1       Introducción

La Política de Privacidad y Seguridad de la Información (PPSI) es un documento de alto nivel que define lo que significa la Seguridad de la Información para Gestión de Proyectos de Informática y Comunicaciones (GPIC). Se trata de un documento que está accesible a todos los miembros de la organización y se encuentra redactado de forma sencilla, precisa y comprensible.

En la actualidad GPIC dispone de una Política de Privacidad y Seguridad de la Información aprobada el día 08 de Enero de 2021 y comunicada a todo su personal y publicada en su página Web.

La política de seguridad será de aplicación a todos los activos y sistemas que presten servicios y traten información mediante medios electrónicos, de los que el GPIC sea titular, tenga encomendada su gestión o sean usados para el ejercicio de las competencias que le son propias en el ámbito de sus actividades profesionales, así como a todo el personal que tenga acceso a dichos sistemas.

La política de seguridad de la información resultará de obligado cumplimiento para organizaciones vinculadas o dependientes de GPIC.

Los objetivos y principios básicos de la política de seguridad son los principios básicos y requisitos mínimos establecidos en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS), buscando en todo caso:

  1. Garantizar los datos serán gestionados de acuerdo a los estándares y buenas prácticas en seguridad TIC.
  2. Aumentar el nivel de concienciación en materia de seguridad TIC, garantizando que el personal de GPIC es consciente de sus obligaciones y responsabilidades.
  3. Establecer las bases de un modelo integral de gestión de la seguridad TIC en la Administración de GPIC, que cubra en un ciclo continuo de mejora los aspectos técnicos, organizativos y procedimentales.
  4. Garantizar el cumplimiento de la legislación vigente en materia de seguridad TIC.

 

Es coherente, además, con lo dispuesto por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica.

 

Esta Política recoge los siguientes aspectos con la siguiente estructura:

 Misión, objeto y alcance

Misión

Objeto

Alcance

Definiciones

Acrónimos

Marco Regulador de la Seguridad de la Información

Marco Normativo

Estrategia Privacidad y Seguridad de la Información

Política de Privacidad y Seguridad de la Información

Documentos técnicos de desarrollo

  • Políticas y planes específicos
  • Normativas de Privacidad y Seguridad de la Información
  • Procedimientos y guías técnicas

Principios básicos y requisitos mínimos de la Privacidad y Seguridad de la Información

Principios básicos

Requisitos mínimos

Organización de la Seguridad de la Información en GPIC

Estructura de la Organización de la Seguridad de la Información

    • Comité de Gestión y Coordinación de Seguridad de la Información
    • Unidad de Seguridad de la Información y Protección de Datos
    • Oficina Técnica de Seguridad de la Información

Perfiles: Funciones y Responsabilidades

Procedimiento de Designación de Perfiles

Nombramientos

Protección de datos de carácter personal

Registro de actividades de tratamiento

Análisis de riesgos, evaluación de impacto en la protección de datos y gestión de los riesgos de seguridad de la información

Notificación de violaciones de seguridad de los datos de carácter personal …..

Revisión y auditoría

Medidas de Seguridad

Revisión de la Política

Relación con terceras partes

Resolución de Conflictos

Obligaciones del Personal de GPIC

 

 

2       Misión, Objeto y Alcance

 

2.1      Misión

Gestión de Proyectos de Informática y Comunicaciones, en adelante GPIC, tiene como misión satisfacer, con eficacia y eficiencia, las necesidades de sus clientes y otras partes interesadas incrementando su satisfacción, respetando los principios de buena fe, confianza legítima, transparencia, seguridad y calidad en el servicio a sus clientes.

GPIC desarrolla su actividad profesional en las áreas de Sistemas de Información y de Telecomunicaciones ofreciendo a sus clientes soluciones personalizadas que abarcan desde la microinformática y las infraestructuras de telecomunicaciones, hasta los entornos de alta disponibilidad. Proporcionando recursos humanos especializados en ingeniería del software para acometer proyectos de ERP, CRM, e-business, etc. y cometiendo proyectos de servicio completos (consultoría, planificación, despliegue, instalación/ configuración, migración, puesta en marcha y mantenimiento posventa), suministrando además la infraestructura hardware/ software necesaria (puestos de trabajo, servidores, almacenamiento, electrónica de comunicaciones, etc.).

A efectos de esta Política, GPIC tiene por misión mantener unos adecuados niveles de seguridad y protección frente a amenazas a la información que gestiona, que es el activo fundamental para cumplir sus objetivos.

2.2      Objetivos

GPIC asume los siguientes objetivos en materia de seguridad de la información:

1) Establecer las pautas necesarias para garantizar en todo momento la seguridad de la información a través de directrices con objeto de preservar, proteger y consolidar la seguridad de los servicios y los activos de información con el objetivo de mejorar la calidad de los servicios que se prestan a los ciudadanos.

2) Garantizar la implantación de las medidas y de los mecanismos de seguridad apropiados para proteger los servicios prestados, los sistemas de información utilizados para prestarlos y la información procesada, almacenada o transmitida por éstos, de manera coherente con los riesgos afrontados.

3) Asegurar que se cumpla la normativa vigente en materia de seguridad y protección de datos a las que la organización deba someterse.

4) Garantizar la eficacia de las medidas de seguridad implantadas por medio de evaluaciones y auditorías.

5) Establecer una estructura organizativa adecuada para la gestión de la seguridad de la información definiendo los roles y los comités necesarios, además de las funciones y las respectivas responsabilidades.

 6) Garantizar la operación continuada y adecuada de los servicios y de los sistemas actuando para prevenir, detectar, reaccionar y operar de manera oportuna ante los incidentes de seguridad que se produzcan, y velar por la implantación de los mecanismos necesarios que aseguren la continuidad de las actividades críticas permitiendo que éstas se recuperen en un periodo de tiempo aceptable.

7) Impulsar y fomentar la formación, la concienciación y el cumplimento de las obligaciones en materia de seguridad de la información del personal al servicio de la organización, a fin de garantizar el conocimiento de las políticas y las normativas aprobadas y de las prácticas recomendadas, con el objetivo último de lograr que la seguridad de la información se convierta en un factor inherente al desarrollo de las funciones y de las operativas cotidianas.

