Política de seguridad

Actualizada el 17/02/2026

Introducción

Objeto

El presente documento constituye la Política Estratégica de Seguridad de los Sistemas de Información (PSSI Estratégica) del grupo BODET SA. 

Aprobada por el director general, la PSSI estratégica define: 

  • Los desafíos y objetivos estratégicos en materia de seguridad de los sistemas de información; 
  • Los principios de gobernanza de la Seguridad de los Sistemas de Información (SSI); 
  • Los compromisos de la Dirección General que tienen como objetivo garantizar la sostenibilidad, la eficacia y la mejora continua del dispositivo de seguridad. 

La PSSI Estratégica se complementa con una PSSI Operativa, que abarca todas las exigencias temáticas relacionadas con la seguridad física, lógica, operativa y humana del sistema de información. 

Los criterios de difusión

El corpus documental de la PSSI es objeto de una difusión controlada según el principio de "necesidad de conocer".

  • La PSSI Estratégica se distribuye externamente e integralmente. Representa los compromisos del grupo Bodet relativos a la SSI. 
  • La PSSI Operativaestá destinada prioritariamente a un uso interno. Los extractos pertinentes pueden comunicarse a las partes interesadas externas (clientes, socios, autoridades) afectadas por requisitos contractuales o reglamentarios. 
  • Los procedimientos asociados se difunden internamente de forma específica. 

Cada documento específica precisamente su lista de difusión autorizada. Cuando sea necesario por motivos de confidencialidad, sólo se pueden comunicar los extractos pertinentes.

El perímetro de aplicación

La PSSI Estratégica se aplica:

  • Al Sistema de Información entero del Grupo Bodet, en todos sus componentes;
  • A todos los colaboradores, dirigentes, empleados, interinos, estudiantes en prácticas;
  • A todos los proveedores, socios y terceros que tienen acceso al sistema de información o que manipulan información bajo la responsabilidad del Grupo.

El Sistema de Información se entiende como todos los medios que permiten crear, adquirir, procesar, almacenar, transmitir o destruir información, cualquiera que sean los soportes, tecnologías o localizaciones. 

Referencias de seguridad

El grupo Bodet se inscribe en un proceso de armonización con las siguientes referencias: 

  • La norma ISO/IEC 27001 (2022); 
  • La Guía de higiene informática de la ANSSI (42 medidas); 
  • El RGPD y las exigencias de la CNIL; 
  • Las obligaciones reglamentarias y contractuales aplicables a sus actividades (RED2, CRA, NIS2). 
  • El Esquema Nacional de Seguridad (ENS) 

