El Decreto 73/2014, de 12 de junio, por el que se crean y regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónica de la Administración general y del sector público autonómico de Galicia establece que la Comisión de Seguridad y Gobierno Electrónico propondrá para su aprobación por el Consello de la Xunta de Galicia la política de seguridad de la Administración general y del sector público de Galicia. En consecuencia, tras la propuesta que efectuó el Pleno de la Comisión de Seguridad y Gobierno Electrónico, el Consello de la Xunta de Galicia, en su reunión del día veinticinco de junio de dos mil quince, acordó aprobar la política de seguridad de la información de la Administración general y del sector público autonómico de Galicia, que se publicó mediante Resolución de la directora de la Agencia para la Modernización Tecnológica de Galicia, de 10 de julio de 2015 por la que se le da publicidad a la política de seguridad de la información de la Administración general y del sector público autonómico de Galicia (DOG núm. 137, de 22 de julio).
Desde dicha aprobación se produjeron cambios en la normativa vigente en este área, entre los que destaca el Reglamento general de protección de datos, aprobado por el Parlamento Europeo y el Consejo, que entró en vigor el 25 de mayo de 2016 y comenzará a aplicarse el 25 de mayo de 2018, por lo que se hizo necesaria la revisión de la política de seguridad de la información de la Administración general y del sector público autonómico de Galicia vigente hasta ahora. Así, tras el debate y elaboración de un nuevo texto en el seno de la Subcomisión de Seguridad, de acuerdo con lo previsto en el Decreto 73/2014, de 12 de junio, por el que se crean y regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia, el Pleno de la Comisión de Seguridad y Gobierno Electrónico en la sesión ordinaria celebrada el 11 de abril de 2018, acordó la propuesta de elevación de esta modificación al Consello de la Xunta, que la aprobó en su reunión del día 19 de abril de 2018.
Por todo lo expuesto,
RESUELVO:
Darle publicidad a la política de seguridad de la información de la Administración general y del sector público autonómico de Galicia, que se recoge en el anexo que acompaña a esta resolución.
Santiago de Compostela, 4 de mayo de 2018
Mar Pereira Álvarez
Directora de la Agencia para la Modernización Tecnológica de Galicia
ANEXO
1. Política de seguridad de la información de la Administración general y del sector público autonómico de Galicia.
La misión de la Xunta de Galicia se centra en dirigir la política y la administración de la Comunidad Autónoma de Galicia y en ejercer la función ejecutiva y la potestad reglamentaria, de acuerdo con el Estatuto de autonomía y las leyes. La Administración general y el sector público autonómico de Galicia, bajo la dirección de la Xunta de Galicia, se encuentran inmersos en un proceso gradual de transición hacia la sociedad de la información y del conocimiento, lo que trae consigo una transformación sustancial a nivel tecnológico.
En este marco, las tecnologías de la información y las comunicaciones (TIC) se constituyen como un instrumento de alto nivel estratégico, debido a su potencial para impulsar la modernización de la Administración general y del sector público autonómico de Galicia, así como a su capacidad para estimular y sustentar el desarrollo social y económico de Galicia. Por tanto, es imprescindible que los sistemas TIC sean administrados con diligencia y también tomar las medidas adecuadas para protegerlos de amenazas de rápida evolución y con potencial para incidir en la confidencialidad, integridad, disponibilidad, trazabilidad, autenticidad y valor de la información y de los servicios.
La política de seguridad de la información es el instrumento en el que se apoya la Administración general y el sector público autonómico de Galicia para alcanzar sus objetivos, utilizando de forma segura los sistemas de información y las comunicaciones. Para defenderse de las amenazas, garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de sus objetivos, será necesario definir medidas de seguridad de naturaleza organizativa, física y lógica. Todo ello permitirá reforzar la seguridad para proteger cada activo, ya que la seguridad, concebida como proceso integral, comprende todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información y las comunicaciones, y debe entenderse no como un producto, sino como un continuo proceso de adaptación y mejora, que debe ser controlado y gestionado.
Por ello, esta política será de aplicación, en todo el ámbito de la Administración general y el sector público autonómico de Galicia, a todos sus recursos y a la totalidad de sus procesos, internos y externos, vinculados a la Xunta de Galicia a través de contratos o acuerdos con terceros.
2. Marco normativo.
La presente política de seguridad se desarrolla en el marco normativo establecido por las siguientes normas:
a) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga a Directiva 95/46/CE (Reglamento general de protección de datos, en adelante, RGPD).
b) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
c) Ley orgánica de protección de datos de carácter personal y reglamento de desarrollo.
d) Real decreto 3/2010, de 8 de enero, por el que se regula el esquema nacional de seguridad en el ámbito de la Administración electrónica, modificado por el Real decreto 951/2015, de 23 de octubre (en adelante, ENS).
e) Decreto 230/2008, de 18 de septiembre, por el que se establecen las normas de buenas prácticas en la utilización de los sistemas de información de la Administración de la Comunidad Autónoma (en adelante, Decreto buenas prácticas).
f) Decreto 73/2014, de 12 de junio, por el que se crean y se regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia, modificado por el Decreto 169/2016, de 24 de noviembre (en adelante, Decreto 73/2014, de 12 de junio).
g) Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas.
h) Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público.
3. Objetivos y ámbito de aplicación.
3.1. Objetivos de la política de seguridad de la información.
La política de seguridad de la información de la Administración general y del sector público autonómico de Galicia tiene como objetivo establecer los principios generales que dirigen la gestión de la seguridad en el ámbito de aplicación del apartado 3.2. Persigue la protección de los recursos necesarios para alcanzar los objetivos y la misión de la organización, sirve como declaración de intenciones y guía general con la que establecer todas las actuaciones en materia de seguridad y fija la estructura que debe desarrollarse para acometer estas actuaciones, tanto en el ámbito organizativo como documental.
Su aprobación sirve para constatar el interés de máximo nivel que suscita la protección de la información manejada en la Administración general y en el sector público autonómico de Galicia y establece el punto de partida de organización para conseguir este fin.
La política de seguridad será revisada periódicamente por los órganos colegiados con responsabilidades en materia da seguridad de la información y actualizada cuando sea necesario.
3.2. Ámbito de aplicación.
Esta política será de aplicación, en el ámbito de la Administración general y del sector público autonómico de Galicia, a todos los sistemas de tecnologías de la información y comunicaciones, infraestructuras e instalaciones en general, y a los miembros de su organización, sin excepciones; también se aplicará en el caso de entidades y profesionales contratados bajo cualquier modalidad, cuando en el ejercicio de sus funciones tengan acceso a los sistemas de tecnologías de la información y comunicaciones.
4. Principios de la política de seguridad de la información.
La política de seguridad de la información de la Administración general y del sector público autonómico de Galicia se desarrollará, con carácter general, de acuerdo con los siguientes principios:
a) Principio de confidencialidad: se deberá garantizar que los activos sean accesibles únicamente para aquellas personas expresamente autorizadas para ello.
b) Principio de integridad: se deberá asegurar que la información con la que se trabaja sea completa y precisa, y se incidirá en la exactitud tanto de su contenido como de los procesos involucrados.
c) Principio de disponibilidad, resiliencia y continuidad: se garantizará la prestación continuada de los servicios y la recuperación inmediata ante posibles contingencias, mediante medidas de recuperación orientadas a la restauración de los servicios y de la información asociada. Se debe procurar que los activos estén disponibles cuando lo requieran las personas autorizadas para acceder a ellos.
d) Principio de autenticidad: se deberá garantizar que la información se intercambie con los interlocutores idóneos y que los servicios se acrediten correctamente.
e) Principio de trazabilidad: se deberá garantizar el seguimiento de las operaciones efectuadas sobre la información y los servicios que lo requieran.
f) Principio de gestión del riesgo: gestionar la seguridad de la información consiste en analizar los riesgos, establecer medidas de seguridad adecuadas, eficaces y proporcionadas e incluir la corrección y mejora continuas que lleven a que la organización sea cada vez más preventiva que reactiva frente a los incidentes de seguridad. Se deben minimizar los riesgos hasta niveles aceptables y buscar el equilibrio entre las medidas de seguridad y la naturaleza de la información.
g) Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad.
h) Principio de mejora continua: se revisará, de manera recurrente, el grado de eficacia de los controles de seguridad implantados en la organización para aumentar la capacidad de adaptación a la constante evolución de los riesgos y del entorno tecnológico.
i) Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los activos deberá hacerse dentro del marco presupuestario previsto a tal efecto y siempre buscando el equilibrio entre las medidas de seguridad, la naturaleza de la información y el presupuesto previsto.
j) Principio de concienciación y formación: se articularán programas de formación, sensibilización y concienciación para las personas usuarias en materia de seguridad de la información, debidamente apoyados en las políticas corporativas y con un acomodado proceso de seguimiento y actualización.
k) Principio de seguridad en el ciclo de vida: los requerimientos de la seguridad de la información se atenderán durante todo el ciclo de vida de los activos, desde su planificación hasta su retirada, con especial atención a garantizar la seguridad desde el diseño y por defecto.
l) Principio de función diferenciada: conforme al principio que establece el ENS de considerar la seguridad como una función diferenciada, en la Administración general y del sector público autonómico de Galicia la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.
m) Principio de cumplimiento normativo: todos los sistemas de información de la Administración general y del sector público autonómico de Galicia, así como cualquier proceso relacionado, se ajustarán a la normativa de aplicación legal regulatoria y sectorial que afecte a la seguridad de la información, en especial aquella relacionada con la intimidad y la protección de datos de carácter personal y con la seguridad de los sistemas, datos, comunicaciones y servicios electrónicos, que permita a los ciudadanos y a las administraciones públicas el ejercicio de derechos y el cumplimiento de deberes a través de la tecnología.
5. Organización de la seguridad de la información.
5.1. Responsabilidad general.
La preservación de la seguridad de la información será considerada objetivo común de todas las personas al servicio de la Administración general y del sector público autonómico de Galicia, y serán las personas, junto con la tecnología y los procesos, el pilar fundamental para el mantenimiento de la seguridad de la información.
5.2. Comisión de Seguridad y Gobierno Electrónico de la Administración general y del sector público autonómico de Galicia.
La Comisión de Seguridad y Gobierno Electrónico de la Administración general y del sector público autonómico de Galicia tiene como funciones las definidas en el Decreto 73/2014, de 12 de junio, por el que se crean y se regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia.
5.3. Subcomisión de Seguridad.
La Subcomisión de Seguridad tiene como funciones las definidas en el Decreto 73/2014, de 12 de junio, por el que se crean y regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia.
5.4. Roles en el ámbito de la seguridad de la información requeridos para el cumplimiento del ENS.
Siguiendo el principio que establece el ENS de considerar la seguridad como una función diferenciada, en los distintos organismos de la Administración general y del sector público autonómico de Galicia existirán el responsable de la información, el responsable del servicio, el responsable de la seguridad TIC y el responsable del sistema.
a) Responsable de la información: dentro de su ámbito de actuación, es el encargado de determinar las necesidades de seguridad de la información en el marco establecido por el anexo I del ENS y de aprobar el riesgo residual.
b) Responsable del servicio: dentro de su ámbito de actuación, es el encargado de determinar las necesidades de seguridad del servicio en el marco del anexo I del ENS, de aprobar la suspensión del servicio y de aprobar el riesgo residual.
c) Responsable de la seguridad TIC: determinará las decisiones tecnológicas, en el ámbito de los sistemas de información y telecomunicaciones, a tomar para proteger adecuadamente la información y los servicios según las necesidades establecidas por los responsables de la información y de los servicios.
d) Responsable del sistema: dentro de su ámbito de actuación, es el encargado de implantar y de controlar las medidas para cumplir con los requisitos de seguridad de la información y de los servicios.
5.5. Otros roles en el ámbito de la seguridad de la información.
Se definen además los siguientes roles con competencias en materia de seguridad de la información:
a) Coordinador de seguridad de la información: dentro de su ámbito de actuación, es el encargado de coordinar los asuntos relativos a la seguridad de la información, de promover la formación y concienciación en materia de seguridad de la información, de determinar las decisiones a tomar para proteger adecuadamente la información y los servicios y de supervisar su implantación en todos los aspectos no relacionados con las TIC.
b) Delegado de protección de datos: desempeñará sus funciones focalizándose en los riesgos asociados a las operaciones de tratamiento de datos personales, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Tiene como funciones principales las que se derivan de las obligaciones del cumplimiento del RGPD.
5.6. Aprobación de roles y responsabilidades y resolución de conflictos.
Las condiciones que deben cumplir las personas con las responsabilidades anteriores serán aprobadas según establece el artículo 5.j del Decreto 73/2014, de 12 de junio, por el que se crean y se regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia.
En tanto no se establezcan los mecanismos a seguir para la resolución de conflictos en cada uno de los ámbitos de actuación a los que afecte esta política, se seguirá el principio de jerarquía que rige en las administraciones públicas, y será el superior jerárquico que corresponda el encargado de resolver los conflictos que puedan surgir, sin perjuicio de la independencia del delegado de protección de datos en el desempeño de sus funciones, que deberá ser respetada según lo establecido en el RGPD.
6. Desarrollo de la política de seguridad.
El cuerpo normativo sobre seguridad de la información es de obligado cumplimiento y se desarrollará en niveles, según el ámbito de aplicación y el nivel de detalle técnico, de manera que cada norma se fundamente en las normas de nivel superior. Dichos niveles de desarrollo son los siguientes:
a) Primero: política de seguridad de la información. Está constituido por el presente documento y es de obligado cumplimiento.
b) Segundo: políticas, planes de acción y actuaciones estratégicas en materia de seguridad de la información. Está constituido por el conjunto de documentos que tratan de la aplicación de la presente política. Los documentos relativos a este segundo nivel normativo los propone la Subcomisión Operativa de Seguridad a la Comisión de Seguridad y Gobierno Electrónico, que será quien los apruebe.
c) Tercero: otra normativa de seguridad de la información. Está constituido por el conjunto de normas que desarrollan la política de seguridad y que sirven para indicar como se debe actuar. Las disposiciones de ámbito transversal que no estén bajo la competencia de otros órganos serán aprobadas por la Subcomisión de Seguridad.
d) Cuarto: procedimientos de seguridad. Conjunto de documentos que describen explícitamente y paso a paso como realizar una cierta actividad. La responsabilidad de aprobación de estos procedimientos dependerá de su ámbito de aplicación, que podrá ser en un ámbito específico o en un sistema de información determinado.
Además de los documentos citados, la documentación de seguridad podrá contar con otros documentos, como recomendaciones, buenas prácticas, informes, registros, evidencias electrónicas, etc.
7. Gestión de la seguridad.
7.1. Gestión de riesgos.
1) La gestión de riesgos es parte esencial del proceso de seguridad y debe realizarse de manera continua sobre los sistemas de información, con el objetivo de mantener los entornos controlados y de minimizar los riesgos hasta niveles aceptables.
2) La gestión de riesgos será preceptiva para los sistemas de información incluidos dentro del marco establecido por el Real decreto 3/2010, de 8 de enero, por el que se regula el ENS en el ámbito de la Administración electrónica, y será opcional para el resto de supuestos.
3) Los responsables de la información y del servicio son los responsables de los riesgos sobre la información y los servicios, respectivamente, y serán los que aseguran su seguimiento y control, sin perjuicio de la posibilidad de delegar estas tareas. Para ello, podrán contar en el proceso con la participación y asesoramiento del responsable de la seguridad TIC y del responsable del sistema.
4) Para la realización del análisis de riesgos se tendrán en cuenta las recomendaciones publicadas para el ámbito de la Administración pública y, en especial, las guías elaboradas por el Centro Criptológico Nacional.
5) La evaluación de los riesgos se repetirá regularmente para los sistemas de información, dentro del alcance indicado en el punto dos de este apartado, teniendo en cuenta las recomendaciones formuladas por el Centro Criptológico Nacional.
6) La evaluación de impacto relativa a la protección de datos de carácter personal será de necesaria realización en los términos establecidos en el RGPD.
7.2. Deberes del personal.
1) Todo el personal tiene el deber de cumplir la política de seguridad de la información y la normativa de seguridad derivada. Su incumplimiento podrá ser sancionado de conformidad con la normativa disciplinaria correspondiente.
2) Todo personal que emplee sistemas de tecnologías de la información y las comunicaciones recibirá formación para el manejo seguro de dichos sistemas.
8. Concienciación y formación.
1) Corresponde a la Subcomisión de Seguridad promover la formación y concienciación en materia de seguridad de la información en el ámbito de la Administración general del sector público autonómico de Galicia.
2) Se desarrollarán actividades específicas orientadas a la formación y concienciación de todo el personal en materia de seguridad de la información, así como a la difusión de la política de seguridad de la información y de su desarrollo normativo, y estarán dirigidas, en particular, al personal de nueva incorporación.
3) A estos efectos, los planes de formación incluirán actividades específicas sobre seguridad de la información.
9. Glosario.
|
Activo |
Funcionalidad o componente que tenga valor para la organización. Incluye: información, datos, servicios, aplicaciones, equipos, comunicaciones, recursos administrativos, recursos físicos y recursos humanos. |
|
Amenaza |
Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. (UNE 71504:2008) Las amenazas siempre están presentes, pero se pueden intentar evitar o paliar los efectos de su materialización. |
|
Análisis de riesgos |
Proceso para el análisis de las amenazas, vulnerabilidades, riesgos e impactos a los que está expuesto un sistema de información, teniendo en cuenta las medidas de seguridad ya presentes. Sirve como punto de partida para identificar las mejoras en las medidas de seguridad, tanto en lo que se refiere a la efectividad como a los costes. |
|
Autenticidad |
Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. (ENS). |
|
Evaluación de impacto relativa a la protección de datos (PIA) |
Proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras realizar ese análisis, afrontar y gestionar esos peligros antes de que se materialicen. (RGPD). |
|
Confidencialidad |
Propiedad o característica consistente en que la información ni se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. (ENS). |
|
Cuerpo normativo |
Conjunto de normas que desarrollan de forma más concreta la manera de alcanzar los objetivos de una política. |
|
Dato de carácter personal |
Cualquier información concerniente a personas físicas identificadas o identificables. (LOPD). |
|
Disponibilidad |
Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a estos cuando lo requieren. (ENS). |
|
Incidente o incidencia de seguridad |
Suceso inesperado o no deseado con consecuencias negativas para la seguridad del sistema de información. (ENS). |
|
Integridad |
Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada. (ENS). |
|
LOPD |
Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. |
|
Medidas de seguridad |
Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, disuasión, protección, detección y reacción, o bien de recuperación. (ENS). |
|
Política de seguridad |
Documento de alto nivel que especifica los objetivos en materia de seguridad de una organización y refleja el compromiso de la dirección para alcanzarlos. |
|
Proceso |
Conjunto organizado de actividades que se llevan a cabo para producir un producto o servicio; tiene un principio y un fin delimitados, implica recursos y da lugar a un resultado. (ENS). |
|
RLOPD |
Reglamento de desarrollo de la LOPD, aprobado por el Real decreto 1720/2007, de 21 de diciembre. |
|
Riesgo |
Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos, con daños o perjuicios a la organización. (ENS). |
|
Riesgo residual |
Riesgo remanente en el sistema tras la implantación de unas determinadas salvaguardas en el plan de tratamiento de riesgos. |
|
Seguridad de la información |
Protección de la información y de los sistemas de información frente al acceso, uso, divulgación, alteración, modificación o destrucción no autorizadas. |
|
Sistema de información |
Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. (ENS). |
|
Soporte |
Medio físico de cualquier tipo (papel, DVD, discos portátiles, etc.) utilizado para almacenar información. |
|
Trazabilidad |
Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad. (ENS). |
|
Vulnerabilidad |
Una debilidad que puede ser aprovechada por una amenaza. (ENS). |
|
Gestión de continuidad |
Actividades que lleva a cabo una organización para asegurar que todos los procesos de negocio críticos estarán disponibles para sus usuarios, clientes, proveedores y otras entidades que deban utilizarlos. |
|
Gestión de incidentes |
Procesos orientados a recuperar el nivel habitual de funcionamiento del servicio y a minimizar en todo lo posible el impacto negativo en la organización, de forma que la calidad del servicio y la disponibilidad se mantengan. |
|
Gestión de riesgos |
Actividades coordinadas para dirigir y controlar una organización con respeto a los riesgos. (ENS). |