8) Promover que las actividades destinadas a lograr los niveles de seguridad requeridos se estructuren y se conciban como un proceso de mejora continua, y no como acciones o esfuerzos puntuales, sustentándolo en el análisis y la gestión sistematizados de los riesgos.

2.3      Objeto

La Política de Privacidad y Seguridad de la Información, en adelante PPSI, establece el marco de referencia y las directrices para asegurar la integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones utilizadas y servicios prestados, en especial cuando se traten datos de carácter personal, que gestiona el GPIC en el ejercicio de sus competencias.

2.4      Alcance

La PPSI será de aplicación a toda la organización, así como a las organizaciones que utilicen los sistemas de información y/o de comunicaciones dependientes del GPIC.

La PPSI de GPIC es aplicable con carácter obligatorio a todas las áreas de actividad de la organización, por lo que debe observarla todo el personal que preste servicio en ella.

La política de seguridad de la información también es aplicable y de obligado cumplimiento para las personas que, aunque no presten servicio directamente en GPIC, tengan acceso a la información o a los sistemas que gestionan dicha información.

Será de aplicación sobre todos aquellos sistemas de información y a todas las actividades de tratamiento de datos de carácter personal de los que sea responsable, en especial aquellos relacionados con el ejercicio de derechos por medios electrónicos de la ciudadanía, con el cumplimiento de deberes por medios electrónicos o con el acceso a la información o al procedimiento administrativo.

La PPSI será de aplicación a todos los sistemas de información y a todas las actividades de tratamiento de datos de carácter personal de los que sea responsable en el ámbito descrito.

 

 

3       Definiciones

 

A los efectos de la política de privacidad y seguridad de la información de GPIC, son aplicables las definiciones que establece el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica. Asimismo, se definen los siguientes conceptos como más destacados:

  1. Responsable de la información: persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.
  2. Responsable de la seguridad de la información: persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
  3. Responsable del servicio: persona que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad.
  4. Responsable del sistema: persona que se encarga de la explotación del sistema de información.

 

4       Acrónimos

 

  • GPIC: Gestión de Proyectos de Informática y Comunicaciones
  • CSI: Comité de Seguridad de la Información.
  • ENS: Esquema Nacional de Seguridad (Real Decreto: 3/2010).
  • PPSI: Política de Privacidad y Seguridad de la Información.
  • RGPD: Reglamento General de Protección de Datos (Reglamento (UE) 2016/679).
  • TIC: Tecnologías de la Información y las Comunicaciones.
  • SGSI: Sistema de Gestión de Seguridad de la Información.
  • CCN: Centro Criptológico Nacional
  • CERT: Computer Emergency Reaction Team
  • STIC: Seguridad TIC

 

5       Marco Regulador de la Seguridad de la Información

 

Dada la diversidad de las competencias y funciones en GPIC, la amplitud de los temas que afectan a la Seguridad de la Información y su rápida evolución, se debe desarrollar un Marco Regulador de la Seguridad de la Información, que se compondrá de:

  1. Marco Normativo – Legislativo aplicable en materia de Seguridad de la Información.
  2. La estrategia y la Política de Privacidad y Seguridad de la Información.
  3. Documentos técnicos de desarrollo de la Política de Privacidad y Seguridad de la Información.
  4. Disposiciones y resoluciones de los órganos competentes del presente acuerdo, cuyo ámbito afecte a la Privacidad y Seguridad de la Información.

 

 

5.1      Marco Legal y Normativo

Legislación

De forma general forman parte del marco normativo las normas de ámbito autonómico, estatal y europeo que afecte a la gestión de la Privacidad y Seguridad de la Información.

De forma específica, se toma como marco normativo de referencia, para el desarrollo de la PPSI, la siguiente normativa legal:

 

A nivel europeo:

Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de Julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión.

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), que será aplicable a partir del 25 de mayo de 2018.

Reglamento Delegado (UE) núm.907/2014 de la Comisión de 11 de marzo de 2014 que completa el Reglamento (UE) núm.1306/2013 del Parlamento Europeo y del Consejo en lo relativo a los organismos pagadores y otros órganos, la gestión financiera, la liquidación de cuentas, las garantías y el uso del euro, en el anexo I apartado 3 B) ii) dice textualmente «A partir del 16 de octubre de 2016, la seguridad de los sistemas de información deberá estar certificada de conformidad con la norma ISO/IEC 27001: Information Security management systems Requeriments (ISO) (Sistema de gestión de la Seguridad de la Información-Requisitos) (ISO)».

 

A nivel estatal:

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en adelante ENS.
Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

RD 1671/2009, de 6 de noviembre, [de desarrollo parcial de la Ley 11/2007].

Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.

Ley 2/2019, de 1 de marzo, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, y por el que se incorporan al ordenamiento jurídico español la Directiva 2014/26/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, y la Directiva (UE) 2017/1564 del Parlamento Europeo y del Consejo, de 13 de septiembre de 2017.

Real Decreto-ley 14/2019 de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones

Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza

Aparte de estas disposiciones legales y, en cualquier caso, GPIC —en materia de política de seguridad de la información— actuará con estricto cumplimiento de la legalidad vigente.

 

 

Normativa / Guías CCN-STIC

CCN-STIC-402 Organización y Gestión para la Seguridad de los Sistemas TIC..

CCN-STIC-801 ENS Responsables y Funciones

CCN-STIC-805-ENS Política de Seguridad de la Información

UNE – EN ISO / IEC 27001:2017. Tecnologías de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos.

UNE – EN ISO / IEC 27002:2013. Tecnologías de la Información. Técnicas de Seguridad. Código de Prácticas para los controles de Seguridad de la Información

UNE -ISO/IEC 20000-1:2018. Tecnologías de la Información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS)

 

 

5.2      Estrategia de Privacidad y Seguridad de la Información

La dirección de GPIC establecerá, la estrategia de Privacidad y Seguridad de la Información del Organismo, estableciendo las condiciones necesarias de confianza y cumplimiento de las obligaciones.

5.3      Política de Privacidad y Seguridad de la Información

El presente documento define la Política de Privacidad y Seguridad de la Información que será aprobada conforme a los criterios del punto «6 Organización de la Seguridad de la Información en GPIC» y revisada conforme al punto «10. Revisión de la política».