Glosario

  • Autenticidad: propiedad o caracteríca por la que una entidad es lo que pretende ser o garantiza la fuente de los datos. 
  • Colaborador: cualquier persona que contribuya a las actividades del Grupo y acceda al SI (empleado, estudiante / estudiante en prácticas, interino, etc.). 
  • Privacidad: Permite asegurarse que la información sólo es accesible a las personas que, en el marco de su actividad, tienen una necesidad de conocimiento 
  • Cumplimiento reglamentario: propiedad que garantiza que la información se gestiona de acuerdo con los principios éticos, profesionales y legales establecidos por las regulaciones aplicables en cada contexto. 
  • Disponibilidad: Permite garantizar que los datos sean accesibles y utilizables por las entidades en el momento deseado y con el rendimiento deseado. 
  • Información: cualquier dato perteneciente al Grupo o confiado por un cliente, independientemente de su formato (papel, digital, oral). 
  • Integridad: Permite garantizar que los datos manejados son exactos y coherentes, tanto en la entrada como en la salida, pero también que dichos datos no sufren modificaciones no deseadas durante su procesamiento o almacenamiento. 
  • Software: cualquier programa o ejecutable que participe en el procesamiento de la información (sistema operativo, software de supervisión, aplicación ofimática, aplicación comercial, etc.). 
  • Material: cualquier equipo físico que soporte el SI (estaciones de trabajo, servidores, móviles, soportes extraíbles, equipos de red, etc.). 
  • Política de Seguridad del Sistema de Información (PSSI): Todas las directivas que definen los compromisos, objetivos y reglas del Grupo en materia de seguridad de información. 
  • Red: cualquier forma de interconexión de los componentes de hardware y software del Sistema de Información que permita el intercambio de datos (línea especializada, red telefónica, Internet, VPN, enlaces entre sitios). 
  • Sede: cualquier ubicación física explotada por el Grupo (oficinas, fábricas, centros de datos, etc.). 
  • Sistema de Gestión de la Seguridad de la Información (SGSI): Todas las directivas que definen los compromisos, objetivos y reglas del Grupo en materia de seguridad de información. 
  • Sistema de gestión de la protección de datos (SGPD): Es un conjunto de medidas organizativas implementadas por una empresa para garantizar que los datos personales se traten de conformidad con la normativa en materia de protección de datos. Esta directiva, que se basa en los requisitos del RGPD, contribuye a garantizar el cumplimiento en materia de protección de datos y proporciona pruebas al respecto cuando es necesario. Este sistema de gestión tiene como objetivo principal prevenir las infracciones, pero también puede rectificarlas o refutarlas a posteriori. 
  • Trazabilidad: Permite garantizar la prueba de la ocurrencia de un evento o una acción en el sistema de información, así como de las entidades o personas implicadas.

Las actividades del Grupo Bodet se inscriben en un entorno impactado por las ciberamenazas.

Contexto de ciberseguridad

La digitalización de los usos trae numerosos beneficios, tanto para los ciudadanos como para las empresas, al favorer la innovación y el desarrollo de nuevas oportunidades económicas. Sin embargo, genera una dependencia creciente de las infraestructuras críticas y unacomplejidad interconectada que expone la sociedad y las organizaciones a ciberataques aún más sofisticados.

El ciberespacio se convirtió en un espacio de competición y de confrontación, reflejando las tensiones geopolíticas y las rivalidades internacionales. A semejanza de otros países, Francia hace frente a una ciberamenaza intensa y extendida, provenientes de Estados, ciberdelincuentes activistas o de combinaciones de estos actores

Estos cyberataques pueden estar motivados por motivos económicos, políticos, militares o ideológicos. Pueden perturbar el funcionamiento de la sociedad, amenazar la seguridad nacional y generar pérdidas económicas importantes, afectando las cadenas de suministro y la continuidad de las actividades de las organizaciones.

Los ciberataques toman múltiples formas, del espionaje al sabotaje, pasando por la extorsión y la subversión. Estas amenazas se materializan, en particular, en el auge de la ciberdelincuencia y la proliferación de herramientas cibernéticas intrusivas. Las infraestructuras críticas, incluidos servicios de nube almacenando datos sensibles y aplicaciones estratégicas, se ven particularmente expuestas.

El surgimiento de tecnologías de ruptura — inteligencia artificial, cadena de bloques, informática cuántica — aumentan los riesgos al dejar obsoletas ciertas protecciones actuales y al complicar el panorama de la amenaza.

Las actividades del Grupo

El Grupo BODET diseña y fabrica software y equipos para sus clientes. Los entrega, los instala en los clientes y lleva a cabo las reparaciones y llamadas hotline.

Así, el Grupo está llevado a manipular información sensible, como:

  • Datos de investigación y de desarrollo;
  • Datos de control de la producción industrial;
  • Datos personales de sus terceros (clientes, proveedores, etc...);
  • Datos personales de sus colaboradores.

Está información es fundamental para garantizar el correcto funcionamiento del Grupo.

Estrategias, desafíos y objetivos de seguridad

Los ejes estratégicos

El Grupo Bodet pretende establecer su posición de líder en cada una de sus actividades, al asegurar la satisfacción de sus clientes.

