Política de seguridad y Resiliencia operativa

Marco de seguridad de la información y resiliencia operativa digital (DORA).

VALENTUM, como empresa dedicada a la gestión de fondos de inversión, manifiesta abiertamente su intención de ofrecer unos servicios competitivos a todos sus clientes.

Por dicho motivo, ha implantado un sistema de gestión seguridad de la información en el seno de la organización, cuyo principal objetivo es alcanzar los objetivos del negocio y la satisfacción de sus clientes garantizando en todo momento la seguridad de la información a través de unos procesos establecidos y fundamentados en un proceso de mejora continua, garantizando la continuidad de los sistemas de información minimizando los riesgos de daño y asegurando el cumplimiento de los objetivos fijados para asegurar en todo momento la confidencialidad, integridad y disponibilidad de la información.

Para ello asume su compromiso con la seguridad de la información según el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero, por lo que la Dirección General establece los siguientes principios:

  • Liderazgo proactivo, mediante la alta dirección y, además, también liderar activamente la implementación de políticas de resiliencia operativa digital garantizando que los recursos adecuados estén asignados para mejorar continuamente la protección frente a riesgos operativos y cibernéticos.
  • Promover la resiliencia digital, mediante el apoyo a medidas de prevención y respuesta ante incidentes, y establecer la resiliencia operativa como un valor estratégico.
  • Enfatizar la importancia de identificar todas las partes interesadas, en particular los terceros proveedores críticos que proporcionan servicios TIC, mediante un marco de supervisión continua que garantice que los servicios de terceros mantengan la resiliencia operativa.
  • Asegurar que las expectativas y requisitos de todas las partes interesadas sean abordados, especialmente en términos de continuidad operativa y ciberseguridad.
  • Evaluar riesgos TIC, mediante la evaluación de todos los riesgos relacionados con las tecnologías de la información y la comunicación, y que se planifiquen acciones que aborden los riesgos operativos, incluyendo ciberamenazas y fallos tecnológicos.
  • Diseñar un plan robusto de contingencia que se alinee con las normativas de DORA, asegurando la recuperación de los sistemas críticos en caso de incidentes.
  • Satisfacer a través de la resiliencia, de los clientes no solo depende de la calidad de los servicios, sino también de la capacidad de la organización para mantener la continuidad de los servicios incluso en situaciones de crisis operativa o ciberataques. Los clientes deben estar seguros de que sus datos están protegidos y que la empresa puede recuperarse rápidamente de cualquier interrupción.
  • Establecer indicadores de resiliencia digital, específicos para la resiliencia operativa y la seguridad cibernética. Estos deben estar alineados con los requerimientos de DORA y ser monitoreados regularmente para garantizar que los procesos sean mejorados continuamente y que los objetivos de resiliencia se cumplan.
  • Alinear con DORA y otras normativas, mediante el cumplimiento con todas las regulaciones aplicables, incluyendo DORA. Esto incluye establecer políticas claras para la continuidad de los servicios y seguridad de la información, así como reportar incidentes a las autoridades regulatorias cuando sea necesario, tal como lo exige DORA.
  • Proteger la resiliencia de los datos gestionados y que estos estén protegidos contra accesos no autorizados y alteraciones indebidas. Además, es esencial que los sistemas de información estén disponibles incluso durante situaciones de emergencia, con planes sólidos de recuperación ante desastres.
  • Realizar planes de recuperación probados, asegurando que los servicios críticos sean restaurados en el menor tiempo posible tras una interrupción, minimizando los impactos tanto internos como hacia los clientes.
  • Evaluar de manera continua de activos TIC. Las medidas de mitigación deben ser proporcionales al riesgo identificado, asegurando que cualquier amenaza sea tratada de manera efectiva.
  • Fomentar la cultura de resiliencia operativa en las políticas de seguridad de la información y en las acciones a tomar en caso de incidentes operativos o ciberataques. DORA promueve una cultura de seguridad que involucra a todos los empleados.
  • Proactividad en la comunicación en incidentes operativos, especialmente durante y después de un incidente. Esto incluye informar rápidamente a las partes interesadas relevantes sobre cualquier interrupción o ataque que afecte los servicios.
  • Capacitar en resiliencia digital, asegurando que estén preparados para gestionar crisis operativas y ciberamenazas de acuerdo con los estándares de DORA.
  • Mantener una infraestructura resiliente, diseñados para garantizar la continuidad del servicio y minimizar los tiempos de inactividad.
  • Revisión y mejora continua: El Reglamento DORA exige una revisión constante de los procesos operativos para identificar áreas de mejora, garantizando que la organización esté siempre preparada para afrontar posibles interrupciones.
  • Predisposición en liderazgo y resiliencia asegurando que la organización no solo cumpla con los requisitos de la ISO 27001, sino que también implemente las medidas de resiliencia digital exigidas por DORA. Esto incluye asignar recursos suficientes para la implementación de estas medidas y garantizar la visibilidad y transparencia de estas políticas a todas las partes interesadas.