5.4      Documentos Técnicos de Desarrollo

La documentación técnica de desarrollo se estructura jerárquicamente en los siguientes niveles:

  1. Nivel 1: Políticas y planes específicos
  2. Nivel 2: Normativas de Privacidad y Seguridad de la Información
  3. Nivel 3: Procedimientos y guías técnicas

Cada documento técnico, de un nivel determinado, debe estar fundamentado en documentación de nivel superior.

Nivel 1: Políticas y planes específicos

A Nivel estratégico, en el que se incluyen las directrices emitidas por la normativa vigente y por la presente política de seguridad de la información.

Las políticas específicas deben ser entendidas como un conjunto de directrices que rigen la forma en la que esta Entidad gestiona la Privacidad y Seguridad de la información.

Los planes específicos definen las actuaciones a llevar a cabo para el desarrollo de las acciones derivadas del Marco Regulador.

Las políticas y planes específicos serán aprobados por el Comité de Seguridad de la Información

Nivel 2: Normativas de Privacidad y Seguridad de la Información

A Nivel táctico, en el que se establecen las normas que definen las pautas para cada una de las áreas de conocimiento y seguridad de la organización de conformidad con los objetivos establecidos por la política de seguridad de la información.

El segundo nivel normativo desarrolla la PPSI mediante normas específicas que abarcan un área o aspecto determinado de la Privacidad y Seguridad de la Información.

Las políticas y planes específicos serán aprobados por el Comité de Seguridad de la Información

Nivel 3: Procedimientos y guías técnicas

A Nivel operativo, en el que se desarrollan los procedimientos y las instrucciones técnicas que detallen las actividades que se deberán realizar para gestionar la seguridad de la información definiendo los concretos detalles y los aspectos prácticos sobre la manera de hacerlas para ejecutar la tarea especificada y cumplir las responsabilidades asignadas.

 

Los procedimientos indican lo que hay que hacer paso a paso en tareas o actividades concretas relacionadas con la Privacidad y Seguridad de la Información.

Las guías técnicas tienen un carácter formativo y buscan ayudar a los usuarios a aplicar correctamente las medidas de Privacidad y Seguridad de la Información.

Los procedimientos y guías técnicas deben ser aprobados por el órgano o unidad administrativa con competencias en la materia sobre la que se desarrolla el documento, previa validación del Responsable de Privacidad y Seguridad de la Información.

Este marco documental estará a disposición del personal que trabaje para GPIC y que necesite conocerlo, en particular para quien use o administre los sistemas de información y las comunicaciones.

En cuanto al tratamiento de los datos de carácter personal, hay que actuar según lo que disponen los correspondientes documentos de seguridad exigidos la legislación vigente.

6       Principios Básicos y Requisitos Mínimos de Privacidad y Seguridad de la Información

 

6.1      Principios Básicos

El GPIC tratará la información y los datos personales bajo su responsabilidad conforme a los siguientes principios de protección de datos y seguridad de la información:

  1. Licitud, lealtad y transparencia: Los datos de carácter personal serán tratados de manera lícita, leal y transparente en relación con el interesado.
  2. Legitimación en el tratamiento de datos personales: Solo se tratarán los datos de carácter personal cuando dicho tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD.
  3. Limitación de la finalidad: Los datos de carácter personal serán tratados para el cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
  4. Minimización de datos: Los datos de carácter personal serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  5. Exactitud: Los datos de carácter personal serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
  6. Limitación del plazo de conservación: Los datos de carácter personal serán mantenidos de forma que se permita la identificación de los interesaos durante no más tiempo del necesario para los fines que justificaron su tratamiento.
  7. Integridad y confidencialidad: Los datos de carácter personal serán tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Quienes intervengan en el tratamiento de los datos estarán sujetos al deber de secreto incluso después de haber concluido aquel.
  8. Responsabilidad proactiva: GPIC será responsable del cumplimiento de los principios anteriormente señalados y adoptará las medidas técnicas y organizativas que le permitan estar en condiciones de demostrar dicho cumplimiento.
  9. Atención de los derechos de los afectados: Se adoptarán medidas en la organización que garanticen el adecuado ejercicio por los afectados, cuando proceda, de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad respecto de sus datos de carácter personal.
  10. Alcance estratégico: La protección de datos y la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas de GPIC para conformar un todo coherente y eficaz.
  11. Seguridad integral: La seguridad tenderá a la preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural.
  12. Gestión de riesgos: La gestión del riesgo es el conjunto de actividades coordinadas que GPIC desarrolla para dirigir y controlar el riesgo, entendiendo como riesgo el efecto de la incertidumbre sobre la consecución de los objetivos que. El análisis y gestión de riesgos son parte esencial del proceso de protección de datos y de seguridad de la información de GPIC, de forma que perita el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo GPIC tendrá en cuenta los riesgos que se derivan para los derechos de las personas con respecto al tratamiento de sus datos personales.
  13. Proceso de verificación: GPIC implantará un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la privacidad y seguridad de la información.
  14. Protección de datos y seguridad desde el diseño: GPIC promoverá la implantación del principio de protección de datos desde el diseño con el objetivo de cumplir los requisitos definidos en el RGPD y, por tanto, los derechos de los interesados de forma que la protección de datos se encuentre presente en las primeras fases de concepción de un proyecto. Asimismo, la seguridad de la información se aplicará desde el diseño inicial de los sistemas de información.
  15. Prevención, reacción y recuperación: La privacidad y seguridad de la información debe contemplar los aspectos de prevención, reacción y recuperación sobre los activos, para conseguir que las amenazas sobre los mismos no se materialicen, no afecten gravemente a la información que maneja, o los servicios que se prestan.
  16. Líneas de defensa: Los sistemas de información han de disponer de una estrategia de protección constituida por múltiples capas de seguridad.
  17. Reevaluación periódica: La gestión de la Privacidad y Seguridad de la Información se revisarán, evaluará y actualizará periódicamente para mantener su eficacia de forma continuada, con la finalidad de hacer frente a la constante evolución de los riesgos y las medidas de seguridad.
  18. Responsabilidad diferenciada: En los sistemas de información responsabilidad de GPIC se observará el principio de responsabilidad diferenciada de forma que se delimiten las diferentes responsabilidades y roles.