En un mundo cada vez más interconectado y digitalizado, las sociedades se ven cada vez más expuestas a las ciberamenazas (ransomware, phishing, desfiguración de sitio internet, etc.)., y la Seguridad del Sistema de Información es esencial al Grupo BODET para garantizar su desarrollo.

El Grupo Bodet está expuesto a riesgos cibernéticos que pueden afectar:

  • La confidencialidad, la integridad, la disponibilidad, la autenticidad, la trazabilidad y el cumplimiento reglamentario de los datos de empresa y de la información de los clientes;
  • La continuidad operativa de sus actividades críticas;
  • Su reputación y su posición en los mercados nacionales e internacionales.

El éxito del Grupo depende de la seguridad global de su SI. La ciberseguridad es un elemento imprescindible, llevado a cabo a través del sistema de gestión de la seguridad de información (SGSI) y explicado en la PSSI:

  • Anticipar y reducir los riesgos cibernéticos;
  • Cumplir con las obligaciones legales, reglamentarias y contractuales;
  • Proteger los activos informativos y numéricos;
  • Asegurar la continuidad y la resiliencia de las actividades.

Los desafíos de seguridad

El Grupo Bodetse enfrenta a desafíos de seguridad primordiales que responden a las orientaciones estratégicas:

  • Competitividad: garantizar la disponibilidad y la fiabilidad de los SI en un contexto competitivo mundial.
  • Entorno: apoyar los enfoques con certificación ISO 14001 por sistemas fiables y controlados.
  • Innovación: proteger los trabajos de I+D, los secretos industriales y la propiedad intelectual.
  • Internacional: proteger los intercambios de datos con las filiales, distribuidores y socios en más de 110 países.
  • Calidad:integrar la ciberseguridad como componente esencial de la calidad de los productos y servicios, especialmente en 2026.
  • Capacidad de respuesta: asegurar un alto nivel de disponibilidad y de asistencia a los clientes.

Los objetivos operativos

Frente a estos desafíos, los objetivos de seguridad garantizan las necesidades de confidencialidad, de integridad, de disponibilidad y de trazabilidad de los datos y de su procesamiento. Por tal motivo, el Grupo Bodet se compromete a:

  • Mantener en condición de seguridad el SI las 24 horas del día, los 7 días de la semana;
  • Proteger los datos del Grupo y de sus clientes;
  • Promover una cultura compartida de la seguridad de la información;
  • Asegurar el cumplimiento con las exigencias definidas por las limitaciones legales y reglamentarias;
  • Conocer y controlar los riesgos cibernéticos;
  • Asegurar la resiliencia del sistema de información en caso de incidente;
  • Definir un nivel de seguridad alintegrar nuevas interconexiones en el SI;
  • Garantizar la imagen del Grupo entero;

Estos objetivos se organizan por temas en la PSSI Operativa. Esta última se basa en la norma ISO 27002: 2022, en la Guía de higiene de la ANSSI y en las buenas prácticas relativas a la seguridad de la información.

Gobernanza de la seguridad del SI

El compromiso de la Dirección General

La Dirección General es consciente de que la sostenibilidad del Grupo Bodet depende de su capacidad a proteger sus activos contra amenazas que puedan afectar las actividades y los datos de la entidad.

La Dirección inscribe la PSSI en la estrategía general del Grupo, y proporciona los recursos necesarios para garantizar el funcionamiento del SGSI.

Una carta de compromiso detallada ha sido firmada por la Dirección General.

El comité de ciberseguridad

El comité de ciberseguridad del Grupo Bodet se encarga de controlar y coordinar las acciones relativas con la seguridad del sistema de información, y esto con respecto a los ejes estratégicos de la organización. El comité se reúne según una frecuencia minimal mensual. La Dirección general sigue la evolución del SGSI y valida las decisiones importantes. Es su mejor patrocinador. 

