0 APROBACIÓN Y ENTRADA EN VIGOR

Texto aprobado el día 16 de septiembre de 2019 por el Presidente de Diputación Provincial de Soria.

Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

La presente versión de la Política de Seguridad de la Información ha sido aprobada por D. Benito Serrano Mata en calidad de Presidente de Diputación Provincial de Soria.

1 INTRODUCCIÓN

1.1 Misión

Misión
Garantizar los principios de publicidad oficial, responsabilidad, calidad, seguridad, disponibilidad, accesibilidad, neutralidad e interoperabilidad, y que se dispone de sistemas que permiten el establecimiento de comunicaciones seguras siempre que sean necesarias.

Valores
- Orientación al Ciudadano.
- Atención Personalizada y Transparente.
- Excelencia y Eficacia en el Servicio: Innovación, desarrollo Tecnológico y permanente búsqueda de la Mejora.
- Equipo Humano Profesional y Comprometido.
- Eficiencia en la Gestión de los Recursos.
- Respeto y Protección del Entorno y el Medio Ambiente: Desarrollo Sostenible.

1.2 Servicios prestados

A través de la sede electrónica y de la carpeta ciudadana de la Diputación de Soria se prestan servicios a los ciudadanos como, por ejemplo: Solicitudes de información, Quejas y sugerencias, Pago de tributos, etc.

Además de los servicios mencionados, se incluye en el alcance de esta política todos los servicios internos de la entidad, así como servicios prestados a terceros o a ciudadanos a través de medios electrónicos en alguna de sus fases.

2 JUSTIFICACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

2.1 Necesidad de Seguridad en los Sistemas

Para el cumplimiento de su Misión, la prestación de los Servicios identificados y el cumplimiento de sus objetivos, la Diputación de Soria depende de los sistemas TIC (Tecnologías de la Información y Comunicaciones).

Estos sistemas deben ser administrados con diligencia, adoptando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información tratada o de los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.

Es por ello que el Esquema Nacional de Seguridad (Real Decreto 3/2010 de 8 de enero), en su artículo 11 establece que “Todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente”.

2.2 Requisitos de Seguridad en los Departamentos

Todos los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 7 del ENS.

3 MARCO NORMATIVO

3.1 Responsabilidades derivadas de la naturaleza legal

La Diputación de Soria, en cumplimiento de sus responsabilidades, deberá atender a diferentes regulaciones, de entre las que destacamos, en el ámbito del Esquema Nacional de Seguridad, las siguientes:

En lo que se refiere al Procedimiento Administrativo

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local.

Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público.

Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos

En lo que se refiere a la Protección de Datos

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los derechos Digitales.

En lo que respecta al Esquema Nacional de Seguridad y legislación complementaria

El Real Decreto 3/2010, de 8 de enero, de desarrollo del Esquema Nacional de Seguridad fija los principios básicos y requisitos mínimos, así como las medidas de protección a implantar en los sistemas de la Administración.

Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración electrónica.

Ley 59/2003, de 19 de diciembre, de firma electrónica.

4 ORGANIZACIÓN DE LA SEGURIDAD

4.1 Definición de Roles

La Política de Seguridad, según requiere el Anexo II, en su sección 3.1, debe identificar unos claros responsables para velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.

La responsabilidad de la actividad de una entidad del sector Público se sitúa, en última instancia, en su Titular.

Mientras que las competencias o funciones de una entidad deben estar recogidas en su norma de creación o en las sucesivas normas de desarrollo de su estructura, el Titular de la Entidad es responsable de fijar los objetivos estratégicos, organizar adecuadamente sus elementos constituyentes, sus relaciones internas y externas, y dirigir su actividad, incluyendo la aprobación de la Política de Seguridad de la Información del organismo, así como, en su caso, la Política de Protección de Datos, facilitando los recursos adecuados para alcanzar los objetivos propuestos, velando por su cumplimiento.

Así pues, la figura de la Dirección de la entidad (personificada en su Titular) cobra una importancia capital: de la Dirección depende el compromiso de la entidad con la seguridad y su adecuada implantación, gestión y mantenimiento.

