Los ciudadanos confían en que los servicios disponibles por medios electrónicos se presten en unas condiciones de seguridad equivalentes a las que se encuentran cuando se acercan personalmente a las oficinas de la Administración. Además, buena parte de la información contenida en los sistemas de información de las AA.PP. y los servicios que prestan constituyen activos nacionales estratégicos. La información y los servicios prestados están sometidos a amenazas y riesgos provenientes de acciones malintencionadas o ilícitas, errores o fallos y accidentes o desastres.
Por lo anteriormente expuesto el Ayuntamiento de Baeza aprueba la siguiente Política de Seguridad y todas las áreas de este Ayuntamiento deben aplicar las medidas mínimas de seguridad exigidas por el ENS, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad de la información es una parte vital de los servicios públicos prestados por el Ayuntamiento de Baeza, y ha de custodiar dicha información desde su recogida hasta su almacenamiento. Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, garantizando así la continuidad en la prestación de los servicios con una calidad y seguridad adecuada.
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, establece principios y derechos relativos a la seguridad en relación con el derecho de los ciudadanos a comunicarse con las AA.PP. a través de medios electrónicos; y su artículo 42 crea el Esquema Nacional de Seguridad.
El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010 , de 8 de enero determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos. El ENS está constituido por los principios básicos y requisitos mínimos para una protección adecuada de la información. Será aplicado por las AA.PP. para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestiones en el ejercicio de sus competencias.
El Esquema Nacional de Interoperabilidad (ENI), regulado por el Real Decreto 4/2010, de 8 enero, establece el conjunto de criterios y recomendaciones que deberán set tenidos en cuenta por las Administraciones Públicas para la toma de decisiones tecnológicas que garanticen la interoperabilidad. Las normas técnicas complementarias de interoperabilidad desarrollan ciertos aspectos técnicos
Las Leyes 39/2015 y 40/2015 regulan el Procedimiento Administrativo Común y el régimen Jurídico de las Administraciones. Dentro de estas leyes se hace referencia expresa al ENS como sistema de gestión segura de la información para las administraciones y al ENI como referencia en la interoperabilidad de las administraciones.
Así mismo, la Ley 15/1999, de 13 de diciembre, de Protección de datos de carácter personal, tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
Reglamento (EU) 679/2016, de 27 de abril de 2016, de Tratamiento de Datos de Carácter Personal y Libre Circulación de Datos establece en la obligación de disponer medidas técnicas y organizativas para garantizar la confidencialidad, disponibilidad e integridad de la información. Así mismo dispone que dichas medidas han de ser proactivas y el responsable del tratamiento ha de ser capaz de demostrar que se siguen esas medidas y demostrar su aplicación.
3. ORGANIZACIÓN DE SEGURIDAD.
Para gestionar y coordinar proactivamente la seguridad de la información se constituye como órgano de gestión el Comité de Seguridad de la Información.
El Comité estará constituida por los siguientes cargos:
Responsable de seguridad: El Responsable de Seguridad determinará las decisiones a satisfacer los requisitos de seguridad de la información y servicios. Su principal función es planificar lo que se ha de hacer en materia de seguridad, así como supervisar que se haya hecho adecuadamente.
Las funciones más destacadas que realizará serán:
· Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Información del Ayuntamiento.
· Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
Además, el Responsable de Seguridad tendrá otras funciones como:
· Elaborar y proponer para aprobación por la organización las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios.
· Desarrollar las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo auditorías periódicas de seguridad.
· Notificar a la autoridad competente los incidentes que tengan efectos perturbadores en la prestación de los servicios.
· Recibir, interpretar y aplicar las instrucciones y guías emanadas de la Autoridad Competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.
· Recopilar, preparar y suministrar información o documentación a la autoridad competente, a su solicitud o por propia iniciativa.
Responsable de la información: El Responsable de la información será el encargado de aprobar niveles de seguridad de la información, constituyendo una actividad indelegable.
Se le asignará al Responsable de la información la potestad de establecer los requisitos de la información en materia de seguridad.
De modo que el Responsable de la Información deberá de tratar de una persona situada en un nivel Directivo del Ayuntamiento.
Administrador de los sistemas de la información: será miembro de este comité. dependerá del Responsable de Seguridad y sus funciones.
Sus funciones serán:
· La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.
· La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del sistema de información.
· La gestión de las autorizaciones y privilegios concedidos a los usuarios del sistema, incluyendo la monitorización de que la actividad desarrollada en el sistema se ajusta a lo autorizado.
· La aplicación de los Procedimientos Operativos de Seguridad (POS).
· Asegurar que los controles de seguridad establecidos son adecuadamente observados.
· Asegurar que son aplicados los procedimientos aprobados para manejar el sistema de información.
· Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
· Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de autoría técnica implementados en el sistema.
