Política de Seguridad

Actualizado el 17/02/2026

Introducción

Asunto

El presente documento constituye la Política Estratégica de Seguridad de los Sistemas de Información (PSSI Estratégica) del grupo BODET SA. 

Aprobada por el director general, la PSSI estratégica define: 

  • Los retos y objetivos estratégicos en materia de seguridad de los sistemas de información
  • Los principios de gestión de la seguridad de los sistemas de información (SSI)
  • Los compromisos de la Dirección General para garantizar la sostenibilidad, eficacia y mejora continua del dispositivo de seguridad. 

La PSSI Estratégica se complementa con una PSSI Operativa, que reúne todos los requisitos temáticos relacionados con la seguridad física, lógica, organizativa y humana del sistema de información. 

Criterios de difusión

El corpus documental de la PSSI es objeto de una difusión controlada según el principio de necesidad de saber.

  • La PSSI Estratégica se puede difundir externamente de forma integral. Representa los compromisos del grupo Bodet relativos a la SSI. 
  • La PSSI Operativa está destinada prioritariamente a un uso interno. Los extractos pertinentes pueden comunicarse a las partes interesadas externas (clientes, socios, autoridades) afectadas por requisitos contractuales o reglamentarios. 
  • Los procedimientos asociados se difunden internamente de forma específica. 

Cada documento especifica explícitamente su lista de difusión autorizada. Cuando se requiera por razones de confidencialidad, solo se podrán transmitir extractos relevantes.

El ámbito de aplicación

La PSSI estratégica se aplica:

  • Al conjunto del Sistema de información del grupo Bodet, en todos sus componentes;
  • A todos los colaboradores, directivos, empleados, interinos, pasantes;
  • A todos los proveedores de servicios, socios y terceros que accedan al sistema de información o manipulen información bajo la responsabilidad del Grupo.

El Sistema de Información se entiende como el conjunto de medios que permiten crear, adquirir, procesar, almacenar, transmitir o destruir la información, independientemente de los soportes, tecnologías o ubicaciones. 

Las normas de seguridad

El grupo Bodet se inscribe en un proceso de armonización con las siguientes referencias: 

  • La norma ISO/IEC 27001 (2022);
  • La Guía de Higiene informática de la ANSSI (42 medidas);
  • El RGPD y los requisitos de la CNIL;
  • Las obligaciones reglamentarias y contractuales aplicables a sus actividades (RED2, CRA, NIS2). 
  • El Esquema Nacional de Seguridad (ENS) 

Glosario

  • Autenticidad: propiedad o característica por la que una entidad es lo que pretende ser o garantiza la fuente de los datos. 
  • Colaborador: cualquier persona que contribuya a las actividades del Grupo y acceda al SI (empleado, estudiante / pasante, trabajador temporal, etc.). 
  • Privacidad: permite garantizar que solo puedan acceder a la información aquellas personas que, en el marco de su actividad, necesiten conocerla 
  • Cumplimiento normativo: propiedad que garantiza que la información se gestiona de acuerdo con los principios éticos, profesionales y legales establecidos por la normativa aplicable en cada contexto. 
  • Disponibilidad: garantiza que los datos sean accesibles y utilizables por las entidades en el momento deseado y con el rendimiento deseado. 
  • Información: cualquier dato perteneciente al Grupo o confiado por un cliente, independientemente de su formato (papel, digital, oral). 
  • Integridad: permite garantizar que los datos manejados son exactos y coherentes, tanto en la entrada como en la salida, pero también que dichos datos no sufren modificaciones no deseadas durante su tratamiento o almacenamiento. 
  • Software: cualquier programa o ejecutable que participe en el procesamiento de la información (sistema operativo, software de supervisión, aplicación ofimática, aplicación comercial, etc.). 
  • Material: cualquier equipo físico que soporte el SI (estaciones de trabajo, servidores, móviles, soportes extraíbles, equipos de red, etc.). 
  • Política de Seguridad del Sistema de Información (PSSI): El conjunto de directivas que definen los compromisos, los objetivos y las normas del Grupo en materia de seguridad de la información. 
  • Red: cualquier forma de interconexión de los componentes de hardware y software del Sistema de Información que permita el intercambio de datos (línea especializada, red telefónica, Internet, VPN, enlaces entre sitios). 
  • Sede: cualquier ubicación física explotada por el Grupo (oficinas, fábricas, centros de datos, etc.). 
  • Sistema de Gestión de la Seguridad de la Información (SGSI): El conjunto de directivas que definen los compromisos, los objetivos y las normas del Grupo en materia de seguridad de la información. 
  • Sistema de gestión de la protección de datos (SGPD): es un conjunto de medidas organizativas implementadas por una empresa para garantizar que los datos personales se traten de conformidad con la normativa en materia de protección de datos. Esta directiva, que se basa en los requisitos del RGPD, contribuye a garantizar el cumplimiento en materia de protección de datos y proporciona pruebas al respecto cuando es necesario. Este sistema de gestión tiene como objetivo principal prevenir las infracciones, pero también puede rectificarlas o refutarlas a posteriori. 
  • Trazabilidad: permite garantizar la prueba de la ocurrencia de un evento o una acción en el sistema de información, así como de las entidades o personas implicadas.