Se establecen los siguientes roles en la organización relacionados con la Seguridad de la Información.

4.1.1 RESPONSBALE DE LA INFORMACIÓN

Corresponde al nivel de un Órgano de Gobierno de máximo nivel, constituido por la Alta Dirección, que entiende la misión de la organización, determina los objetivos que se propone alcanzar y responde de que se alcancen.

Sus funciones podrán ser asignadas a personas individuales, o bien ser asumidas por el Comité de Seguridad de la Información.

La persona u órgano que lo asuma deberá ser identificada para cada Información que trate la organización.

El Responsable de la Información en la Diputación de Soria será el Presidente de la Diputación.

4.1.1.1 Funciones asociadas

Sus funciones serán las siguientes:

Tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.
El Responsable de la Información es el responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad de integridad.
Establece los requisitos de la información en materia de seguridad. En el marco del ENS, equivale a la potestad de determinar los niveles de seguridad de la información.
Determinará los niveles de seguridad en cada dimensión dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad.
Aunque la aprobación formal de los niveles corresponda al Responsable de la Información, podrá recabar una propuesta al Responsable de la Seguridad y conviene que escuche la opinión del Responsable del Sistema.

4.1.1.2 Compatibilidad con otros roles

Este rol podrá coincidir con el del Responsable de Servicio.

Este rol no podrá coincidir con el de Responsable de Seguridad, salvo en organizaciones de reducida dimensión que funcionen de forma autónoma.

Este rol no podrá coincidir con el de Responsable de Sistema ni con el de Administrador de la Seguridad del Sistema, ni siquiera cuando se trate de organizaciones de reducida dimensión que funcionen de forma autónoma.

4.1.2 RESPONSABLE DEL SERVICIO

Cuando sea distinto del Responsable de la Información, puede corresponder al nivel de un Órgano de Gobierno de máximo nivel, al igual que el Responsable de la Información, o bien al de una Dirección Ejecutiva o gerencia, que entiende qué hace cada departamento, y cómo los departamentos se coordinan entre sí para alcanzar los objetivos marcados por la Dirección.

Sus funciones podrán ser asignadas a personas individuales, o bien ser asumidas por el Comité de Seguridad de la Información.

La persona u órgano que lo asuma deberá ser identificada para cada Servicio que preste la organización.

El Responsable del Servicio de la Diputación de Soria será el Presidente de la Diputación.

4.1.2.1 Funciones asociadas

Sus funciones serán las siguientes:

Establece los requisitos de los servicios en materia de seguridad. En el marco del ENS, equivale a la potestad de determinar los niveles de seguridad de la información.
Tiene la responsabilidad última del uso que se haga de determinados servicios y, por tanto, de su protección.
El Responsable del Servicio es el responsable último de cualquier error o negligencia que lleve a un incidente de disponibilidad de los servicios.
Determinará los niveles de seguridad en cada dimensión del servicio dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad.
Aunque la aprobación formal de los niveles corresponda al Responsable del Servicio, podrá recabar una propuesta al Responsable de la Seguridad y conviene que escuche la opinión del Responsable del Sistema.
La prestación de un servicio siempre debe atender a los requisitos de seguridad de la información que maneja, de forma que pueden heredarse los requisitos de seguridad de la misma, añadiendo requisitos de disponibilidad, así como otros como accesibilidad, interoperabilidad, etc.

4.1.2.2 Compatibilidad con otros roles

Podrá coincidir en la misma persona u órgano el rol de Responsable de la Información y del Responsable del Servicio.

Este rol no podrá coincidir con el de Responsable de Seguridad, salvo en organizaciones de reducida dimensión que funcionen de forma autónoma.

4.1.3 RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN

Corresponde al nivel de una Dirección Ejecutiva o gerencia.

Se nombrará formalmente como tal a una única persona en la organización. El rol no podrá ser desarrollado por un órgano colegiado, ni podrá haber más de una persona asumiendo el rol en la organización, aunque pueda delegar parte de sus funciones en otras personas.