 

6.2      Requisitos Mínimos

GPIC establece los siguientes requisitos mínimos, que han de regir su Marco Regulador:

  1. Organización e implantación del proceso de seguridad: La seguridad compromete a todo el personal dentro del alcance definido en este documento.
  2. Análisis y gestión de los riesgos: GPIC debe analizar y tratar sus riesgos empleando metodologías reconocidas. Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos, en especial cuando se traten datos de carácter personal.
  3. Evaluación de impacto en la privacidad: Cuando se traten datos de carácter personal que, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas, debe realizarse, antes del tratamiento, una evaluación del impacto en la privacidad.
  4. Gestión de Personal: El personal de las entidades incluidas en el alcance serán informados de sus deberes y obligaciones en materia de seguridad.
  5. Profesionalidad: El personal de las entidades incluidas en el alcance que desarrollen funciones en el ámbito de la Privacidad y Seguridad de la Información dispondrán de la capacitación adecuada para la ejecución de las tareas encomendadas.
  6. Autorización y control de los accesos: El acceso a los sistemas de información estarán controlados y limitados. Cada usuario, proceso, dispositivo y otros sistemas de información que accedan a la información de los sistemas de GPIC debe estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado determinada actividad.
  7. Protección de las instalaciones: Las instalaciones de GPIC contarán con medidas de seguridad física adecuadas a la información que tratan en su interior.
  8. Adquisición de productos: En la adquisición de productos de seguridad, se atenderá, de manera proporcionada, a la categoría y el nivel de seguridad determinados para los sistemas de información para los que sus funcionalidades son requeridas, las cuales deberán estar certificadas, salvo en aquellos casos en que las exigencias de proporcionalidad en cuando a los riesgos asumidos no lo justifiquen a juicio del Responsable de Seguridad.
  9. Seguridad por defecto: Los sistemas de información deben diseñarse y configurarse de forma que proporcionen las mínimas funcionalidades requeridas, incluidas aquellas relacionadas con la operación, administración y registro de actividad, asegurando su disponibilidad y de forma que una utilización insegura requiera de un acto consciente por parte del usuario.
  10. Integridad y actualización del sistema: Se mantendrá actualizado el estado de seguridad de los sistemas de información, en relación a las especificaciones de los fabricantes, las vulnerabilidades y las actualizaciones que les afecten, de forma que dicho estado sirva como entrada a las actividades de gestión de riesgos. Cualquier elemento de los sistemas de información que se considere necesaria su instalación deberá tener la autorización previa por parte del Responsable de Privacidad y Seguridad de la Información.
  11. Protección de la información almacenada y en tránsito: Se prestará especial atención a la información, en cualquier soporte, almacenada o en tránsito a través de entornos inseguros. Aplicándose las medidas de seguridad que correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las normas de aplicación a la seguridad de los mismos.
  12. Prevención ante otros sistemas de información interconectados: Se protegerán adecuadamente tanto las comunicaciones entre los sistemas de información y otros sistemas externos y en particular los puntos de interconexión entre las redes que soporten dichas comunicaciones, especialmente aquellas que se realicen a través de redes públicas.
  13. Registro de actividad: Con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona, entidad o proceso que actúa.
  14. Incidentes de seguridad: Se implantarán los mecanismos apropiados para la correcta identificación, registro, resolución y notificación, en los términos previstos en el RGPD y el ENS, de los incidentes de seguridad.
  15. Continuidad de la actividad: Se desarrollarán planes de continuidad de negocio y actividades de recuperación para garantizar la disponibilidad de los servicios.
  16. Mejora continua del proceso de seguridad: La gestión de Privacidad y Seguridad de la Información estará sometida a un ciclo de mejora continua como resultado de la aplicación del principio de reevaluación periódica.

 

  

7       Organización de la Seguridad de la Información en GPIC

El artículo 10 del Esquema Nacional de Seguridad es el fundamento para la determinación de las responsabilidades y funciones, señala:

“En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad.

El responsable de la información determinará los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos”

Un punto importante a destacar es que por imperativo legal la responsabilidad máxima -también en materia de seguridad de la información ENS y protección de datos- se encuentra en el Titular (Dirección) de la organización del Sector Público (o del titular del centro directivo) de que se trate, que, generalmente, personificará la figura del Responsable del Tratamiento del RGPD (en representación de su organización).

El Centro Criptológico Nacional (CCN), en su Guía de Seguridad de las TIC´s CCN-STIC 801 Esquema Nacional de Seguridad Responsabilidades y Funciones, describe la configuración que puede adoptar la organización de la Seguridad de la Información en una organización de la administración pública.

Esta guía señala en su punto 9 Comités (Apartado 68):

“Como hemos señalado con anterioridad, algunas responsabilidades pueden instrumentalizarse por medio de Comités, que se constituirán como órganos colegiados, de conformidad con lo señalado en la Ley 40/2015. Estos Comités, que estarán formados por miembros de todas las partes implicadas, facilitan el desenvolvimiento de la organización y suelen ser habituales en organizaciones de tamaño mediano o grande”

 

7.1      Estructura de la Organización de la Seguridad de la Información en GPIC

GPIC, en su adecuación al cumplimiento del Esquema Nacional de Seguridad, ha creado el siguiente órgano específico para estructurar la gestión de la seguridad de la información y de la protección de datos.

Para cumplir las medidas de seguridad del ENS, en los marcos organizativo, operacional y de protección, debe ser la organización, a través del comité constituido quien dirija y oriente a la dirección de la Organización en la forma de conseguirlo.

Este órgano se estructura en tres niveles: Gobierno, Supervisión y Operacional.

 

 

  • Comité de Seguridad de la Información

 

Tiene como objetivo alinear todas las actividades de la organización referente a seguridad de la información. El Comité de Seguridad de la Información (CSI) coordina la seguridad de la información en la organización y establece la estrategia, estará formado por un representante de la dirección de la organización, el Responsable de la Seguridad (de la Información) y por representantes de otras áreas de la organización afectadas (Responsables de Servicios, Responsables de la Información…..).

El Comité de Seguridad de la Información contará con los siguientes perfiles:

Perfiles a nivel de Gobierno:

  • Responsable de la Dirección.
  • Responsable de Tratamiento de Datos (RGPD- Nueva LOPD)
  • Responsable de la Información
  • Responsable del Servicio
  • Otros responsables de diferentes áreas de GPIC que se considere necesario.