Las actividades del grupo Bodet se desarrollan en un entorno afectado por las ciberamenazas.

Contexto de ciberseguridad

La digitalización de los usos trae muchos beneficios, tanto para los ciudadanos como para las empresas, favoreciendo la innovación y el desarrollo de nuevas oportunidades económicas. Sin embargo, genera una mayor dependencia de las infraestructuras críticas y una complejidad interconectada que expone a la sociedad y a las organizaciones a ataques informáticos cada vez más sofisticados.

El ciberespacio se ha convertido en un espacio de competición y confrontación que refleja tensiones geopolíticas y rivalidades internacionales. Francia, al igual que otros países, se enfrenta a una amenaza cibernética intensa y extensa que proviene de estados, ciberdelincuentes, activistas o combinaciones de estos actores

Estos ciberataques pueden estar motivados por razones económicas, políticas, militares o ideológicas. Pueden perturbar el funcionamiento de la sociedad, amenazar la seguridad nacional y generar importantes pérdidas económicas, ya que afectan a las cadenas de suministro y a la continuidad de las actividades de las organizaciones.

Los ciberataques adoptan múltiples formas, que van desde el espionaje hasta el sabotaje, pasando por la extorsión y la subversión. Estas amenazas se materializan, en particular, en el auge de la ciberdelincuencia y la proliferación de herramientas cibernéticas intrusivas. Las infraestructuras críticas, incluidos los servicios en la nube que alojan datos sensibles y aplicaciones estratégicas, están especialmente expuestas.

La aparición de tecnologías disruptivas (inteligencia artificial, blockchain, computación cuántica) amplifica los riesgos al hacer que algunas protecciones actuales queden obsoletas y complicar el panorama de las amenazas.

Actividades del grupo

El grupo BODET diseña y fabrica software y equipos para sus clientes. Los entrega, los instala en las instalaciones de los clientes y se encarga de las reparaciones y las llamadas a la línea de asistencia.

Por lo tanto, el grupo debe manipular información sensible, como:

  • Datos de investigación y desarrollo;
  • Datos de control de la producción industrial;
  • Datos personales de sus terceros (clientes, proveedores, etc.);
  • Datos personales de sus colaboradores.

Esta información es indispensable para un funcionamiento correcto del grupo.

Estrategias, retos y objetivos de seguridad

Ejes estratégicos.

El grupo Bodet aspira a consolidar su posición de liderazgo en cada una de sus actividades al garantizar la satisfacción de sus clientes.

En un mundo cada vez más interconectado y digitalizado, las empresas están más expuestas a las ciberamenazas (ransomware, phishing, desfiguración del sitio web, etc.), y la Seguridad del Sistema de Información es esencial para el grupo BODET, para garantizar su desarrollo.

El grupo Bodet está expuesto a riesgos cibernéticos que pueden afectar a los siguientes aspectos:

  • Confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad y cumplimiento normativo de los datos corporativos e información de los clientes;
  • Continuidad operativa de sus actividades críticas;
  • Reputación y posición en los mercados nacionales o internacionales.

Por lo tanto, el éxito del grupo depende de la seguridad global de su SI. La ciberseguridad es un elemento imprescindible, realizado a través del sistema de gestión de la seguridad de la información (SGSI), y se plasma en la PSSI para:

  • Anticipar y reducir los riesgos cibernéticos;
  • Cumplir con las obligaciones legales, reglamentarias y contractuales;
  • Proteger los activos de información y digitales;
  • Garantizar la continuidad y la resiliencia de las actividades.

Retos de seguridad

El grupo Bodet está sometido a importantes retos de seguridad que responden a las orientaciones estratégicas:

  • Competitividad: garantizar la disponibilidad y fiabilidad de los SI en un contexto competitivo global.
  • Medio ambiente: apoyar los procesos certificados ISO 14001 con sistemas fiables y controlados.
  • Innovación: proteger el trabajo de I + D, los secretos industriales y la propiedad intelectual.
  • Internacional: proteger el intercambio de datos con filiales, distribuidores y socios en más de 110 países.
  • Calidad: integrar la ciberseguridad como componente esencial de la calidad de los productos y servicios, especialmente en 2026.
  • Capacidad de respuesta: garantizar un alto nivel de disponibilidad y soporte a los clientes.