Se ha designado como Responsable de la Seguridad de la Información al Diputado del Área de Sistemas.

4.1.3.1 Funciones asociadas

Sus funciones serán las siguientes:

Reportará directamente al Comité de Seguridad de la Información.
Actuará como Secretario del Comité de Seguridad de la Información.
Convocará al Comité de Seguridad de la Información, recopilando la información pertinente.
Mantendrá la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Organización.
Promoverá la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
Recopilará los requisitos de seguridad de los Responsables de Información y Servicio y determinará la categoría del Sistema.
Realizará el Análisis de Riesgos.
Elaborará una Declaración de Aplicabilidad a partir de las medidas de seguridad requeridas conforme al Anexo II del ENS y del resultado del Análisis de Riesgos.
Facilitará a los Responsable de Información y a los Responsables de Servicio información sobre el nivel de riesgo residual esperado tras implementar las opciones de tratamiento seleccionadas en el análisis de riesgos y las medidas de seguridad requeridas por el ENS.
Coordinará la elaboración de la Documentación de Seguridad del Sistema.
Participará en la elaboración, en el marco del Comité de Seguridad de la Información, la Política de Seguridad de la Información, para su aprobación por Dirección.
Participará en la elaboración y aprobación, en el marco del Comité de Seguridad de la Información, de la normativa de Seguridad de la Información.
Elaborará y aprobará los Procedimientos Operativos de Seguridad de la Información.
Facilitará periódicamente al Comité de Seguridad un resumen de actuaciones en materia de seguridad, de incidentes relativos a seguridad de la información y del estado de la seguridad del sistema (en particular del nivel de riesgo residual al que está expuesto el sistema).
Elaborará, junto a los Responsables de Sistemas, Planes de Mejora de la Seguridad, para su aprobación por el Comité de Seguridad de la Información.
Elaborará los Planes de Formación y Concienciación del personal en Seguridad de la Información, que deberán ser aprobados por el Comité de Seguridad de la Información.
Validará los Planes de Continuidad de Sistemas que elabore el Responsable de Sistemas, que deberán ser aprobados por el Comité de Seguridad de la Información y probados periódicamente por el Responsable de Sistemas.
Aprobará las directrices propuestas por los Responsables de Sistemas para considerar la Seguridad de la Información durante todo el ciclo de vida de los activos y procesos: especificación, arquitectura, desarrollo, operación y cambios.

En caso de ocurrencia de incidentes de seguridad de la información:

Analizará y propondrá salvaguardas que prevengan incidentes similares en un futuro.

4.1.3.2 Compatibilidad con otros Roles

Este rol únicamente podrá coincidir con la del Responsable de Servicio y el Responsable de Información en organizaciones de reducidas dimensiones que tengan una estructura autónoma de funcionamiento.

Este rol no podrá coincidir con el de Responsable de Sistema y el de Administrador de Seguridad del Sistema, aunque se trate de organizaciones de reducidas dimensiones que tengan una estructura autónoma de funcionamiento.

4.1.3.3 Delegación de Funciones

Para determinados Sistemas de Información que, por su complejidad, distribución, separación física de sus elementos o número de usuarios se necesite de personal adicional para llevar a cabo las funciones de Responsable de la Seguridad, se podrán designar los Responsables de Seguridad Delegados que se consideren necesarios.

La designación corresponde al Responsable de la Seguridad. Por medio de la designación de delegados, se delegan funciones. La responsabilidad final seguirá recayendo sobre el Responsable de la Seguridad.

Los Responsables de Seguridad Delegados se harán cargo, en su ámbito, de todas aquellas acciones que delegue el Responsable de la Seguridad, pudiendo ser, por ejemplo, la seguridad de sistemas de información concretos o de sistemas de información horizontales.

Cada Responsable de Seguridad Delegado tendrá una dependencia funcional directa del Responsable de Seguridad, que es a quien reportan.

El Responsable de Seguridad delega en los jefes de servicio las funciones de Responsable de Seguridad asociadas a cada servicio.

4.1.4 RESPONSABLE DEL SISTEMA

Corresponde al nivel de una Dirección Operativa.

