POLÍTICA DE SEGURIDAD
ActionsPOLÍTICA DE SEGURIDAD
1.Introducción
Este documento constituye la Política de Seguridad de la Información de la Gestión Integral del Agua de Huelva SA, en adelante GIAHSA, en cumplimiento de los principios básicos que se rigen por el artículo 5, y las directrices del artículo 12 (Requisitos mínimos de Seguridad del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica) y de la medida de seguridad org.1 contemplada en el Anexo II de dicho Real Decreto.
La estructura de este documento sigue las pautas establecidas por la guía CCN-STIC-805 para la redacción de la Política de Seguridad en el ámbito del Esquema Nacional de Seguridad.
La Política de Seguridad de la Información recoge la postura de GIAHSA en cuanto a la seguridad de la información y establece los criterios generales que deben regir la actividad del organismo en cuanto a la seguridad.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas de información deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la disponibilidad, integridad, confidencialidad, autenticidad, trazabilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.
Esto implica que se deben aplicar las medidas de seguridad exigidas por el Esquema Nacional de Seguridad y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante ENS y LOPDGDD), así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
2.Marco Normativo
La normativa la que se encuentra sometida GIAHSA, más relacionada con su actividad, se recoge a continuación:
- ·Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
· Ley 33/2003, de 3 de noviembre, del Patrimonio de las Administraciones Públicas.
· Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
· Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
· Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
· Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.Ley 31/2007, de 30 de octubre, sobre procedimientos de contratación en los sectores del agua, la energía, los transportes y los servicios postales.
· Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.
· Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía.
· Orden HAP/2425/2013, de 23 de diciembre, por la que se publican los límites de los distintos tipos de contratos a efectos de la contratación del sector público a partir del 1 de enero de 2014.
· Real Decreto-ley 8/2014, de 4 de julio, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia.
· Ley 18/2014, de 15 de octubre, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia.
· Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas.
· Ley 40/2015, de 1 de octubre de Régimen Jurídico del Sector Público.
· Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local
· Real Decreto Legislativo 2/2004, de 5 de marzo, por el que se aprueba el texto refundido de la Ley Reguladora de las Haciendas Locales
· Ley 58/2003, de 17 de diciembre, General Tributaria.
· Ley 27/2013 de Racionalización y Sostenibilidad de la Administración Local.
· Ley 7/2002, de 17 de diciembre, de Ordenación Urbanística de Andalucía.
· Decreto 120/1991, de 11 de junio, por el que se aprueba el Reglamento del Suministro Domiciliario de Agua.
· Ordenanzas técnicas de la Mancomunidad de Servicios de la Provincia de Huelva.
· Ordenanzas Reguladoras de las Prestaciones Patrimoniales de Carácter Público no Tributarias de la Mancomunidad de Servicios de la Provincia de Huelva.
· Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
· Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
3. Principios y directrices.
GIAHSA establecerá las medidas técnicas, organizativas y de control que garanticen la consecución de estos objetivos y deberá estar preparada para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al artículo 7 del ENS.
3.1 Prevención
GIAHSA, evita, o al menos intenta prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello se implementan las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos.
Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la Política, GIAHSA:
- ·Autoriza los sistemas antes de entrar en operación.
- · Evalúa regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
- · Solicita la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
3.2 Detección.
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, se monitoriza la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el artículo 9 del ENS.
Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
3.3 Respuesta
GIAHSA ha establecido mecanismos para responder eficazmente a los incidentes de seguridad.
Se ha designado un punto de contacto para las comunicaciones con respecto a incidentes detectados.
Se han establecido protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
3.4 Recuperación
Para garantizar la disponibilidad de los servicios críticos, GIAHSA ha desarrollado planes de continuidad de los sistemas TIC como parte de su plan general de continuidad y actividades de recuperación.
3.5 Otros principios generales
- · El análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente actualizado.
- · La información debe ser protegida contra accesos y alteraciones no autorizados, manteniéndola confidencial e íntegra.
- · La información debe estar disponible, permitiendo su acceso autorizado, siempre que sea necesario.