 

Perfiles a nivel de Supervisión:

  • Responsable de Seguridad: Ejercerá las funciones de Secretario del Comité de seguridad de la Información.
  • Delegado de Protección de Datos (RGPD- Nueva LOPD).

 

Perfiles a nivel Operativo:

 

  • Responsable de Sistemas de Información.
  • Administradores de Seguridad.

 

Funciones:

  • Atender las inquietudes de la Dirección de la organización y de los diferentes departamentos.
  • Informar regularmente del estado de la seguridad de la información a la Dirección.
  • Promover la mejora continua del sistema de gestión de la seguridad de la información.
  • Elaborar la estrategia de evolución de la organización en lo que respecta a seguridad de la información.
  • Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, que están alineados con la estrategia decidida en la materia, evitando duplicidades.
  • Elaborar (y revisar regularmente) la Política de Seguridad de la Información para su aprobación por la Dirección
  • Aprobar la Normativa de Seguridad de la información.
  • Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios, desde el punto de vista de seguridad de la información.
  • Monitorizar los principales riesgos residuales asumidos por la organización y recomendar posibles actuaciones.
  • Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de tales incidentes.
  • Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
  • Aprobar planes de mejora de la seguridad de la información de la organización. En particular velará por la coordinación de distintos planes que puedan realizarse en diferentes áreas.
  • Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.

 

 

 

  • Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
  • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir

 

7.2      Perfiles: Funciones y Responsabilidades

 

Responsable de la Dirección.  La responsabilidad de la actividad de una organización del sector Público se sitúa, en última instancia, en su Titular.

 

Las competencias o funciones de la organización están recogidas en su norma de creación o en las sucesivas normas de desarrollo de su estructura, el Titular de la Organización, en este caso el Titular de la Gerencia del GPIC, es responsable de fijar los objetivos estratégicos, organizar adecuadamente sus elementos constituyentes, sus relaciones internas y externas, y dirigir su actividad, incluyendo la aprobación de la Política de Seguridad de la Información del organismo, así como, en su caso, la Política de Protección de Datos, facilitando los recursos adecuados para alcanzar los objetivos de seguridad propuestos, velando por su cumplimiento.

 

La figura de la Dirección de la organización (personificada en su Titular) cobra una importancia capital: de la Dirección depende la estrategia y el compromiso de la organización con la seguridad y su adecuada implantación, gestión y mantenimiento.

 

La Política de Seguridad de la Información (y Protección de Datos, en su caso) deberá identificar claramente a quién corresponden las funciones para el Responsable de la Información, del Servicio, de Seguridad, del Sistema y Delegado de Protección de Datos, pudiendo determinar, además, aquellos puestos que serían compatibles e incompatibles para el desempeño de estas funciones. Con las salvedades que sean detectadas, es posible que una misma persona pueda aunar varias responsabilidades o formar éstas parte de un órgano colegiado.

 

La información es la materia prima de la que se nutre la actividad de las organizaciones del Sector Público y puede tener su origen en la propia organización, los ciudadanos y en terceras organizaciones (públicas o privadas).

 

El Responsable de la Información es una persona situada en el nivel Directivo de la organización. Esta figura tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.

 

El ENS asigna al Responsable de la Información la potestad de establecer los requisitos de la información en materia de seguridad. O, en terminología del ENS, la potestad de determinar los niveles de seguridad de la información, pudiendo ser una persona física concreta o un órgano colegiado.

 

La aprobación formal de los niveles corresponde al Responsable de la Información, que recibirá la propuesta del Responsable de la Seguridad y del Responsable del Sistema, dentro de la estructura creada en el comité o unidad correspondiente.

 

Los Responsables de la Información ejercerán las siguientes funciones en su ámbito de actuación y competencia:

 

  1. Evaluar los niveles de Seguridad de la Información tratada.
  2. Asegurar el cumplimiento del Marco Regulador de la Privacidad y Seguridad de la Información.
  3. Proporcionar los recursos y medios adecuados para el cumplimiento de los principios básicos, requisitos mínimos y Marco regulador en materia de Privacidad y Seguridad de la Información. Asumir las funciones explícitamente atribuidas a la figura del Responsable de la Información en el ENS.
  4. Informar al Responsable de Seguridad de la Información sobre el cumplimiento de los niveles de seguridad y resto de requerimientos que se definan.

 

El Responsable del Servicio tiene la potestad de establecer los requisitos del servicio en materia de seguridad. O, en terminología del ENS, la potestad de determinar los niveles de seguridad de los servicios, pudiendo ser una persona física concreta o tratarse en un órgano colegiado (Comité de Gestión y Coordinación de la Seguridad de la Información del GPIC).

 

La aprobación formal de los niveles corresponda al Responsable del Servicio, que recibirá la propuesta del Responsable de la Seguridad y del Responsable del Sistema, dentro de la estructura creada en el comité o unidad correspondiente.

 

La determinación de los niveles en cada dimensión de seguridad debe realizarse dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad.

 

La prestación de un servicio siempre debe atender a los requisitos de seguridad de la información que maneja, en el caso del GPIC información sanitaria entre otras, a los que se suele añadir requisitos de disponibilidad, accesibilidad, interoperabilidad, etc.

 

Los Responsables de los Servicios ejercerán las siguientes funciones en su ámbito de actuación y competencia:

 

  1. Evaluar los niveles de seguridad de los servicios prestados.
  2. Proporcionar los recursos y medios adecuados para el cumplimiento de los principios básicos, requisitos mínimos y Marco Regulador de la Privacidad y Seguridad de la Información.
  3. Asumir las funciones explícitamente atribuidas a la figura del Responsable de los Servicios en el ENS.

 

Responsable de la Seguridad (de la información) es un perfil designado por la Dirección de la organización.

 

El ENS señala que el Responsable de la Seguridad determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

 

Las dos funciones esenciales del Responsable de la Seguridad son:

 

  • Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Información de la organización.
  • Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.

 

Adicionalmente el Responsable de Seguridad y Privacidad será el Secretario del Comité de Seguridad de la Información, y como tal:

 

  • Convocará las reuniones del Comité de Seguridad de la Información.
  • Preparará los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.
  • Elaborará el acta de las reuniones.
  • Convocará otros perfiles consultivos a las reuniones del comité sí fuera necesario.
  • Es responsable de la ejecución directa o delegada de las decisiones del Comité.