También se pueden implementar comités de ciberseguridad específicos para procesar la seguridad de las actividades y de los datos en perímetros sensibles o en necesidad.

La composición de estos comités puede variar en función de los perímetros relevantes y de los temas procesados. Se revisan los roles y responsabilidades al menos cada deux años.

Los roles principales en el comité son los siguientes: el RSSI, el responsable de la información, el responsable de departamento, el responsable del sistema.

Las principales responsabilidades

  • Dirección General: Tiene la responsabilidad final de la seguridad del SI, valida el PSSI y asigna los recursos necesarios. 10 
  • Responsable de Seguridad del Sistema de Información (RSSI/CISO): (RSSI/CISO : ciso@kelio.com): Define, dirige y controla la implementación del PSSI y el SGSI. Garantiza el cumplimiento por parte de la organización de los requisitos de la ISO/IEC 27001, y de la normativa aplicable en materia de Seguridad del Sistema de Información (NIS2, CRA, etc.)
  • Delegado de Protección de Datos (DPD/DPO): Define, dirige y controla la implementación del DPMS. Garantiza el cumplimiento por parte de la organización de los requisitos del Reglamento General de Protección de Datos (RGPD), así como de la normativa aplicable en materia de protección de datos de carácter personal. • DSI: Implementa las medidas técnicas de seguridad en coordinación con el RSSI. 
  • Jefes de equipo: Velan por la aplicación de las normas de seguridad en sus equipos. 
  • Colaboradores y proveedores: Cumplen con las normas de seguridad e informan de cualquier incidencia o anomalía.

La PSSI, pilar de la implementación del SGSI

La estructura de la documentación

El objetivo del SGSI es garantizar que los riesgos relacionados con la seguridad y la confidencialidad de la información se conozcan, acepten, gestionen o minimicen de forma documentada, sistemática, estructurada, reproducible y aceptable, adaptándose a los cambios en materia de riesgos, entorno y tecnologías. La documentación relacionada con el SGSI se divide en 4 niveles:

  • La PSSI estratégica: Es el documento de referencia que recoge los retos estratégicos del Grupo, los principios de gobierno corporativo y establece los fundamentos de seguridad.
  • La PSSI operativa: Se trata de las normas de seguridad que la empresa ha decidido seguir, en función de las guías de buenas prácticas de seguridad (ISO/IEC 27001/2, Guía de higiene de la ANSSI, RGPD, etc.).
  • Los procedimientos: Se trata de los métodos de implementación técnica y organizativa que la organización se ha fijado.
  • Pruebas e indicadores: Se trata de los métodos de evaluación que permiten medir el rendimiento del SGSI.

La puesta en aplicación

Los objetivos de seguridad de la información definidos anteriormente se plasman en directivas de seguridad en el documento PSSI Operativa. Estas directivas las deben aplicar todos los actores del Sistema de Información.

De manera general, cada evolución del Sistema de Información integra la seguridad teniendo en cuenta los requisitos de la PSSI Operativa en función de las necesidades de seguridad expresadas en términos de confidencialidad, integridad, disponibilidad y trazabilidad de los datos y tratamientos. Se trata del enfoque Security/Privacy by Design.

Los principios fundamentales

Sólo el RSSI tiene todos los derechos sobre la gestión y la estructuración del SGSI.. Algunos perfiles pueden tener accesos limitados que se adaptarán en función de la necesidad de conocerlos en cada caso (por ejemplo, aportación de pruebas por parte de un administrador, revisión por parte de un validador, firma de la Dirección, etc.).