Se nombrará formalmente como tal a una única persona para cada Sistema. El rol no podrá ser desarrollado por un órgano colegiado, aunque pueda delegar parte de sus funciones en otras personas.

Se ha nombrado como Responsable del Sistema al Jefe del Servicio de Informática.

4.1.4.1 Funciones asociadas

Sus funciones serán las siguientes:

Coordinar el desarrollar, operación y mantenimiento del Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
El Responsable del Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los Responsables de la Información afectada, del Servicio afectado y con el Responsable de la Seguridad antes de ser ejecutada.
Verificar la aplicación de los procedimientos operativos de seguridad elaborados y aprobados por el Responsable de Seguridad.
Monitorizar el estado de la seguridad del Sistema de Información y reportarlo periódicamente o ante incidentes de seguridad relevantes al Responsable de Seguridad de la Información, de acuerdo a los informes remitidos por lo administradores de seguridad.
Elaborar los Planes de Continuidad del Sistema para que sean validados por el Responsable de Seguridad de la Información, y coordinados y aprobados por el Comité de Seguridad de la Información.
Coordinar la realización de ejercicios y pruebas periódicas de los Planes de Continuidad del Sistema para mantenerlos actualizados y verificar que son efectivos.
Elaborará las directrices para considerar la Seguridad de la Información durante todo el ciclo de vida de los activos y procesos (especificación, arquitectura, desarrollo, operación y cambios) y las facilitará al Responsable de Seguridad de la Información para su aprobación.

En caso de ocurrencia de incidentes de seguridad de la información:

Planificará la implantación de las salvaguardas en el sistema.
Ejecutará el plan de seguridad aprobado.

4.1.4.2 Compatibilidad con otros roles

Este rol no podrá coincidir con el de Responsable de Información, con el de Responsable de Servicio ni con el de Responsable de Seguridad de la Información.

Este rol podrá coincidir con el de Administrador de Seguridad del Sistema en organizaciones de una dimensión reducida o intermedia que tengan una estructura autónoma de funcionamiento.

En grandes organizaciones no debería coincidir con el de Administrador de la Seguridad del Sistema, independientemente del tamaño del Sistema.

4.1.5ADMINISTRADOR DE LA SEGURIDAD DEL SISTEMA

Corresponde al nivel de un empleado cualificado en seguridad informática de sistemas.

Podrá nombrarse formalmente como tal a varias personas para cada Sistema. El rol no podrá ser desarrollado por un órgano colegiado, ni podrá delegar parte de sus funciones en otras personas. En su caso, se nombrarían nuevos Administradores de la Seguridad del Sistema.

Será propuesto por el Responsable del Sistema, a quien reportará en todo lo relacionado con seguridad de la información.

En este sentido, se nombra como Administrador del Sistema al Técnico medio de sistemas.

4.1.5.1 Funciones asociadas

Sus funciones serán las siguientes:

La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al Sistema de Información.
Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
Asegurar que la trazabilidad, pistas de auditoría y otros registros de seguridad requeridos se encuentren habilitados y registren con la frecuencia deseada, de acuerdo con la política de seguridad establecida por la Organización.
Aplicar a los Sistemas, usuarios y otros activos y recursos relacionados con el mismo, tanto internos como externos, los Procedimientos Operativos de Seguridad y los mecanismos y servicios de seguridad requeridos.
Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de información y los mecanismos y servicios de seguridad requeridos.
La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del Sistema de Información.
Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida.
Aprobar los cambios en la configuración vigente del Sistema de Información, garantizando que sigan operativos los mecanismos y servicios de seguridad habilitados.
Informar a los Responsables de la Seguridad y del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
Monitorizar el estado de la seguridad del sistema.