Director General

VALENTUM, as a company dedicated to investment fund management, openly declares its commitment to providing competitive services to all its clients.

For this reason, it has implemented an information security management system within the organisation, whose primary objective is to achieve the business goals and client satisfaction by ensuring information security at all times through established processes based on a continuous improvement framework, guaranteeing the continuity of information systems, minimising the risk of damage, and ensuring compliance with the objectives set to safeguard the confidentiality, integrity, and availability of information at all times.

To this end, it assumes its commitment to information security in accordance with Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector, and therefore General Management establishes the following principles:

  • Proactive leadership by senior management, actively leading the implementation of digital operational resilience policies and ensuring that adequate resources are allocated to continuously improve protection against operational and cyber risks.
  • Promote digital resilience by supporting incident prevention and response measures, and establishing operational resilience as a strategic value.
  • Emphasise the importance of identifying all stakeholders, in particular critical third-party ICT service providers, through a continuous oversight framework that ensures third-party services maintain operational resilience.
  • Ensure that the expectations and requirements of all stakeholders are addressed, especially in terms of operational continuity and cybersecurity.
  • Assess ICT risks by evaluating all risks related to information and communication technologies, and planning actions that address operational risks, including cyber threats and technological failures.
  • Design a robust contingency plan aligned with DORA regulations, ensuring the recovery of critical systems in the event of incidents.
  • Deliver satisfaction through resilience -- client satisfaction depends not only on the quality of services, but also on the organisation's ability to maintain service continuity even during operational crises or cyberattacks. Clients must be confident that their data is protected and that the company can recover quickly from any disruption.
  • Establish digital resilience indicators specific to operational resilience and cybersecurity. These must be aligned with DORA requirements and monitored regularly to ensure that processes are continuously improved and resilience objectives are met.
  • Align with DORA and other regulations by ensuring compliance with all applicable regulations, including DORA. This includes establishing clear policies for service continuity and information security, as well as reporting incidents to regulatory authorities when required, as mandated by DORA.
  • Protect the resilience of managed data, ensuring they are protected against unauthorised access and improper alteration. Furthermore, it is essential that information systems remain available even during emergency situations, with robust disaster recovery plans in place.
  • Conduct tested recovery plans, ensuring that critical services are restored in the shortest possible time following a disruption, minimising both internal impacts and those affecting clients.
  • Continuously assess ICT assets. Mitigation measures must be proportionate to the identified risk, ensuring that any threat is addressed effectively.
  • Foster a culture of operational resilience in information security policies and in the actions to be taken in the event of operational incidents or cyberattacks. DORA promotes a security culture that involves all employees.
  • Proactive communication during operational incidents, especially during and after an incident. This includes promptly informing relevant stakeholders of any disruption or attack affecting services.
  • Train in digital resilience, ensuring staff are prepared to manage operational crises and cyber threats in accordance with DORA standards.
  • Maintain a resilient infrastructure, designed to guarantee service continuity and minimise downtime.
  • Review and continuous improvement: The DORA Regulation requires a constant review of operational processes to identify areas for improvement, ensuring that the organisation is always prepared to face potential disruptions.
  • Commitment to leadership and resilience, ensuring that the organisation not only complies with ISO 27001 requirements, but also implements the digital resilience measures required by DORA. This includes allocating sufficient resources for the implementation of these measures and ensuring the visibility and transparency of these policies to all stakeholders.

General Manager