- · La Seguridad de la Información es responsabilidad de todos. Todas las personas que tiene acceso a la información de GIAHSA deben protegerla, por lo que deben estar adecuadamente formadas y concienciadas.
- · La Seguridad de la Información no es algo estático, debe ser constantemente controlada y periódicamente revisada.
- · Todos aquellos activos (infraestructura, soportes, sistemas, comunicaciones, etc.) donde reside la información, viaja o es procesada, deben estar adecuadamente protegidos.
- · Las medidas de seguridad que se implanten deben estar en proporción a la criticidad de la información que protejan y a los daños o pérdidas que se pueden producir en ella. En todo momento se seguirá como mínimo las medidas de seguridad impuestas por el Esquema Nacional de Seguridad, así como las guías CCN-STIC elaboradas por el Centro Criptológico Nacional del Centro Nacional de Inteligencia.
- · El tratamiento de datos de carácter personal debe estar siempre de acuerdo con las leyes aplicables en cada momento.
- · La Seguridad de la Información debe gestionarse de forma integral, es decir, debe ser tenida en cuenta en todos los procesos de negocio, y debe manejarse bajo la premisa de un ciclo de mejora continua, incidiendo en la proactividad y aumento progresivo de la cultura de la seguridad de GIAHSA, y en el aumento del nivel de concienciación en materia de seguridad de todos los usuarios.
- · GIAHSA adoptará el principio de “Necesidad de Conocer”, o “privilegio mínimo”, de forma que cada usuario tenga acceso únicamente a la información que necesite para el desarrollo de sus funciones.
- · GIAHSA adoptará las medidas técnicas y organizativas necesarias para asegurar que los principios de Seguridad de la Información se aplican desde el diseño y por defecto, procurando por tanto que las premisas y los requisitos de Seguridad de la Información se apliquen desde las fases iniciales de cada proceso o proyecto interno.
4. Alcance
Esta Política de Seguridad es de aplicación a todos los servicios prestados por GIAHSA que se apoyen en las Tecnologías de la Información y las Comunicaciones, así como a todo el personal, sin excepciones.
5. Organización de la Seguridad
La seguridad en GIAHSA está soportada sobre las estructuras y roles que se describen a continuación:
·Estructura de especificación, que es la que se encarga de establecer los requisitos de seguridad asociados a los servicios prestados.
·Estructura de supervisión, que es la que se encarga de verificar el cumplimiento de los requisitos de seguridad y el alineamiento continuo con los objetivos de la organización.
· Estructura de operación, que se encarga de implantar las medidas de seguridad identificadas.
Estructura de especificación
Esta estructura es la encargada de determinar los requisitos de seguridad que serán de aplicación a los servicios prestados por GIAHSA y a garantizar el cumplimiento normativo asociado que le es de aplicación, en concreto el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Forman parte de esta estructura:
·El Responsable de la Información y del Servicio
La figura de Responsable de la Información y del Servicio establecerá el nivel de seguridad que la información y los servicios prestados por GIAHSA requieren, en base a sus exigencias en cuanto a disponibilidad, confidencialidad e integridad, considerando el impacto que tendría en la ciudadanía y en la propia Corporación la falta de alguno de esos aspectos.
El Responsable de la Información y del Servicio será nombrado por la dirección.
Estructura de Supervisión
La estructura de supervisión de la seguridad se encarga de verificar la correcta implantación y operación de los requisitos de seguridad que se hayan establecido, de cara a mantener la alineación con los objetivos y de cumplir con las normas y legislación aplicable.
En la supervisión global de todas las actividades relativas a la seguridad de la información se encuentra el Responsable de Seguridad de la Información.
En la supervisión global de las actividades relativas a la seguridad física se encuentra el Responsable de Seguridad Física.
Para la coordinación global e integral de la seguridad se encuentra el Comité de Seguridad.
Las funciones y responsabilidades de cada una de las figuras se describen a continuación:
Responsable de Seguridad de la Información
Es responsable de la definición, coordinación, difusión y verificación de los requisitos de seguridad de la información en la Organización.
Este Responsable forma parte del Comité de Seguridad, tomando el papel de Secretario del Comité y, por tanto, es el encargado de elevar a dicho Comité los asuntos de interés relacionados con la seguridad de la información.