En caso de ocurrencia de incidentes de seguridad de la información:

Llevar a cabo el registro, contabilidad y gestión de los incidentes de seguridad en los Sistemas bajo su responsabilidad.
Ejecutar el plan de seguridad aprobado.
Aislar el incidente para evitar la propagación a elementos ajenos a la situación de riesgo.
Tomar decisiones a corto plazo si la información se ha visto comprometida de tal forma que pudiera tener consecuencias graves (estas actuaciones deberían estar procedimentadas para reducir el margen de discrecionalidad del Administrador de Seguridad del Sistema al mínimo número de casos).
Asegurar la integridad de los elementos críticos del Sistema si se ha visto afectada la disponibilidad de los mismos (estas actuaciones deberían estar procedimentadas para reducir el margen de discrecionalidad del Administrador de Seguridad del Sistema al mínimo número de casos).
Mantener y recuperar la información almacenada por el Sistema y sus servicios asociados.
Investigar el incidente: Determinar el modo, los medios, los motivos y el origen del incidente.

4.1.5.2 Compatibilidad con otros roles

Este rol no podrá coincidir con el de Responsable de Información, con el de Responsable de Servicio ni con el de Responsable de Seguridad de la Información.

Este rol podrá coincidir con el de Responsable del Sistema en organizaciones de una dimensión reducida o intermedia que tengan una estructura autónoma de funcionamiento.

En grandes organizaciones no debería coincidir con el de Responsable del Sistema, independientemente del tamaño del Sistema.

4.1.5.3 Delegación de Funciones

En determinados sistemas de información que, por su complejidad, distribución, separación física de sus elementos o número de usuarios se necesite de personal adicional para llevar a cabo sus funciones, se podrán designar Administradores de Seguridad del Sistema Delegados.

Los Administradores de Seguridad del Sistema Delegados serán responsables, en su ámbito, de aquellas acciones que delegue el Administrador de Seguridad del Sistema relacionadas con la implantación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.

El Administrador de Seguridad del Sistema Delegado será designado a solicitud del Administrador de Seguridad del Sistema, del que dependerá funcionalmente.

Su identidad aparecerá reflejada en la documentación de seguridad del sistema de información.

4.2 Definición de Comités

4.2.1 Comité de Seguridad de la Información

Es el órgano que coordina la Seguridad de la Información a nivel de organización.

Estará constituido por el Responsable de Seguridad de la Información y por representantes de las áreas afectadas por el ENS.

Siempre que sea posible deberá asumir las siguientes funciones:

Atender las inquietudes de la Alta Dirección y de los diferentes departamentos.
Informar regularmente del estado de la seguridad de la información a la Alta Dirección.
Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información.
Elaborar la estrategia de evolución de la Organización en lo que respecta a la seguridad de la información.
Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la
información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
Elaborar (y revisar regularmente) la Política de Seguridad de la información para que sea aprobada por la Dirección.
Aprobar la normativa de seguridad de la información.
Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.
Monitorizar los principales riesgos residuales asumidos por la Organización y recomendar posibles actuaciones respecto de ellos.
Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.
Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
Aprobar planes de mejora de la seguridad de la información de la Organización. En particular, velará por la coordinación de diferentes planes que puedan realizarse en
diferentes áreas.
Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y
apoyen un funcionamiento homogéneo de todos los sistemas TIC.
Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la Organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

En caso de ocurrencia de incidentes de seguridad de la información:

Aprobará el Plan de Mejora de la Seguridad, con su dotación presupuestaria correspondiente.

El Comité de Seguridad de la Información no es un comité técnico, pero recabará regularmente del personal técnico propio o externo, la información pertinente para tomar decisiones. El Comité de Seguridad de la Información se asesorará de los temas sobre los que tenga que decidir o emitir una opinión. Este asesoramiento se determinará en cada caso, pudiendo materializarse de diferentes formas y maneras:

Grupos de trabajo especializados internos, externos o mixtos.
Asesoría externa.
Asistencia a cursos u otro tipo de entornos formativos o de intercambio de experiencias.

El Responsable de la Seguridad de la Información es el secretario del Comité de Seguridad de la Información y como tal:

Convoca las reuniones del Comité de Seguridad de la Información.
Prepara los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.
Elabora el acta de las reuniones.
Es responsable de la ejecución directa o delegada de las decisiones del Comité.