Objetivos operativos

Ante estos desafíos, los objetivos de seguridad garantizan los requisitos de confidencialidad, integridad, disponibilidad y trazabilidad de los datos y su procesamiento. En este sentido, el grupo Bodet se compromete a:

  • Mantener en condiciones de seguridad el SI en todo momento;
  • Proteger losdatos del grupo y de sus clientes;
  • Promover unacultura compartida de seguridad de la información;
  • Velar por el cumplimiento de los requisitos definidos por las obligaciones legales y reglamentarias;
  • Conocer y controlar los riesgos cibernéticos;
  • Asegurar la resiliencia del sistema de información en caso de incidente;
  • Definir un nivel de seguridad al integrar nuevas interconexiones con el SI;
  • Garantizarla imagen de todo el grupo.

Estos objetivos se desglosan por temática en la PSSI Operativa. Esta última se basa en la norma ISO 27002: 2022, en la Guía de higiene de la ANSSI y en las buenas prácticas relativas a la seguridad de la información.

Gestión de la seguridad del SI

Compromiso de la Dirección general

La Dirección general es consciente de que la continuidad del grupo Bodet depende de su capacidad para proteger sus activos frente a las amenazas que puedan afectar a las actividades y los datos de la entidad.

La Dirección integra la PSSI en la estrategia general del grupo y proporciona los recursos necesarios para el buen funcionamiento del SGSI.

La Dirección general ha firmado una carta de compromiso detallada.

Comité de ciberseguridad

El comité de ciberseguridad del grupo Bodet se encarga de dirigir y coordinar las acciones relacionadas con la seguridad del sistema de información, teniendo en cuenta los ejes estratégicos de la organización. Este comité se reúne con una frecuencia mínima mensual. La Dirección general sigue la evolución del SGSI y valida las decisiones importantes. Es su mejor patrocinador. 

También se pueden establecer comités de ciberseguridad específicos para tratar la seguridad de las actividades y los datos en áreas sensibles o en caso de necesidad.

La composición de estos comités puede variar en función de las áreas implicadas y de los temas tratados. Se realiza una revisión de roles y responsabilidades como mínimo cada dos años.

Los roles principales relacionados con el comité son las siguientes: el RSSI, el responsable de la información, el responsable del servicio, el responsable del sistema.

Las principales responsabilidades

  • Dirección general: tiene la responsabilidad final de la seguridad del SI, valida el PSSI y asigna los recursos necesarios. 10 
  • Responsable de Seguridad del Sistema de Información (RSSI/CISO: ciso@kelio.com): Define, dirige y controla la implementación del PSSI y el SGSI. Garantiza el cumplimiento por parte de la organización de los requisitos de la ISO/IEC 27001, y de la normativa aplicable en materia de Seguridad del Sistema de Información (NIS2, CRA, etc.).
  • Delegado de Protección de Datos (DPD/DPO): Define, dirige y controla la implementación del DPMS. Garantiza el cumplimiento por parte de la organización de los requisitos del Reglamento General de Protección de Datos (RGPD), así como de la normativa aplicable en materia de protección de datos de carácter personal. • DSI : Implementa las medidas técnicas de seguridad en coordinación con el RSSI. 
  • Jefe de equipo: Velan por la aplicación de las normas de seguridad en sus equipos. 
  • Colaboradores y proveedores: Cumplen con las normas de seguridad e informan de cualquier incidencia o anomalía.

PSSI, el pilar de la implementación del SGSI

Estructura de la documentación

El objetivo del SGSI es garantizar que los riesgos relacionados con la seguridad y la confidencialidad de la información se conozcan, acepten, gestionen o minimicen de forma documentada, sistemática, estructurada, reproducible y aceptable, adaptándose a los cambios en materia de riesgos, entorno y tecnologías. La documentación relacionada con el SGSI se divide en 4 niveles:

  • La PSSI Estratégica: La PSSI estratégica: es el documento de referencia que recoge los retos estratégicos del Grupo, los principios de gobierno corporativo y establece los fundamentos de seguridad.
  • La PSSI Operativa: se trata de las normas de seguridad que la empresa ha decidido seguir, en función de las guías de buenas prácticas de seguridad (ISO/IEC 27001/2, Guía de higiene de ANSSI, RGPD, etc.).
  • Los procedimientos: se trata de los métodos de implementación técnica y organizativa que la organización se ha fijado.
  • Pruebas e indicadores: son los métodos de evaluación que permiten medir el rendimiento del SGSI.