El Responsable de Privacidad y Seguridad de la Información ejerce las siguientes funciones:

 

  1. Colaborar, cooperar y asistir a los Responsables de la Información / Servicios en el desarrollo de sus funciones con la asistencia técnica del órgano competente de los sistemas de información que soporten los servicios.
  2. Convocar reuniones del Comité de Gestión y Coordinación de Seguridad de la Información, para evitar redundancia de acciones, asegurar la reutilización de recursos y unificar criterios en materia de Privacidad y Seguridad de la Información y protección de datos, tales como clausulado, directrices, procedimientos comunes, etc…
  3. Desarrollar, operar y mantener el Sistema de Gestión de la Seguridad de la Información, en adelante SGSI, apoyado por todos los responsables.
  4. Proponer el desarrollo de documentos técnicos del Marco Regulador y elevarlas a la persona titular competente en materia de administración electrónica para su aprobación. Proponer los planes de Privacidad y Seguridad de la Información, auditorías, continuidad de los servicios, formación y concienciación y observar su ejecución, así como su seguimiento
  5. Mantener informado al Delegado de Protección de Datos de cuantas decisiones tengan relación con la protección de datos que afecten de forma genérica al ámbito del GPIC. Difundir la PPSI y el resto del Marco Regulador en las organizaciones incluidas en su alcance. Velar por el cumplimiento y observancia del Marco Regulador de Privacidad y Seguridad de la Información.
  6. Velar por que la Privacidad y Seguridad de la Información se incorpore en todos los proyectos de los sistemas de información, desde su especificación inicial hasta su puesta en operación y posterior mantenimiento, así como en la preservación de la información que sea requerida tras el cese de sus actividades.
  7. Promover la formación y concienciación en materia de Privacidad y Seguridad de la Información.
  8. Gestionar los incidentes de seguridad, con el apoyo de la Oficina Técnica de Seguridad de la Información desde su notificación hasta su resolución y participar en la toma de decisiones en momentos asistido por el órgano directivo competente en materia tecnologías de la información y comunicación.
  9. A intervalos planificados, recibir y revisar información sobre el desempeño y cumplimiento del sistema de gestión de la Seguridad de la Información.
  10. Asumir las funciones explícitamente atribuidas a la figura del Responsable Seguridad de la Información en el ENS.

 

El Responsable del Sistema será designado por la dirección de la organización.

 

Tiene las siguientes funciones:

 

  1. Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
  2. Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
  3. Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.
  4. El Responsable del Sistema puede proponer la suspensión del tratamiento de una cierta información o la prestación de un determinado servicio si aprecia deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. La decisión final, que será tomada por la dirección de la organización, debe ser acordada con los responsables de la información y los servicios afectados y el Responsable de la Seguridad.

  

Administrador de Seguridad. Sus funciones más significativas serían las siguientes:

 

  1. La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.
  2. La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del sistema de información.
  3. La gestión de las autorizaciones y privilegios concedidos a los usuarios del sistema, incluyendo la monitorización de que la actividad desarrollada en el sistema se ajusta a lo autorizado.
  4. La aplicación de los Procedimientos Operativos de Seguridad (POS).
  5. Asegurar que los controles de seguridad establecidos son adecuadamente observados.
  6. Asegurar que son aplicados los procedimientos aprobados para manejar el sistema de información.

 

El Delegado de Protección de Datos tendrá como mínimo las siguientes funciones:

 

  1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  2. Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35; Cooperar con la autoridad de control;
  4. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

 

El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

 

7.3      Procedimiento de Designación de Perfiles

 

Es función de la Dirección de la organización, en este caso de la Gerencia de GPIC, designar los siguientes perfiles que se integraran en la estructura definida para la seguridad de la información en la organización:

 

  • Al Responsable de la Información, que puede ser un cargo unipersonal o un órgano colegiado.
  • Al Responsable del Servicio, que, pudiendo ser el mismo que el Responsable de la Información, también puede ser un cargo unipersonal o un órgano colegiado
  • Al Responsable de la Seguridad, que debe reportar directamente a la Dirección o a los órganos de gobierno de la organización y a los Comités de Seguridad constituidos
  • Al Responsable del Sistema, que, en materia de seguridad, reportará al Responsable de la Seguridad.

Es función del Responsable del Sistema y o del Responsable de Seguridad nombrar:

  • Al Administrador de Seguridad.

 

El Comité de Seguridad de la Información analizará los candidatos propuestos para los diferentes perfiles y realizará una propuesta final a la dirección para que esta lleve a cabo los nombramientos.

7.4      Nombramientos

El Responsable de la Dirección será el titular de la Gerencia de GPIC, o en su defecto la persona en la que este delegue de manera formal.

 

Adicionalmente la persona titular de la Gerencia de GPIC, o aquella en la que esta delegue de manera formal, ejercerá como Responsable de Tratamiento en representación de su organización.

El Delegado de Protección de Datos será nombrado por la persona titular de la Gerencia de GPIC con competencias en administración electrónica a fin de dar cumplimiento a lo requerido en el artículo 37 del RGPD, que llevará a cabo las tareas establecidas en el artículo 39 del citado RGPD, así como las que se deriven de la normativa española de protección de datos de carácter personal y de los documentos de buenas prácticas que se adopten por la propia organización.

Actualmente GPIC no dispone de un DPD por no ser, en el caso de esta organización, obligatorio su nombramiento, sí que dispone de los servicios de un consultor externo especialista en Protección de Datos y Privacidad

El responsable de Administración y RRHH de GPIC ejercerá como Responsable Seguridad de la Información.

El consultor de Seguridad de la Información en los Proyectos ejercerá como Responsable del Sistema de Gestión de la Seguridad de la Información (SGSI).

El personal responsable de las diferentes áreas de actividad (RRHH, Administración, Comercial…) que se designe por parte de la dirección ejercerá como Responsables de los Servicios y/o Responsables de la Información.

El Responsable del Sistema será el Administrador de los Sistemas de Información de GPIC seleccionado entre el personal técnico, con los conocimientos adecuados.

Los Administradores de Seguridad serán seleccionados entre personal técnico, con los conocimientos adecuados.

 

El Comité de Seguridad de la Información analizará los candidatos propuestos para los diferentes perfiles y realizará una propuesta final a la dirección para que esta lleve a cabo los nombramientos.