4.3 Jerarquía en el proceso de decisiones y mecanismos de coordinación

Los diferentes roles de seguridad de la información (autoridad principal y posibles delegadas) se limitan a una jerarquía simple: el Comité de Seguridad de la Información da instrucciones al Responsable de la Seguridad de la Información que se encarga de cumplimentar, supervisando que administradores y operadores implementan las medidas de seguridad según lo establecido en la política de seguridad aprobada para la Organización.

El Administrador de Seguridad reporta al Responsable del Sistema:

incidentes relativos a la seguridad del sistema
acciones de configuración, actualización o corrección

El Responsable del Sistema informa al Responsable de la Información de las incidencias funcionales relativas a la información que le compete.

El Responsable del Sistema informa al Responsable del Servicio de las incidencias funcionales relativas al servicio que le compete.

El Responsable del Sistema reporta al Responsable de la Seguridad:

actuaciones en materia de seguridad, en particular en lo relativo a decisiones de arquitectura del sistema
resumen consolidado de los incidentes de seguridad
medidas de la eficacia de las medidas de protección que se deben implantar

El Responsable de la Seguridad informa al Responsable de la Información de las decisiones e incidentes en materia de seguridad que afecten a la información que le compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.

El Responsable de la Seguridad informa al Responsable del Servicio de las decisiones e incidentes en materia de seguridad que afecten al servicio que le compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.

Cuando exista un Comité de Seguridad de la Información, el Responsable de la Seguridad reporta a dicho comité como secretario:

resumen consolidado de actuaciones en materia de seguridad
resumen consolidado de incidentes relativos a la seguridad de la información
estado de la seguridad del sistema, en particular del riesgo residual al que el sistema está expuesto

4.4 Procedimientos de designación de personas

La Dirección de la Organización nombrará formalmente mediante su publicación en el Boletín Oficial correspondiente:

al Responsable de la Información; puede ser un cargo unipersonal o un órgano colegiado (típicamente, el Comité de Seguridad de la Información).
al Responsable del Servicio; puede ser el mismo que el Responsable de la Información; puede ser un cargo unipersonal o un órgano colegiado (típicamente, el Comité de Seguridad de la Información).
al Responsable de la Seguridad, que debe reportar directamente a la Dirección o, cuando existan, a los comités de seguridad de la información y seguridad corporativa.
al Responsable del Sistema, que debe reportar directamente a la Dirección o, cuando existan, a los comités de seguridad de la información y seguridad corporativa.

La Dirección de la Organización designa a la persona Responsable del Sistema:

a propuesta del Responsable de la Información tratada, cuando el Sistema de información trate una única información.
a propuesta del Responsable del Servicio prestado, cuando el Sistema de

información preste un único servicio.

directamente cuando el Sistema de información trata diferentes informaciones o presta diferentes servicios, oídos los responsables de las informaciones y los servicios afectados.

La Dirección de la Organización designa al Administrador de Seguridad del Sistema a propuesta del Responsable del Sistema.

4.5 Relación con la Protección de Datos Personales

Para la prestación de los servicios previstos deben ser tratados datos de carácter personal. El Registro de Tratamiento detalla los ficheros afectados y los responsables correspondientes, así como las medidas adoptadas en este marco. Todos los sistemas de información se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro de Actividades.

En esta materia surgen varias responsabilidades a nivel legal u organizativo. Por un lado, el responsable del tratamiento o responsable, que es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. En este caso, la Exma. Diputación Provincial de Soria.

Por otro, el encargado es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos por cuenta del responsable del tratamiento.

La relación entre responsable y encargado deberá estar regulada en un contrato o instrumento jurídico.

De cualquier forma, también se deberá establecer la siguiente figura:

4.5.1DELEGADO DE PROTECCIÓN DE DATOS

El Reglamento General de Protección de datos (RGPD), en los artículos 37 al 39, detalla los requisitos y funciones de este rol:

Tendrán que ser profesionales que puedan acreditar formación y conocimientos especializados en materia de protección de datos.
Sus funciones básicamente serán asegurar el cumplimiento normativo de la protección de datos, haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos de su actividad y la garantía del derecho a la protección de datos y la seguridad de la información.
El DPO puede establecerse a través de contratación externa o mediante designación dentro de la plantilla de la organización.
El DPO será el interlocutor necesario con la Autoridad de Control de la Protección de Datos.

