l’Esquema Nacional de Seguretat i la ISO 27001, prestant especial atenció a les guies publicades pel Centre Criptològic Nacional com a desenvolupament de les mesures i controls de seguretat.
Les mesures de seguretat i els controls físics, administratius i tècnics aplicables es detallaran en el Document d’Aplicabilitat, i seran proporcionals a la criticitat de la informació a protegir i a la seva classificació.
El Comitè de Seguretat de la Informació revisarà aquesta política anualment o quan hi hagi canvis significatius que així ho aconsellin, i la sotmetrà novament a aprovació per part de la direcció. Les revisions comprovaran l’efectivitat de la política, valorant els efectes dels canvis tecnològics i de negoci.
La direcció serà responsable d’aprovar les modificacions necessàries en el text quan es produeixi un canvi que afecti les situacions de risc establertes en aquest document.
El sistema de gestió de seguretat se sotmetrà a auditories anuals internes (ENS i ISO 27001) i a auditories externes de la ISO 27001, així com a una auditoria externa de l’ENS cada dos anys, segons un pla d’auditories desenvolupat pel Comitè de Seguretat de la Informació.