  

Compatibilidades

De acuerdo a los requerimientos señalados en los diferentes artículos del Esquema Nacional de Seguridad y al contenido de las guías CCN-STIC (Guía 801 Funciones y Responsabilidades) que lo desarrollan se pueden señalar, recogidas textualmente, las siguientes puntualizaciones respecto a los perfiles señalados en las páginas anteriores:

  • Las figuras de Responsable de la Información y Responsable del Servicio pueden recaer en la misma persona, Comité u órgano colegiado, como ocurre en el caso del GPIC. Dependiendo de la naturaleza o tamaño de la organización. No obstante, la diferenciación tiene sentido:
  • Cuando el servicio maneja información de diferentes procedencias, no necesariamente de la misma unidad departamental que la que presta el servicio.
  • Cuando la prestación del servicio no depende de la unidad que es Responsable de la Información.
  • El Responsable de la Seguridad (de la información) es la persona designada por la Dirección de la organización, según el procedimiento descrito en su Política de Seguridad de la Información. De conformidad con el principio de «segregación de funciones y tareas» recogido en el art. 10 del ENS, el Responsable de la Seguridad será una figura diferenciada del Responsable del Sistema, del responsable de la Información y del Responsable del Servicio.
  • El perfil de Responsable del Sistema, dado que es el encargado de llevar a la práctica, implementar y controlar, las medidas de seguridad no es compatible con ningún otro perfil
  • Atendiendo a la estructura organizativa de la organización, el Administrador de Seguridad (AS) puede depender del Responsable del Sistema o del Responsable de Seguridad.

 

Concurrencia con el RGPD

El RGPD identifica varios roles:

Responsable del Tratamiento (Art. 4). «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. Se correspondería con el Responsable de la Dirección.

Encargado del Tratamiento (Art.4). «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Se correspondería con el Responsable del Proyecto en la empresa proveedora.

El Delegado de Protección de Datos (DPD) (Art. 37). puede ser interno o externo a la organización, pudiendo revestir asimismo la forma de un órgano colegiado (Comité Delegado de Protección de Datos), velando siempre por evitar conflicto de intereGPIC en cualquiera de sus miembros. Además de ello, podrá designarse un único DPD para varias autoridades u organismos públicos, teniendo en consideración su estructura y tamaño.

 

La AEPD ha señalado la posibilidad de que el Delegado de Protección de Datos coincida con el Responsable de la Seguridad del ENS «en aquellas organizaciones que, por su tamaño y recursos, no pudieran observar dicha separación, sería admisible la designación como delegado de protección de datos de la persona que ejerciera las funciones de responsable de seguridad del ENS, siempre que en la misma concurran los requisitos de formación y capacitación previstos en el RGPD. Además, resultaría imprescindible adoptar todas las medidas organizativas, debidamente reflejadas en su Política de seguridad de la información, que garantice la necesaria independencia y la ausencia de conflicto de intereses, por lo que no podría recibir instrucciones respecto al desempeño de sus funciones como delegado de protección de datos, deberá responder directamente al más alto nivel jerárquico y no podrá participar en las decisiones relativas a los fines y medios del tratamiento.

En todo caso, esta circunstancia, que como decíamos, tiene carácter excepcional, deberá evaluarse caso por caso, y deberá dejarse documentada dicha designación haciendo constar los motivos por lo que el organismo correspondiente no ha podido observar dicha separación de funciones así como las medidas que garantizan la necesaria independencia del delegado de protección de datos.»  (AEPD: Informe 2018-0170: Incompatibilidad entre DPD y Responsable de la Seguridad – Apartado 9 Guía CCN –STIC 801).

 

En función de las necesidades y circunstancias de la organización, las funciones de algunas de estas figuras podrán recaer sobre una misma persona o grupo de personas, unidad o departamento, siempre teniendo en cuenta que la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios y que la figura del DPD deberá recaer en una única persona, que no podrá coincidir y deberá ser independiente de cualquier otra figura en la estructura de seguridad.

 

 

8       Datos de Carácter Personal

 

GPIC trata datos de carácter personal, entre otros datos de carácter especialmente protegidos.

8.1      Registro de Actividades de Tratamiento

GPIC mantendrá actualizado el registro de las actividades de tratamiento con datos de carácter personal de las que sea responsable, que incluirá toda la información a la que se refiere el artículo 30 del RGPD

8.2      Análisis y Gestión de Riesgos. Evaluación de Impacto (EIPD)

Cuando la información contenga datos de carácter personal, se llevará a cabo, de forma periódica y al menos cada 2 años, un análisis de riesgos que permita identificar y gestionar los riesgos minimizándolos hasta los niveles que puedan considerarse aceptables. Esta evaluación incluirá un análisis de los riesgos para los derechos y libertades de las personas físicas respecto de las actividades de tratamiento con datos personales que lleve a cabo GPIC, así como los sistemas de información que sirven de soporte para dichas actividades de tratamiento.

Asimismo, GPIC llevará a cabo una evaluación de impacto de las actividades de tratamiento en la protección de datos personales cuando del análisis realizado resulte probable que el tratamiento suponga un riesgo significativo para los derechos y libertades de las personas, conforme a lo previsto en el artículo 35 del RGPD.

8.3      Notificación Violaciones de Seguridad

GPIC adoptará las medidas necesarias para garantizar la notificación de las violaciones de seguridad de los datos de carácter personal que pudieran producirse a través del procedimiento establecido al efecto, de conformidad con lo dispuesto en el artículo 33 del RGPD.

Igualmente adoptará las medidas procedentes para la comunicación a los interesados que pudieran haberse visto afectados por la violación de seguridad de los datos de carácter personal, conforme a lo dispuesto en el artículo 34 del RGPD.

 

 

9       Análisis de Riesgos de Seguridad de la Información

 

La gestión de riesgos de seguridad de la información debe realizarse de manera continua sobre los sistemas de información, conforme a los principios de gestión de la seguridad basada en los riesgos y reevaluación periódica.

Todos los sistemas de información de GPIC serán objeto de un análisis de los riesgos a cargo de los responsables de seguridad de la información, que se repetirá con una periodicidad mínima anual.