Sus responsabilidades comprenden:
- · Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.
El Responsable de Seguridad de la Información será nombrado por la dirección.
Responsable de Seguridad Física
Es responsable de la definición, coordinación, difusión y verificación de los requisitos de seguridad física en la Organización.
Este Responsable forma parte del Comité de Seguridad y, por tanto, es el encargado de elevar a dicho Comité los asuntos de interés relacionados con la seguridad física de los locales y las infraestructuras.
El Responsable de Seguridad Física será nombrado por la dirección.
Responsable del Sistema de Gestión
La misión del Comité de Seguridad es la coordinación general de las actividades que tienen relación con la seguridad integral.
Coordina e impulsa la implantación del sistema de gestión Mejorar el sistema de gestión de forma continua.
Un objetivo fundamental del Comité de Seguridad es la puesta en común de aspectos importantes de la seguridad entre todos los responsables. Con ello se evitará que actividades referentes a la seguridad, que puedan afectar a varias o todas las áreas de la organización, queden sin el suficiente conocimiento por parte de sus responsables, o sin el suficiente apoyo o compromiso, perjudicando la eficacia.
Estructura de Operación
La estructura de operación de la seguridad debe asumir la administración operativa de la seguridad de los sistemas de información, implantando en dichos sistemas las medidas necesarias para satisfacer los requisitos de seguridad establecidos por la estructura de especificación.
Se describen a continuación las funciones y responsabilidades de las figuras asociadas a la estructura de operación.
Responsable del Sistema de información
Sus funciones y responsabilidades son:
- · Desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad
Resolución de conflictos
En caso de conflicto entre los diferentes responsables, éste será resuelto por el superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Responsable de Seguridad.
6. Funciones y obligaciones
Al margen de las funciones y atribuciones que atañen al personal que integra el esquema organizativo en materia de seguridad de la información, se establecen a continuación las obligaciones del personal de GIAHSA, así como de aquellos terceros que tengan acceso a sus sistemas de información.
6.1 Funciones y obligaciones del personal
Todo el personal de GIAHSA que tenga algún tipo de relación con el uso, la gestión, mantenimiento y explotación de la información y de los servicios prestados sobre ella, tiene la obligación de conocer la Política de Seguridad y cumplirla.El Comité de Seguridad dispondrá los medios para que esta Política llegue a los afectados.
El personal afectado deberá asistir a una sesión de concienciación en materia de seguridad, al menos, una vez cada dos años. Se establecerá un plan de concienciación para impartir dichas sesiones.
Las personas con responsabilidad en el uso, la gestión, mantenimiento o explotación de los servicios soportados en las TIC recibirán formación para el manejo seguro de los sistemas, en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
6.2 Funciones y obligaciones de terceras partes
Las terceras partes que estén relacionadas con la gestión, mantenimiento o explotación de los servicios prestados por GIAHSA serán hechos partícipes de esta Política.
Las terceras partes quedarán obligadas al cumplimiento de esta Política y a las normativas que se puedan derivar de ella. Las terceras partes podrán desarrollar sus propios procedimientos operativos para satisfacer la Política.
Se deberán establecer procedimientos específicos de comunicación de incidencias para que los terceros afectados puedan reportarlas.
El personal de las Terceras Partes deberá recibir sesiones de concienciación, tal como se exige para el personal propio.
Cuando algún aspecto de esta Política no pueda ser satisfecho por una tercera parte, el Responsable de Seguridad deberá realizar un informe del riesgo en que se incurre. Ese riesgo deberá ser aceptado por el Comité de Seguridad.
7. Responsabilidades en caso de incumplimiento
La Comisión con competencias en Seguridad de TI, en casos de incumplimiento de las obligaciones previstas en la Política de Seguridad de la Información o en su normativa e instrucciones de desarrollo, propondrá al órgano competente, la adopción de medidas preventivas y correctoras encaminadas a salvaguardar y proteger las redes y sistemas de información.
