Política de seguridad de la información

Despacho: M&C Abogados (Apna Advocats SLP)

Versión: 1.0

Fecha de aprobación: 26/06/2025

Aprobado por: Diana Caballero Aguirre, CEO y Responsable de Seguridad de la Información

Nivel de confidencialidad: Interno

1. Introducción

La información y los sistemas que la gestionan son activos críticos para M&C Abogados. La creciente dependencia de tecnologías digitales, el tratamiento de datos sensibles y la necesidad de mantener la confianza de los clientes exigen establecer una política de seguridad formal. Esta política define los principios, roles, responsabilidades y controles necesarios para proteger la información frente a amenazas internas y externas.

2. Misión y objetivos

La misión de esta política es asegurar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información que maneja el despacho. Sus objetivos principales son:

• Cumplir con la normativa vigente (RGPD, LOPDGDD, LSSI).
• Minimizar los riesgos de brechas o pérdidas de datos.
• Asegurar la continuidad operativa.
• Sensibilizar al equipo sobre su rol en la protección de la información.

3. Alcance

Aplica a todos los sistemas, personas, dispositivos y procesos que participan en el tratamiento de información en M&C Abogados. Incluye tanto información digital como en papel, sin importar su formato o soporte.

4. Marco normativo

Esta política se basa en:

• Reglamento (UE) 2016/679 (RGPD).
• Ley Orgánica 3/2018, de protección de datos y garantía de derechos digitales.
• Ley 34/2002 (LSSI).
• Principios de la norma ISO/IEC 27001.

5. Clasificación de la información

La información del despacho se clasificará en tres niveles:

• Confidencial: expedientes, datos de salud, menores, procedimientos penales.
• Uso interno: comunicaciones internas, recursos humanos, documentos de trabajo.
• Pública: contenidos publicados en web y redes sociales.

6. Organización de la seguridad

• Responsable de Seguridad: Diana Caballero Aguirre (CEO).
• Delegado de Protección de Datos: Equal Protección de Datos (externo).
• Responsable de canales digitales: Responsable de marketing digital.
• Soporte IT: proveedor externo, bajo encargo puntual.

Todo el personal es responsable de cumplir esta política y reportar incidentes o debilidades.

7. Gestión de riesgos

Aunque no se ha realizado una auditoría formal, el despacho se compromete a:

• Revisar los riesgos al menos una vez al año.
• Reaccionar ante incidentes que afecten la seguridad.
• Evaluar cambios tecnológicos o regulatorios.

8. Controles técnicos y accesos

• Contraseñas robustas y autenticación en dos pasos.
• Almacenamiento cifrado en Google Drive y OneDrive.
• Protección del sitio web con Wordfence y Limit Login Attempts.
• Acceso remoto controlado y uso responsable de dispositivos personales.

9. Gestión de incidentes

Los incidentes deberán comunicarse de inmediato al Responsable de Seguridad. Se evaluará su impacto y se notificará a la AEPD si corresponde. Se documentarán todos los casos para prevenir futuras recurrencias.

10. Relación con terceros

Los terceros que accedan a datos del despacho deberán firmar acuerdos de confidencialidad y cumplir esta política. Al finalizar la relación, deberán eliminar toda la información bajo garantías auditables.

11. Formación y concienciación

Todo el equipo recibirá formación básica anual en ciberseguridad, buenas prácticas y protección de datos. Se promoverá una cultura de seguridad activa.

12. Actualización y mejora continua

Esta política será revisada anualmente o cuando se produzcan cambios relevantes. Todas las modificaciones serán aprobadas por la Dirección y comunicadas al personal.

13. Documentación complementaria

La presente política se desarrollará mediante:

• Normas de seguridad internas.
• Procedimientos de trabajo seguro.
• Guías de buenas prácticas para empleados.

Aprobado por:

Diana Caballero Aguirre
CEO y Responsable de Seguridad de la Información