Los análisis de los riesgos, además, se actualizarán en cualquiera de estos casos:

  1. a) Si se identifican nuevos activos de información o si cambian los existentes o sus requisitos de seguridad.
  2. b) Si se identifican cambios con relación a los servicios prestados.
  3. c) Si ocurre un incidente grave en la seguridad o se identifican o reportan graves vulnerabilidades en la seguridad de los sistemas existentes.

Los Responsables de la Información y los Responsables de los Servicios son los propietarios de los riesgos sobre la información y sobre los servicios, respectivamente, siendo responsables de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.

Para el análisis y gestión de riesgos se utilizarán las herramientas facilitadas por el Centro Criptológico Nacional (CCN), en particular las herramientas PILAR o las que se desarrollasen en el futuro, así como las guías, recomendaciones y herramientas elaboradas por GPIC en lo que respecta al tratamiento de datos de carácter personal.

Las decisiones sobre las medidas, proyectos e iniciativas de seguridad que deban tomarse en el ámbito de GPIC han de prever los resultados de la evaluación de los riesgos existentes en relación con la seguridad de la información sobre los sistemas utilizados.

El responsable de la seguridad de la información elevará al Comité de Seguridad de la Información correspondiente los resultados de los análisis de los riesgos

10   Revisión y Auditoría

 

GPIC llevará a cabo de forma periódica, y al menos cada dos años, una auditoría encaminada a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos y sistemas de información.

En todo caso realizará una auditoría específica y extraordinaria cuando se lleven a cabo modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas.

Las auditorías serán supervisadas por el Responsable de Seguridad de la Información y por el delegado de protección de datos.

 

 

11   Medidas de Seguridad

 

Las medidas de seguridad implantadas se corresponderán con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

 

12   Revisión de la Política

 

El Responsable de Seguridad de la Información y el Delegado de Protección de Datos asegurarán la revisión de la PPSI cuando se produzcan cambios significativos en el contexto y/o la organización de GPIC o bien con la periodicidad que se determine en el desarrollo del SGSI, la cual se elevará, para su revisión y aprobación, al Comité de Gestión y Coordinación de la Seguridad de la Información.

Su revisión debe garantizar que ésta se encuentra alineada con la estrategia, la misión y visión del organismo en materia de Privacidad y Seguridad de la Información.

En último término la Política de Seguridad de la Información, y sus revisiones, será aprobada formalmente por la Alta Dirección de la Organización y tendrá carácter imperativo sobre toda la organización.

Así mismo estará sujeta a un proceso de revisión regular que la adapte a nuevas circunstancias, técnicas u organizativas, y evite que quede obsoleta.

Por ello se establecerá un proceso organizativo que asegure que regularmente se revisa la oportunidad, idoneidad, completitud y precisión de lo que la Política establezca y sea sometido a aprobación formal por la Alta Dirección.

 

13   Relación con Terceras Partes

 

Cuando un tercero preste servicios a GPIC en el que deba acceder a datos personales de los que GPIC es Responsable del Tratamiento, o se cedan activos de información a éstos, se le debe hacer partícipe del Marco Regulador de Privacidad y Seguridad de la Información que ataña a dichos servicios o activos.

Las terceras partes quedan sujetas a las obligaciones establecidas en dicho Marco.

Los contratos, encargos o convenios que se suscriban a partir de la entrada en vigor de este acuerdo deben incluir la obligación de cumplir esta Política y el sistema de verificación de su cumplimiento. Las subcontrataciones requerirán el consentimiento expreso del Responsable de la Información para el acceso a los activos de la información.

Cualquier tercero adjudicatario de un contrato, encargo o convenio que conlleve el tratamiento de datos de carácter personal en nombre de GPIC deberá ser constituido como Encargado de Tratamiento y firmar el correspondiente Encargo de Tratamiento como anexo a los contratos suscritos para la prestación de los servicios contratados.

Cuando GPIC preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de las respectivas unidades de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando GPIC utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias.

Se garantizará que el personal de terceros está adecuadamente formado y concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando dicho tercero sea una administración pública o un organismo del sector público, aplicará sus propias normas de seguridad de la información una vez que se le haya cedido la información.

Si un tercero no puede cumplir algún aspecto de la política de seguridad de la información según lo que se requiere en los párrafos anteriores, será preciso obtener un informe del responsable de seguridad competente que precise los riesgos en que se incurre y la manera de tratarlos. Con anterioridad a su continuación, también será necesario que los responsables de la información y los responsables de los servicios afectados aprueben dicho informe antes de seguir adelante.

 

14   Resolución de Conflictos

 

En caso de conflicto entre los diferentes responsables que componen la estructura organizativa definida para la gestión de la seguridad de la información, lo resolverá su superior jerárquico; en su ausencia, prevalece la decisión del Comité de Seguridad de la Información.

En caso de conflicto entre los responsables que componen la estructura organizativa para la gestión de la seguridad de la información y los definidos en la normativa de protección de datos de carácter personal, prevalece la decisión que implique el nivel más alto de protección.

15   Obligaciones del Personal de GPIC

 

Todos los miembros de GPIC tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad que la desarrolla, siendo responsabilidad del Comité de Seguridad de la Información de la empresa disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de la empresa atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de la organización, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

 

 

Para ello GPIC garantizará la definición y la ejecución de las acciones necesarias para concienciar y fomentar el cumplimiento de las obligaciones por parte del personal con relación a los riesgos y las amenazas relativos a la seguridad de la información.

La gestión y preservación de la seguridad de la información y el cumplimiento de los objetivos citados en esta Política deben ser el fin común de todas las personas que presten servicio directa o indirectamente en la organización, de tal manera que son responsables del uso correcto de los activos de tecnologías de la información y de las comunicaciones puestos a su disposición.

El incumplimiento de esta política de seguridad de la información podrá suponer el inicio de las medidas disciplinarias que procedan, sin perjuicio de las responsabilidades legales que correspondan.

Los usuarios de GPIC serán responsables de aquella información que manejen y/o a la que accedan, en función de los permisos que les sean asignados dentro de la organización, en el desarrollo de sus actividades profesionales. Dicha información tendrá asignados los niveles de seguridad requeridos o, en caso de ser nueva información en el sistema, le serán asignados por el usuario en función del Procedimiento de Gestión y Clasificación de los Activos implantado En la organización.

 

 

 Firmada por Ignacio Soto, como responsable de la dirección, en Sevilla, el 01 de Julio de 2021: