DOG 137 del 22/07/2015 - RESOLUCIÓN de 10 de julio de 2015 por la que se da publicidad a la política de seguridad de la información de la Administración general y del sector público autonómico de Galicia.

III. Otras disposiciones

Agencia para la Modernización Tecnológica de Galicia

RESOLUCIÓN de 10 de julio de 2015 por la que se da publicidad a la política de seguridad de la información de la Administración general y del sector público autonómico de Galicia.

El Decreto 73/2014, de 12 de junio, por el que se crean y se regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia, establece que la Comisión de Seguridad y Gobierno Electrónico propondrá para a su aprobación por el Consello de la Xunta de Galicia la política de seguridad de la Administración general y del sector público de Galicia, propuesta que acordó efectuar el Pleno de la Comisión de Seguridad y Gobierno Electrónico en la sesión ordinaria de 19 de mayo de 2015.

El Consello de la Xunta de Galicia, en su reunión del día veinticinco de junio de dos mil quince, adoptó, entre otros acuerdos, aprobar la política de seguridad de la información de la Administración general y del sector público autonómico de Galicia.

Por todo lo expuesto,

RESUELVO:

Darle publicidad a la política de seguridad de la información de la Administración general y del sector público autonómico de Galicia, que se recoge en el anexo que acompaña a esta resolución.

Santiago de Compostela, 10 de julio de 2015

Mar Pereira Álvarez
Directora de la Agencia para la Modernización Tecnológica de Galicia

ANEXO

1. Política de seguridad de la información de la Administración general y del sector público autonómico de Galicia.

La misión de la Xunta de Galicia se centra en dirigir la política y la administración de la Comunidad Autónoma de Galicia y en ejercer la función ejecutiva y la potestad reglamentaria, de acuerdo con el Estatuto de autonomía y las leyes. La Administración general y del sector público autonómico de Galicia, bajo la dirección de la Xunta de Galicia, se encuentra inmersa en un proceso gradual de transición hacia la sociedad de la información y del conocimiento, lo que trae consigo una transformación sustancial a nivel tecnológico.

En este marco, las tecnologías de la información y las comunicaciones (TIC) se constituyen como un instrumento de alto nivel estratégico, debido a su potencial para impulsar la modernización de la Administración general y del sector público autonómico de Galicia, así como a su capacidad para estimular y sustentar el desarrollo social y económico de Galicia. Por tanto, es imprescindible que los sistemas TIC sean administrados con diligencia, y también tomar las medidas adecuadas para protegerlos de amenazas de rápida evolución y con potencial para incidir en la confidencialidad, integridad, disponibilidad, trazabilidad, autenticidad y valor de la información y de los servicios.

La política de seguridad de la información es el instrumento en el que se apoya la Administración general y el sector público autonómico de Galicia para alcanzar sus objetivos, utilizando de forma segura los sistemas de información y las comunicaciones. Para defenderse de las amenazas, garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de sus objetivos, será necesario definir medidas de seguridad de naturaleza organizativa, física y lógica. Todo ello permitirá reforzar la seguridad para proteger cada activo, ya que la seguridad, concebida como proceso integral, comprende todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información y las comunicaciones, y debe entenderse no como un producto, sino como un continuo proceso de adaptación y mejora que debe ser controlado y gestionado .

Por ello, esta política será de aplicación, en todo el ámbito de la Administración general y del sector público autonómico de Galicia, a todos sus recursos y a la totalidad de sus procesos, internos y externos, vinculados a la Xunta de Galicia a través de contratos o acuerdos con terceros.