4.5.1.1 Funciones

Respecto a las funciones a desempeñar destaca las indicadas en el RGPD:

Informar y asesorar al responsable y/o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de los datos personales de las obligaciones que les incumben en virtud del Reglamento y otras disposiciones de protección de datos de la Unión o de los Estados miembros.
Supervisar el cumplimiento de lo dispuesto en el Reglamento, en otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
Ofrecer el asesoramiento que se le pida acerca de la evaluación de impacto relativa a la protección de datos y supervisar su realización.
Cooperar y actuar de contacto con la autoridad de control, en este caso la Agencia de Protección de Datos para las cuestiones relacionadas con el tratamiento de datos personales incluidas la consulta previa, y consultar en su caso, sobre cualquier otro asunto.

Que a su vez son integradas dentro de la Política de Seguridad en las siguientes funciones:

Ser oído en todos los aspectos relacionados con la seguridad de los datos personales y violaciones de seguridad de datos personales, entendiendo las mismas desde la perspectiva de la confidencialidad, integridad y disponibilidad.
Participar en las reuniones del Comité de Seguridad.
Emitir su parecer en aquellos aspectos relacionados con la seguridad de los datos personales, promover, en su caso, revisiones de análisis de riesgos, elaboración de evaluaciones de impacto en protección de datos, elaboración o modificación de procedimientos o políticas de seguridad de datos personales, entre otros.
Promover acciones de formación y concienciación en privacidad.

5 GESTIÓN DE RIESGOS

5.1 Justificación

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.

El análisis de riesgos será la base para determinar las medidas de seguridad que se deben adoptar además de los mínimos establecidos por el Esquema Nacional de Seguridad, según lo previsto en el Artículo 6 del ENS.

5.2Criterios de evaluación de riesgos

Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.

Los criterios de evaluación de riesgos detallados se especificarán en la metodología de evaluación de riesgos que elaborará la organización, basándose en estándares y buenas prácticas reconocidas.

Deberán tratarse, como mínimo, todos los riesgos que puedan impedir la prestación de los servicios o el cumplimiento de la misión de la organización de forma grave.

Se priorizarán especialmente los riesgos que impliquen un cese en la prestación de servicios a los ciudadanos.

5.3 Directrices de tratamiento

El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

5.4 Proceso de aceptación del riesgo residual

Los riesgos residuales serán determinados por el Responsable de Seguridad de la Información.

Los niveles de Riesgo residuales esperados sobre cada Información tras la implementación de las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad previstas en el Anexo II del ENS) deberán ser aceptados previamente por su Responsable de esa Información.

Los niveles de Riesgo residuales esperados sobre cada Servicio tras la implementación de las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad previstas en el Anexo II del ENS) deberán ser aceptados previamente por su Responsable de ese Servicio.

Los niveles de riesgo residuales serán presentados por el Responsable de Seguridad de la Información al Comité de Seguridad de la Información, para que éste proceda, en su caso, a evaluar, aprobar o rectificar las opciones de tratamiento propuestas.

5.5 Necesidad de realizar o actualizar las evaluaciones de riesgos

El análisis de los riesgos y su tratamiento deben ser una actividad repetida regularmente, según lo establecido en el Artículo 9 del ENS. Este análisis se repetirá:

regularmente, al menos una vez al año.
cuando se produzcan cambios significativos en la información manejada.
cuando se produzcan cambios significativos en los servicios prestados.
cuando se produzcan cambios significativos en los sistemas que tratan la información e intervienen en la prestación de los servicios.
cuando ocurra un incidente grave de seguridad.
cuando se reporten vulnerabilidades graves.

6 GESTIÓN DE INCIDENTES DE SEGURIDAD

6.1 Prevención de Incidentes

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

Autorizar los sistemas antes de entrar en operación.
Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

6.2 Monitorización y Detección de Incidentes

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una disminución hasta el cese del nivel de prestación, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que puedan informar a los responsables tanto regularmente como cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.