Puesta en práctica

Los objetivos de seguridad de la información que se han definido anteriormente se detallan en las directivas de seguridad dentro del documento PSSI operativa. Estas directivas las deben aplicar todos los actores del Sistema de Información.

De manera general, cada evolución del Sistema de Información integra la seguridad teniendo en cuenta los requisitos de la PSSI Operativa en función de las necesidades de seguridad expresadas en términos de confidencialidad, integridad, disponibilidad y trazabilidad de los datos y tratamientos. Este es el enfoque Security/Privacy by Design.

Grandes principios

Solo el RSSI tiene todos los derechos sobre la gestión y la estructuración del SGSI. Algunos perfiles pueden tener accesos limitados que se adaptarán en función de la necesidad de conocerlos en cada caso (por ejemplo, aportación de pruebas por parte de un administrador, revisión por parte de un validador, firma de la Dirección, etc.).

  • Principio de necesidad de saber: El acceso a la información está estrictamente limitado a las personas que realmente necesitan conocerla para el ejercicio de sus funciones.
  • Principio de necesidad de seguridad: Cada activo está protegido con un nivel de seguridad proporcional a su importancia y relevancia para la organización.
  • Principio de mínimo privilegio: Cada usuario, proceso o servicio solo tiene los permisos estrictamente necesarios para su función, y nada más.
  • Principio de pertinencia de la recopilación: La cantidad de datos recopilados se limita a los fines previstos. Solo se conservan los datos estrictamente necesarios para el tratamiento.
  • Principio de control de los datos: Las actividades de tratamiento se registran y los datos se mantienen actualizados. Se evita la proliferación de datos personales innecesarios, y los datos obsoletos o que se han vuelto innecesarios se purgan regularmente.
  • Principio de licitud del tratamiento: El tratamiento de datos debe basarse en un fundamento jurídico adecuado: consentimiento, obligación legal, interés público, contrato, necesidad vital o interés legítimo.
  • Principio de recopilación leal: Los datos deben recopilarse de manera transparente y leal, sin sorpresas para las personas afectadas. El objetivo de la recopilación debe explicarse claramente y, si es necesario, debe reforzarse el consentimiento.
  • Principio de finalidad del tratamiento: La información sobre personas físicas solo puede registrarse y utilizarse para un fin específico. Queda prohibido cualquier uso no previsto en el momento de la recopilación.
  • Principio de almacenamiento limitado: Cada actividad de tratamiento debe definir un periodo de conservación adecuado. Debe basarse en las obligaciones legales y los requisitos operativos, y los datos conservados más allá de ese plazo deben eliminarse.

Revisión anual

La PSSI la revisa anualmente el Comité cibernético del grupo Bodet y la valida la Dirección general. El objetivo es verificar su adecuación con los ejes estratégicos del Grupo, sus retos o, en caso de cambios significativos en el sistema de información de la empresa.

Mejora continua

Todo el ciclo de vida del SGSI se basa en el principio de mejora continua, ilustrado por la rueda de Deming (PDCA: Plan, Do, Check, Act) a continuación: 

FaseAcción
PLANIFICAR (PLAN)La Comisión SI establece la PSSI y su aplicación operativa, validadas por la Dirección General. A continuación, elaboran un plan de acción para organizar la implementación de las normas establecidas.
REALIZAR (DO)Todos los empleados cumplen la PSSI, con el apoyo de los medios proporcionados por la Dirección General, a través del responsable de informática y su equipo.
COMPROBAR (CHECK)El cumplimiento de las normas de la PSSI se controla periódicamente mediante auditorías y pruebas. Se obtienen y analizan indicadores de seguridad (KPI) durante los Comités cibernéticos.
AJUSTAR (ACT)Las desviaciones detectadas se corrigen o se tienen en cuenta para la definición de un nuevo ciclo. Se lleva a cabo una nueva iteración (PDCA)

Derogaciones

Todas las desviaciones de las normas de seguridad establecidas se consideran brechas de seguridad. Puede haber excepciones. Cualquier excepción a las normas de seguridad requiere una derogación formalizada, validada por el RSSI y la Dirección General, y revisada periódicamente.

IDAsuntoSolicitante/ referenteRegla PSSI derogadaMedidas de mitigaciónDuración de la derogación concedidaFecha de validaciónValidadorFecha de expiraciónEstadoFecha de cierre
           

Penalizaciones

Cualquier incumplimiento de las normas definidas por la PSSI expone al empleado a medidas disciplinarias, diferenciadas en función de la gravedad de la falta, definidas en el Reglamento interno.