2. Marco normativo.

La presente política de seguridad se desarrolla en el marco normativo establecido por las siguientes normas:

a) Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y sus normas de desarrollo, que aportan criterios para establecer la proporcionalidad entre las medidas de seguridad y la información a proteger.

b) Ley 30/1992, de 26 de noviembre, de régimen jurídico de las administraciones públicas y del procedimiento administrativo común, que señala en su artículo 45.5 que los documentos emitidos, cualquiera que sea su soporte, por medios electrónicos, informáticos o telemáticos, por las administraciones públicas, o los que estas emitan como copias de originales almacenados por estos mismos medios, gozarán de la validez y eficacia de un documento original, siempre que quede garantizada su autenticidad, integridad y conservación.

c) Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, que señala entre sus fines el de crear las condiciones de confianza en el uso de los medios electrónicos, y establece las medidas necesarias para la preservación de la integridad de los derechos fundamentales, en especial los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, datos, comunicaciones y servicios electrónicos. Estos fines han sido desarrollados por el Real decreto 3/2010, de 8 de enero, por el que se regula el Esquema nacional de seguridad (en adelante, ENS) en el ámbito de la Administración electrónica, que busca la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, datos, comunicaciones y servicios electrónicos, que permita a los ciudadanos y a las administraciones públicas el ejercicio de derechos y el cumplimiento de deberes a través de la aplicación segura de estas tecnologías. Concretamente, esta política da respuesta al requerimiento del ENS que, en su artículo 11, establece que todos los órganos superiores de las administraciones públicas dispondrán formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente.

d) Decreto 230/2008, de 18 de septiembre, por el que se establecen las normas de buenas prácticas en la utilización de los sistemas de información de la Administración de la Comunidad Autónoma de Galicia, que tiene por objeto la regulación de las normas de utilización de los sistemas de información y comunicaciones, fijos y móviles, de la Administración general y del sector público autonómico de Galicia. En él se establecen los deberes de las personas usuarias de los sistemas de información y comunicaciones en lo relativo a su seguridad y buen uso para garantizar la protección de la información de las personas y de las empresas en sus relaciones con la Administración general y del sector público autonómico de Galicia.

e) Decreto 73/2014, de 12 de junio, por el que se crean y se regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia. En él se establece que la Comisión de Seguridad y Gobierno Electrónico propondrá para su aprobación por el Consello de la Xunta de Galicia la política de seguridad de la información de la Administración general y del sector público de Galicia.

3. Objetivos y ámbito de aplicación.

3.1. Objetivos de la política de seguridad de la información.

La política de seguridad de la información de la Administración general y del sector público autonómico de Galicia tiene como objetivo establecer los principios generales que dirigen la gestión de la seguridad en el ámbito de aplicación del apartado 3.2. Persigue la protección de los recursos necesarios para alcanzar los objetivos y la misión de la organización, sirve como declaración de intenciones y guía general con la que establecer todas las actuaciones en materia de seguridad y fija la estructura que debe desarrollarse para acometer estas actuaciones, tanto en el ámbito organizativo como documental.

Su aprobación sirve para constatar el interés de máximo nivel que suscita la protección de la información manejada en la Administración general del sector público autonómico de Galicia y establece el punto de partida de organización para conseguir este fin.

3.2. Ámbito de aplicación.

Esta política será de aplicación, en el ámbito de la Administración general y del sector público autonómico de Galicia, a todos los sistemas de tecnologías de la información y comunicaciones, infraestructuras e instalaciones en general, y a los miembros de su organización, sin excepciones; también se aplicará en el caso de entidades y profesionales contratados bajo cualquier modalidad, cuando en el ejercicio de sus funciones tengan acceso a los sistemas de tecnologías de la información y comunicaciones.

4. Principios de la política de seguridad de la información.

La política de seguridad de la información de la Administración general y del sector público autonómico de Galicia se desarrollará, con carácter general, de acuerdo con los siguientes principios:

a) Principio de confidencialidad: se deberá garantizar que los activos sean accesibles únicamente para aquellas personas expresamente autorizadas para ello.

b) Principio de integridad: se deberá asegurar que la información con la que se trabaja sea completa y precisa, y se incidirá en la exactitud tanto de su contenido como de los procesos involucrados.

c) Principio de disponibilidad y continuidad: se garantizará la prestación continuada de los servicios y la recuperación inmediata ante posibles contingencias, mediante medidas de recuperación orientadas a la restauración de los servicios y de la información asociada. Se debe procurar que los activos estén disponibles cuando lo requieran las personas autorizadas para acceder a ellos.

d) Principio de autenticidad: se deberá garantizar que la información se intercambie con los interlocutores idóneos y que los servicios se acrediten correctamente.