  • Principio de la necesidad de conocer: El acceso a la información está estrictamente limitado a las personas que realmente necesitan conocerla para el desempeño de sus funciones.
  • Principio de la necesidad de seguridad: Cada activo está protegido con un nivel de seguridad proporcional a su importancia y relevancia para la organización.
  • Principio de mínimo privilegio: Cada usuario, proceso o servicio solo tiene los permisos estrictamente necesarios para su función, y nada más.
  • Principio de pertinencia de la recopilación: La cantidad de datos recopilados se limita a los fines previstos. Sólo se conservan los datos estrictamente útiles para el procesamiento.
  • Principio de control de datos: Las actividades de procesamiento se registran y los datos se mantienen actualizados. Se evita la proliferación de datos personales innecesarios, y los datos obsoletos o que se han vuelto innecesarios se purgan regularmente.
  • Principio de legalidad del procesamiento: El tratamiento de datos debe basarse en un fundamento jurídico adecuado: consentimiento, obligación legal, interés público, contrato, necesidad vital o interés legítimo.
  • Principio de recopilación leal: Los datos deben recopilarse de manera transparente y leal, sin sorpresas para las personas afectadas. El objetivo de la recopilación debe explicarse claramente y, si es necesario, debe reforzarse el consentimiento.
  • Principio de finalidad del procesamiento: La información sobre personas físicas solo puede registrarse y utilizarse para un fin específico. Queda prohibido cualquier uso no previsto en el momento de la recopilación.
  • Principio de conservación limitada: Cada actividad de tratamiento debe definir un periodo de conservación adecuado. Debe basarse en las obligaciones legales y las necesidades operativas, y se deben purgar los datos conservados más allá de la duración definida.

La revisión anual

La PSSI la revisa anualmente el Comité cibernético del Grupo Bodet y la valida la Dirección general. El objetivo es verificar su adecuación con los ejes estratégicos del Grupo, sus retos o, en caso de cambios significativos en el sistema de información de la empresa.

La mejora continua

Todo el ciclo de vida del SGSI se basa en el principio de mejora continua, ilustrado por la rueda de Deming (PDCA : Plan, Do, Check, Act) a continuación: 

FaseAcción
PLANIFICAR (PLAN)La Comisión SI establece la PSSI y su aplicación operativa, validadas por la Dirección General. A continuación, elaboran un plan de acción para organizar la implementación de las normas establecidas.
REALIZAR (DO)Todos los colaboradores observan la PSSI, basándose en los medios proporcionados por la Dirección General, mediante el Responsable informático y su equipo.
CONTROLAR (CHECK)La aplicación de las reglas de la PSSI se controla periodicamente mediante auditorías y pruebas. Se obtienen y analizan indicadores de seguridad (KPI) durante los Comités cibernéticos.
AJUSTAR (ACT)Las desviaciones detectadas se corrigen o se tienen en cuenta para la definición de un nuevo ciclo. Se lleva a cabo una nueva iteración (PDCA).

Las derogaciones

Todas las desviaciones de las normas de seguridad establecidas se consideran brechas de seguridad. Pueden haber excepciones. Cualquier excepción a las reglas de seguridad exige una derogación formalizada, validada por el RSSI y la Dirección General, y revisada periodicamente.

IDObjetoSolicitante/ReferenteRegla PSSI derogadaMedidas de mitigaciónDuración de la derogación otorgadaFecha de validaciónValidadorFecha de caducidadEstadoFecha de clausura
           

Las sanciones

Cualquier incumplimiento de las reglas definidas por la PSSI expone al empleado a medidas disciplinarias, diferenciadas en función de la gravedad de la falta, tal y como se define en el Reglamento Interno.

Las temáticas de la PSSI operativa

La PSSI operativa recoge los capítulos de la ISO/IEC 27002, con los requisitos actualizados en 2022. Estos son los capítulos principales.

  • Capítulo 5 – Administración de la seguridad de la información: (PSSI). La administración establece el marco para la gestión de la seguridad de la información. Define las políticas, orientaciones y principios rectores que permiten comprometer, controlar y mejorar la seguridad de la información en consonancia con la estrategia de la organización.
  • Capítulo 6 – Organización de la seguridad de la información: (responsabilidades, coordinación, movilidad, teletrabajo). Este capítulo define la organización de la seguridad, la distribución de funciones y responsabilidades, así como la integración de la seguridad en las relaciones internas y externas. También abarca la seguridad relacionada con la movilidad y el teletrabajo.
  • Capítulo 7 – Seguridad de los recursos humanos: La seguridad de los recursos humanos tiene como objetivo garantizar que los empleados comprendan sus responsabilidades en materia de seguridad de la información. Protege los intereses de la organización a lo largo de todo el ciclo de vida de los empleados: antes de la contratación, durante la actividad y después de la salida.
  • Capítulo 8 – Gestión de activos: La gestión de activos consiste en identificar, inventariar y clasificar los activos de la organización. Permite asignar responsabilidades claras y garantizar que la información goce de un nivel de protección adecuado a su valor, sensibilidad e importancia.
  • Capítulo 9 – Control de accesos: Este capítulo tiene como objetivo controlar el acceso a los sistemas y a la información mediante mecanismos de autenticación y autorización adecuados. Regula estrictamente el uso de accesos privilegiados según los principios de necesidad de conocimiento y privilegio mínimo, e impone la trazabilidad de las acciones sensibles.
  • Capítulo 10 – Criptografía: La criptografía garantiza el uso correcto y eficaz de los mecanismos criptográficos con el fin de proteger la confidencialidad, la integridad y la autenticidad de la información. También abarca la gestión de claves criptográficas.
  • Capítulo 11 – Seguridad física y ambiental: La seguridad física tiene como objetivo prevenir el acceso no autorizado, los daños y las interrupciones de la actividad relacionadas con la pérdida, el robo, la destrucción o el compromiso de los activos físicos, las instalaciones y las infraestructuras críticas.
  • Capítulo 12 – Seguridad relacionada con la explotación: La seguridad de la explotación garantiza un funcionamiento fiable y seguro de los medios de tratamiento de la información. Incluye protección contra malware, gestión de vulnerabilidades, registro de acciones, copia de seguridad de datos y prevención de la pérdida definitiva de información.
  • Capítulo 13 – Seguridad de las comunicaciones: Este capítulo tiene por objeto proteger la información que circula por las redes internas y externas. Abarca la seguridad de las comunicaciones, los accesos remotos, los usos móviles y los intercambios con entidades externas.
  • Capítulo 14 – Adquisición, desarrollo y mantenimiento de sistemas: La seguridad de la información debe integrarse en todas las etapas del ciclo de vida de los sistemas y proyectos: diseño, desarrollo, integración, explotación, mantenimiento y fin de vida útil.
  • Capítulo 15 – Relaciones con los proveedores: La seguridad relacionada con los proveedores tiene como objetivo garantizar que los activos accesibles a terceros estén protegidos de acuerdo con los requisitos de la organización. Impone un marco contractual, requisitos de seguridad y un seguimiento de las prestaciones.
  • Capítulo 16 – Gestión de incidentes con la seguridad de la información: La gestión de incidentes garantiza una respuesta coherente y eficaz ante incidentes de seguridad, ya sean de origen humano, técnico o medioambiental. Un incidente de seguridad es cualquier situación que pueda afectar a la confidencialidad, integridad o disponibilidad de la información. La organización sigue un procedimiento que tiene en cuenta la prevención, la detección, la respuesta y la recuperación.
  • Capítulo 17 – Continuidad de la actividad: La continuidad de la actividad tiene como objetivo garantizar que los activos críticos y los procesos esenciales puedan seguir funcionando en caso de catástrofe grave, mediante planes de continuidad, recuperación y modos de funcionamiento degradados.
  • Capítulo 18 – Cumplimiento: El cumplimiento tiene por objeto evitar cualquier incumplimiento de las obligaciones legales, reglamentarias, contractuales y normativas. Garantiza que la seguridad de la información se implemente, controle y aplique de acuerdo con los compromisos y políticas de la organización.