· Informar al Responsable de la Seguridad o al Responsable del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
· Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.
Responsable del Sistema de la Información que será el encargado de la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de la Seguridad.
Sus funciones serán:
· Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
· Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
· Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.
Podrá proponer la suspensión del tratamiento de una cierta información o la prestación de un determinado servicio si aprecia deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. La decisión final, deberá ser acordada con el Responsable de la Información y los servicios afectados, así como con el Responsable de Seguridad
Responsables de Servicio: Serán las personas responsables de la explotación de las distintas áreas de esta institución estableciendo requisitos, fines y medios para la realización de dichas tareas. En particular el Administrador de los sistemas de la información del Ayuntamiento de Baeza será miembro de este comité. Se nombrará uno por cada área del Ayuntamiento de Baeza. Además, tendrán la obligación de vigilar el cumplimiento de las normas de seguridad dentro de su área e informar al Responsable de la Información del cumplimiento de la normativa de seguridad aprobada por el Comité de Seguridad.
Secretaría: tendrá la obligación de supervisar que los procedimientos aprobados por el comité se ajusten a derecho y asesorar al comité en esta materia.
Delegado de protección de datos: velará y asesorará para proteger el cumplimiento de los derechos de los interesados en materia de protección de datos. Además, levantará acta de las reuniones
Los miembros de este comité serán nombrados por Junta de Gobierno Local, Además, las futuras resoluciones de nombramientos de responsables de áreas o cambio en la distribución de funciones de área deberán contemplar expresamente el nombramiento como miembro en este comité de seguridad de la información.
Sus funciones son las siguientes:
· Responsabilidades derivadas del tratamiento de datos de carácter personal.
· Atender las inquietudes de la Corporación y de los diferentes departamentos.
· Informar regularmente del estado de la seguridad de la información a la Junta de Gobierno.
· Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información.
· Elaborar la estrategia de evolución del Ayuntamiento de Baeza en lo que respecta a la seguridad de la información.
· Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
· Elaborar (y revisar regularmente) la Política de Seguridad de la información para que sea aprobada por decreto de Alcaldía traslado al pleno.
· Aprobar la normativa de seguridad de la información.
· Evaluar los riesgos de manera periódica para establecer las adecuadas medidas de seguridad necesarias atendiendo a los resultados.
· Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.
· Monitorizar los principales riesgos residuales asumidos por la Organización y recomendar posibles actuaciones respecto de ellos.
· Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.
· Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
· Aprobar planes de mejora de la seguridad de la información de la Organización. En particular, velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.
· Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
· Establecer medidas adecuadas para la formación, información y concienciación de todo el personal en materia de seguridad de la información y protección de datos de carácter personal.
· Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la Organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
· En caso de ocurrencia de incidentes de seguridad de la información aprobará el Plan de Mejora de la Seguridad.
El Comité de Seguridad de la Información no es un comité técnico, pero recabará regularmente del personal técnico propio o externo, la información pertinente para tomar decisiones. El Comité de Seguridad de la Información se asesorará de los temas sobre los que tenga que decidir o emitir una opinión. Este asesoramiento se determinará en cada caso, pudiendo materializarse de diferentes formas y maneras:
· Grupos de trabajo especializados internos, externos o mixtos.
· Asesoría externa.
· Asistencia a cursos u otro tipo de entornos formativos o de intercambio de experiencias.
El Ayuntamiento de Baeza establecerá los mecanismos necesarios, atendiendo a las propuestas del Comité de Seguridad, para que todo el personal disponga de la información, formación y concienciación apropiada para gestionar de acuerdo a esta Política de Seguridad y su normativa interna derivada la información, tanto en materia de privacidad.
El Comité establecerá mecanismos adecuados de difusión de la información y registrará todas las acciones formativas que se dispongan en este sentido.
El Ayuntamiento de Baeza realizará periódicamente y cada vez que los sistemas de la información sufran una alteración significativa un Análisis de Riesgo, siguiendo las directrices expuestas por el ENS en su artículo 6, de modo que se puedan anticipar los riesgos existentes. Este análisis de riesgo y sus conclusiones han de ser analizadas por el Comité de Seguridad y establecer las salvaguardas adecuadas para que el nivel de riesgo sea aceptable.
Para que esto se plasme el comité desarrollará un procedimiento de Análisis de Riesgos y Evaluación de Impacto Potencial que ha de establecer claramente los valores de riesgo aceptables, los criterios de aceptación de riesgo residual, la periodicidad del análisis y cuándo se realizará de modo excepcional.
La presente política de seguridad ha de ser un documento que refleje fielmente el compromiso del Ayuntamiento de Baeza con la seguridad de la información. Por lo tanto, esta política podrá ser modificada a propuesta del Comité de Seguridad para adaptarse a cambios en el entorno legislativo, técnico u organizativo.