e) Principio de trazabilidad: se deberá garantizar el seguimiento de las operaciones efectuadas sobre la información y los servicios que lo requieran.

f) Principio de gestión del riesgo: gestionar la seguridad de la información consiste en analizar los riesgos, establecer medidas de seguridad adecuadas, eficaces y proporcionadas e incluir la corrección y mejora continuas que lleven a que la organización sea cada vez más preventiva que reactiva frente a los incidentes de seguridad. Se deben minimizar los riesgos hasta niveles aceptables y buscar el equilibrio entre las medidas de seguridad y la naturaleza de la información.

g) Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad.

h) Principio de mejora continua: se revisará de manera recurrente el grado de eficacia de los controles de seguridad implantados en la organización para aumentar la capacidad de adaptación a la constante evolución de los riesgos y del entorno tecnológico.

i) Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los activos deberá hacerse dentro del marco presupuestario previsto a tal efecto y siempre buscando el equilibrio entre las medidas de seguridad, la naturaleza de la información y el presupuesto previsto.

j) Principio de concienciación y formación: se articularán programas de formación, sensibilización y concienciación para las personas usuarias en materia de seguridad de la información, debidamente apoyados en las políticas corporativas y con un acomodado proceso de seguimiento y actualización.

k) Principio de seguridad en el ciclo de vida: los requerimientos de la seguridad de la información se atenderán durante todo el ciclo de vida de los activos, desde su planificación hasta su retirada.

l) Principio de función diferenciada: conforme al principio que establece el ENS de considerar la seguridad como una función diferenciada, en la Administración general y del sector público autonómico de Galicia la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

m) Principio de cumplimiento normativo: todos los sistemas de información de la Administración general y del sector público autonómico de Galicia, así como cualquier proceso relacionado, se ajustarán a la normativa de aplicación legal regulatoria y sectorial que afecte a la seguridad de la información, en especial aquella relacionada con la intimidad y la protección de datos de carácter personal y con la seguridad de los sistemas, datos, comunicaciones y servicios electrónicos, que permita a los ciudadanos y a las administraciones públicas el ejercicio de derechos y el cumplimiento de deberes a través de la tecnología.

5. Organización de la seguridad de la información.

5.1. Responsabilidad general.

La preservación de la seguridad de la información será considerada objetivo común de todas las personas al servicio de la Administración general y del sector público autonómico de Galicia, y serán las personas, junto con la tecnología y los procesos, el pilar fundamental para el mantenimiento de la seguridad de la información.

5.2. Comisión de Seguridad y Gobierno Electrónico de la Administración general y del sector público autonómico de Galicia.

La Comisión de Seguridad y Gobierno Electrónico de la Administración general y del sector público autonómico de Galicia tiene como funciones las definidas en el Decreto 73/2014, de 12 de junio, por el que se crean y se regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia.

5.3. Subcomisión de Seguridad.

La Subcomisión de Seguridad tiene como funciones las definidas en el Decreto 73/2014, de 12 de junio, por el que se crean y regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia.

5.4. Roles en el ámbito de la seguridad de la información requeridos para el cumplimiento del ENS.

Siguiendo el principio que establece el ENS de considerar la seguridad como una función diferenciada, en los distintos organismos de la Administración general y del sector público autonómico de Galicia existirán el responsable de la información, el responsable del servicio, el responsable de la seguridad TIC y el responsable del sistema.

a) Responsable de la información: dentro de su ámbito de actuación, es el encargado de determinar las necesidades de seguridad de la información en el marco establecido por el anexo I del ENS y de aprobar el riesgo residual.

b) Responsable del servicio: dentro de su ámbito de actuación, es el encargado de determinar las necesidades de seguridad del servicio en el marco del anexo I del ENS, de aprobar la suspensión del servicio y de aprobar el riesgo residual.

c) Responsable de la seguridad TIC: determinará las decisiones tecnológicas, en el ámbito de los sistemas de información y telecomunicaciones, a tomar para proteger adecuadamente la información y los servicios según las necesidades establecidas por los responsables de la información y de los servicios.

d) Responsable del sistema: dentro de su ámbito de actuación, es el encargado de implantar y de controlar las medidas para cumplir con los requisitos de seguridad de la información y de los servicios.

5.5. Otros roles en el ámbito de la seguridad de la información.

Se definen además los siguientes roles con competencias en materia de seguridad de la información:

a) Responsable de seguridad LOPD: sus funciones son las definidas en el Real decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

b) Coordinador de seguridad de la información: dentro de su ámbito de actuación, es el encargado de coordinar los asuntos relativos a la seguridad de la información, de promover la formación y concienciación en materia de seguridad de la información, de determinar las decisiones a tomar para proteger adecuadamente la información y los servicios y de supervisar su implantación en todos los aspectos no relacionados con las TIC.

5.6. Aprobación de roles y responsabilidades y resolución de conflictos.

Las condiciones que deben cumplir las personas con las responsabilidades anteriores serán aprobadas según establece el artículo 5.j del Decreto 73/2014, de 12 de junio, por el que se crean y se regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia.

En tanto no se establezcan los mecanismos a seguir para la resolución de conflictos en cada uno de los ámbitos de actuación a los que afecte esta política, se seguirá el principio de jerarquía que rige en las administraciones públicas, y será el superior jerárquico que corresponda el encargado de resolver los conflictos que puedan surgir.

6. Desarrollo de la política de seguridad.

El cuerpo normativo sobre seguridad de la información es de obligado cumplimiento y se desarrollará en niveles, según el ámbito de aplicación y el nivel de detalle técnico, de manera que cada norma se fundamente en las normas de nivel superior. Dichos niveles de desarrollo son los siguientes:

a) Primero: política de seguridad de la información. Está constituido por el presente documento y es de obligado cumplimiento.

b) Segundo: políticas, planes de acción y actuaciones estratégicas en materia de seguridad de la información. Está constituido por el conjunto de documentos que tratan de la aplicación de la presente política. Los documentos relativos a este segundo nivel normativo los propone la Subcomisión Operativa de Seguridad a la Comisión de Seguridad y Gobierno Electrónico, que será quien los apruebe.

c) Tercero: otra normativa de seguridad de la información. Está constituido por el conjunto de normas que desarrollan la política de seguridad y que sirven para indicar como se debe actuar. Las disposiciones de ámbito transversal que no estén bajo la competencia de otros órganos serán aprobadas por la Subcomisión de Seguridad.

d) Cuarto: procedimientos de seguridad. Conjunto de documentos que describen explícitamente y paso a paso como realizar una cierta actividad. La responsabilidad de aprobación de estos procedimientos dependerá de su ámbito de aplicación, que podrá ser en un ámbito específico o en un sistema de información determinado.

Además de los documentos citados, la documentación de seguridad podrá contar con otros documentos, como recomendaciones, buenas prácticas, informes, registros, evidencias electrónicas, etc.

7. Gestión de la seguridad.

7.1. Gestión de riesgos.

1) La gestión de riesgos es parte esencial del proceso de seguridad y debe realizarse de manera continua sobre los sistemas de información con el objetivo de mantener los entornos controlados y de minimizar los riesgos hasta niveles aceptables.

2) La gestión de riesgos será preceptiva para los sistemas de información incluidos dentro del marco establecido por el Real decreto 3/2010, de 8 de enero, por el que se regula el ENS en el ámbito de la Administración electrónica, y será opcional para el resto de supuestos.

3) Los responsables de la información y del servicio son los responsables de los riesgos sobre la información y los servicios, respectivamente, y serán los que aseguran su seguimiento y control, sin perjuicio de la posibilidad de delegar estas tareas. Para ello, podrán contar en el proceso con la participación y asesoramiento del responsable de la seguridad TIC y del responsable del sistema.

4) Para la realización del análisis de riesgos se tendrán en cuenta las recomendaciones publicadas para el ámbito de la Administración pública y, en especial, las guías elaboradas por el Centro Criptológico Nacional.

5) La evaluación de los riesgos se repetirá regularmente para los sistemas de información, dentro del alcance indicado en el punto dos de este apartado, teniendo en cuenta las recomendaciones formuladas por el Centro Criptológico Nacional.

7.2. Deberes del personal.

1) Todo el personal tiene el deber de cumplir la política de seguridad de la información y la normativa de seguridad derivada. Su incumplimiento podrá ser sancionado de conformidad con la normativa disciplinaria correspondiente.

2) Todo personal que emplee sistemas de tecnologías de la información y las comunicaciones recibirá formación para el manejo seguro de dichos sistemas.

8. Concienciación y formación.

1) Corresponde a la Subcomisión de Seguridad promover la formación y concienciación en materia de seguridad de la información en el ámbito de la Administración general del sector público autonómico de Galicia.

2) Se desarrollarán actividades específicas orientadas a la formación y concienciación de todo el personal en materia de seguridad de la información, así como a la difusión de la política de seguridad de la información y de su desarrollo normativo, y estarán dirigidas en particular al personal de nueva incorporación.

3) A estos efectos, los planes de formación incluirán actividades específicas sobre seguridad de la información.

9. Glosario.

Activo	Funcionalidad o componente que tenga valor para la organización. Incluye: información, datos, servicios, aplicaciones, equipos, comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
Amenaza	Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. [UNE 71504:2008] Las amenazas siempre están presentes, pero se pueden intentar evitar o paliar los efectos de su materialización.
Análisis de riesgos	Proceso para el análisis de las amenazas, vulnerabilidades, riesgos e impactos a los que está expuesto un sistema de información, teniendo en cuenta las medidas de seguridad ya presentes. Sirve como punto de partida para identificar las mejoras en las medidas de seguridad, tanto en lo que se refiere a la efectividad como a los costes.
Autenticidad	Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. [ENS]
Confidencialidad	Propiedad o característica consistente en que la información ni se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. [ENS]
Cuerpo normativo	Conjunto de normas que desarrollan de forma más concreta la manera de alcanzar los objetivos de una política.
Dato de carácter personal	Cualquier información concerniente a personas físicas identificadas o identificables. [LOPD]
Disponibilidad	Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a estos cuando lo requieren. [ENS]
Incidente o incidencia de seguridad	Suceso inesperado o no deseado con consecuencias negativas para la seguridad del sistema de información. [ENS]
Integridad	Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada. [ENS]
LOPD	Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Medidas de seguridad	Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, disuasión, protección, detección y reacción, o bien de recuperación. [ENS]
Política de seguridad	Documento de alto nivel que especifica los objetivos en materia de seguridad de una organización y refleja el compromiso de la dirección para alcanzarlos.
Proceso	Conjunto organizado de actividades que se llevan a cabo para producir un producto o servicio; tiene un principio y un fin delimitados, implica recursos y da lugar a un resultado. [ENS]
RLOPD	Reglamento de desarrollo de la LOPD, aprobado por el Real decreto 1720/2007, de 21 de diciembre.
Riesgo	Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos, con daños o perjuicios a la organización. [ENS]
Riesgo residual	Riesgo remanente en el sistema tras la implantación de unas determinadas salvaguardas en el plan de tratamiento de riesgos.
Seguridad de la información	Protección de la información y de los sistemas de información frente al acceso, uso, divulgación, alteración, modificación o destrucción no autorizadas.
Sistema de información	Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. [ENS]
Soporte	Medio físico de cualquier tipo (papel, DVD, discos portátiles, etc.) utilizado para almacenar información.
Trazabilidad	Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad. [ENS]
Vulnerabilidad	Una debilidad que puede ser aprovechada por una amenaza. [ENS]
Gestión de continuidad	Actividades que lleva a cabo una organización para asegurar que todos los procesos de negocio críticos estarán disponibles para sus usuarios, clientes, proveedores y otras entidades que deban utilizarlos.
Gestión de incidentes	Procesos orientados a recuperar el nivel habitual de funcionamiento del servicio y a minimizar en todo lo posible el impacto negativo en la organización, de forma que la calidad del servicio y la disponibilidad se mantengan.
Gestión de riesgos	Actividades coordinadas para dirigir y controlar una organización con respeto a los riesgos. [ENS]