6.3 Respuesta ante Incidentes

Los departamentos deben:

Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
Designar puntos de contacto para las comunicaciones con respecto a incidente detectados en otros departamentos o en otros organismos.
Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

6.4 Recuperación ante Incidentes y Planes de Continuidad

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

7 OBLIGACIONES DEL PERSONAL

Todos los miembros de la organización tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de la organización atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez cada dos años. Se establecerá un programa de concienciación continua para atender a todos los miembros de la organización, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

El cumplimiento de la presente Política de Seguridad es obligatorio por parte de todo el personal interno o externo que intervenga en los procesos la organización, constituyendo su incumplimiento infracción grave a efectos laborales.

8 TERCERAS PARTES

Cuando se presten servicios o se gestione información de otras organizaciones, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando se utilicen servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.

Se establecerán procedimientos específicos de reporte y resolución de incidencias.

Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política, pudiendo requerir certificado en este sentido.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

9 DOCUMENTACIÓN COMPLEMENTARIA

La Política de Seguridad de la Información se cumplimentará con documentos más precisos que ayudan a llevar a cabo lo propuesto. Para ello se utilizarán:

normas de seguridad (security standards)
guías de seguridad (security guides)
procedimientos de seguridad (security procedures)

Las normas uniformizan el uso de aspectos concretos del sistema. Indican el uso correcto y las responsabilidades de los usuarios. Son de carácter obligatorio.

Las guías tienen un carácter formativo y buscan ayudar a los usuarios a aplicar correctamente las medidas de seguridad proporcionando razonamientos donde no existen procedimientos precisos. Por ejemplo, suele haber una guía sobre cómo escribir procedimientos de seguridad.

Las guías ayudan a prevenir que se pasen por alto aspectos importantes de seguridad que pueden materializarse de varias formas.

Los procedimientos [operativos] de seguridad afrontan tareas concretas, indicando lo que hay que hacer, paso a paso. Son útiles en tareas repetitivas.

10 REVISIÓN Y APROBACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

La Política de Seguridad de la Información será revisada por el Comité de Seguridad de la Información a intervalos planificados, que no podrán exceder el año de duración, o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

Los cambios sobre la Política de Seguridad de la Información deberán ser aprobados por el órgano superior competente que corresponda, en este caso, la Junta de Gobierno, de acuerdo con el artículo 11 del ENS.

Cualquier cambio sobre la misma deberá ser difundido a todas las partes afectadas.

11 POLÍTICAS RELACIONADAS

Esta Política de Seguridad de la Información complementa las Políticas de Seguridad corporativas, detallando las medidas a adoptar sobre Sistemas de Información.

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

ANEXO A. GLOSARIO DE TÉRMINOS Y ABREVIATURAS

Análisis de riesgos

Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.

Datos de carácter personal

Cualquier información concerniente a personas físicas identificadas o identificables.

Gestión de incidentes

Plan de acción para atender a las incidencias que se den. Además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas. ENS.

Gestión de riesgos

Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos. ENS.

Incidente de seguridad

Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información. ENS.

Información

Caso concreto de un cierto tipo de información.

Política de seguridad

Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que consideran críticos. ENS.

Principios básicos de seguridad

Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios. ENS.

Responsable de la información

Persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.

Responsable de la seguridad

El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

Responsable del servicio

Persona que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad.

Responsable del sistema

Persona que se encarga de la explotación del sistema de información.

Servicio

Función o prestación desempeñada por alguna entidad oficial destinada a cuidar intereses o satisfacer necesidades de los ciudadanos.

Sistema de información

Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. ENS.

ANEXO B. ABREVIATURAS

ENS Esquema Nacional de Seguridad

TIC Tecnologías de la Información y las Comunicaciones

ANEXO C. REFERENCIAS

CCN-STIC-402

Organización y Gestión para la Seguridad de los Sistemas TIC. Diciembre 2006.

CCN-STIC-801

ENS – Responsables y Funciones. 2010.

RD 3/2010

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. BOE de 29 de enero de 2010.

RD 951/2015