Temáticas de la PSSI operativa

La PSSI operativa recoge los capítulos de la ISO/IEC 27002, con los requisitos actualizados en 2022. Estos son los capítulos principales.

  • Capítulo 5 – Administración de la seguridad de la información (PSSI). La administración establece el marco para la gestión de la seguridad de la información. Define las políticas, orientaciones y principios rectores que permiten comprometer, controlar y mejorar la seguridad de la información en consonancia con la estrategia de la organización.
  • Capítulo 6 – Organización de la seguridad de la información: (responsabilidades, coordinación, movilidad, teletrabajo). Este capítulo define la organización de la seguridad, la distribución de funciones y responsabilidades, así como la integración de la seguridad en las relaciones internas y externas. También cubre la seguridad relacionada con la movilidad y el teletrabajo.
  • Capítulo 7 – Seguridad de los recursos humanos La seguridad de los recursos humanos tiene como objetivo garantizar que los empleados comprendan sus responsabilidades en materia de seguridad de la información. Protege los intereses de la organización a lo largo de todo el ciclo de vida de los empleados: antes de la contratación, durante la actividad y después de la salida.
  • Capítulo 8 – Gestión de activos: La gestión de activos consiste en identificar, inventariar y clasificar los activos de la organización. Permite asignar responsabilidades claras y garantizar que la información goce de un nivel de protección adecuado a su valor, sensibilidad e importancia.
  • Capítulo 9 – Control de accesos: Este capítulo tiene como objetivo controlar el acceso a los sistemas y a la información mediante mecanismos de autenticación y autorización adecuados. Regula estrictamente el uso de accesos privilegiados según los principios de necesidad de conocimiento y privilegio mínimo, e impone la trazabilidad de las acciones sensibles.
  • Capítulo 10 – Criptografía: La criptografía garantiza el uso correcto y eficaz de los mecanismos criptográficos con el fin de proteger la confidencialidad, la integridad y la autenticidad de la información. También cubre la gestión de claves criptográficas.
  • Capítulo 11 – Seguridad física y ambiental La seguridad física tiene como objetivo prevenir el acceso no autorizado, los daños y las interrupciones de la actividad relacionadas con la pérdida, el robo, la destrucción o el compromiso de los activos físicos, las instalaciones y las infraestructuras críticas.
  • Capítulo 12 – Seguridad relacionada con la explotación: La seguridad de la explotación garantiza un funcionamiento fiable y seguro de los medios de tratamiento de la información. Incluye protección contra malware, gestión de vulnerabilidades, registro de acciones, copia de seguridad de datos y prevención de la pérdida definitiva de información.
  • Capítulo 13 – Seguridad de las comunicaciones: Este capítulo tiene por objeto proteger la información que circula por las redes internas y externas. Cubre la seguridad de las comunicaciones, los accesos remotos, los usos móviles y los intercambios con entidades externas.
  • Capítulo 14 – Adquisición, desarrollo y mantenimiento de sistemas: La seguridad de la información debe integrarse en todas las etapas del ciclo de vida de los sistemas y proyectos: diseño, desarrollo, integración, explotación, mantenimiento y fin de vida útil.
  • Capítulo 15 – Relaciones con los proveedores: La seguridad relacionada con los proveedores tiene como objetivo garantizar que los activos accesibles a terceros estén protegidos de acuerdo con los requisitos de la organización. Impone un marco contractual, requisitos de seguridad y un seguimiento de las prestaciones.
  • Capítulo 16 – Gestión de incidentes con la seguridad de la información La gestión de incidentes garantiza una respuesta coherente y eficaz ante incidentes de seguridad, ya sean de origen humano, técnico o medioambiental. Un incidente de seguridad es cualquier situación que pueda afectar a la confidencialidad, integridad o disponibilidad de la información. La organización sigue un procedimiento que tiene en cuenta la prevención, la detección, la respuesta y la recuperación.
  • Capítulo 17 – Continuidad de la actividad: La continuidad de la actividad tiene como objetivo garantizar que los activos críticos y los procesos esenciales puedan seguir funcionando en caso de catástrofe grave, mediante planes de continuidad, recuperación y modos de funcionamiento degradados.
  • Capítulo 18 – Conformidad: El cumplimiento tiene por objeto evitar cualquier incumplimiento de las obligaciones legales, reglamentarias, contractuales y normativas. Garantiza que la seguridad de la información se implemente, controle y aplique de acuerdo con los compromisos y políticas de la organización.