Si la Comisión entendiera que el personal, en el acceso o tratamiento de datos en el ejercicio de sus actividades profesionales, pudiera haber incurrido en un incumplimiento de la Política de Seguridad de la Información, instará por los cauces establecidos, la depuración de las responsabilidades disciplinarias a las que hubiera lugar. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario del personal al servicio de las Administraciones Publicas o de GIAHSA.
8. Formación y concienciación
El objetivo es lograr la plena conciencia respecto a que la Seguridad de la Información afecta a todo el personal de GIAHSA y a todas las actividades de acuerdo al principio de seguridad integral recogido en el art. 5 del ENS.
A estos efectos, GIAHSA, propondrá y organizará sesiones formativas y de concienciación para que todas las personas que intervienen en el proceso y sus responsables jerárquicos sean conscientes de la relevancia de la Seguridad de la Información, y de la importancia de asegurar el cumplimiento de las Políticas, Normativas y Procedimientos asociados al objeto de proteger la información que trata y gestiona la Universidad de los diferentes riesgos y amenazas a la que está expuesta.
9. Gestión de riesgos
El análisis y gestión de los riesgos será parte esencial del proceso de seguridad de la información. Está gestión debe orientarse a mantener los riesgos en niveles aceptables, proporcionando el análisis una base de referencia para la aplicación de medidas, que serán en todo caso equilibradas y proporcionales a la naturaleza de los datos, su tratamiento y su exposición. Para el análisis y gestión de los riesgos, sin perjuicio de lo establecido por las leyes aplicables, se empleará alguna metodología reconocida internacionalmente.
Todos los sistemas afectados por esta Política están sujetos a un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá al menos una vez al año o cuando cambien la información manejada, los servicios prestados, suceda un incidente grave de seguridad o se detecten vulnerabilidades graves.
Para la armonización de los análisis de riesgos, la Comisión con competencias en Seguridad de TI establecerá una valoración de referencia para los diferentes tipos de información manejada y los diferentes servicios prestados. La Comisión con competencias en Seguridad de TI dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
10.Datos de carácter personal
Para el tratamiento de datos de carácter personal en los sistemas de información se seguirá en todo momento lo desarrollado en el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD) así como lo exigido de las medidas de seguridad en el tratamiento de datos de carácter personal exigido en la ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDDGG).
El listado de actividades de tratamiento recoge los tratamientos de datos personales que realiza GIAHSA, así como el resto de información pertinente, como la base jurídica del tratamiento, las finalidades, los plazos de conservación y los destinatarios (cesiones de datos personales).
Todos los sistemas de información de GIAHSA se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el registro de actividades de tratamiento. Las medidas de seguridad implementadas dependerán del análisis de riesgos realizado y tendrán como objetivo reducir el nivel de riesgo mediante la aplicación de medidas técnicas de seguridad relacionadas con las directrices del ENS y medidas legales relacionadas con los artículos del RGPD.
11.Desarrollo de la Política de Seguridad
Esta Política de Seguridad se desarrollará mediante la elaboración de otras políticas o normativas de seguridad que aborden aspectos específicos. A raíz de dichas políticas y normativas se podrán desarrollar procedimientos que describan la forma de llevarlas a cabo.
La documentación de políticas y normativas de seguridad, así como esta Política de Seguridad se encontrará a disposición de todo el personal de la organización que necesite conocerla y, en particular, el personal que utilice, opere o administre los sistemas de información y comunicaciones o la información misma albergada en dichos sistemas o los servicios prestados por GIAHSA.
12.Compromiso de la dirección
La Dirección de GIAHSA manifiesta su compromiso formal con el apoyo a los planes de seguridad que se deriven de la aplicación de esta Política. Dicho apoyo se concretará en:
- ·proporcionar los recursos necesarios, dentro de las posibilidades presupuestarias;
- ·asignar roles y responsabilidades a las personas asociadas a los planes de seguridad;
- ·destinar presupuesto, dentro de las posibilidades;
- ·apoyar la formación de los recursos humanos implicados en los planes de seguridad para que adquieran el nivel de concienciación y las competencias necesarias;
- ·garantizar el mantenimiento de la documentación asociada a los planes de seguridad;
- ·facilitar las comunicaciones con otras organizaciones en materia de seguridad de la información;
- ·promover la mejora continua.