BOPMA Boletín Oficial de la Provincia de Málaga

Edicto 490/2016

NOTA IMPORTANTE: este texto se muestra aquí sólo con fines de consulta. Su original en formato PDF, publicado el día 02 de febrero de 2016, es el único que cuenta con validez a efectos legales. Puede descargarse desde el siguiente enlace: 020216021.pdf.

Edicto 490/2016, publicado en el Boletín número 21 del día 02 de febrero de 2016

Edicto
El Pleno de esta Diputación Provincial de Málaga, en la sesión ordinaria de fecha 1 de diciembre de 2015, aprobó dictamen de la Comisión Especial de Cuentas e Informativa de Desarrollo Económico y Productivo de la Delegación de Empleo, Recursos Europeos y Nuevas Tecnologías, referente a: Aprobación de la Política de Seguridad de la Información de la Diputación Provincial de Málaga, de conformidad con el Esquema Nacional de Seguridad.
La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, en su artículo 42.2 dispone la creación, a través de reglamento, del Esquema Nacional de Seguridad.
En cumplimiento de la misma, se aprobó el Real Decreto 3/2010 de 8 de Enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.
Esta norma tiene por objeto el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos, que permita la adecuada protección de la información.
Es de aplicación a las administraciones públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios en los medios electrónicos que gestiones en el ejercicio de sus competencias.
Con la misma se pretende proporcionar las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de una serie de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos de manera que permita a los ciudadanos el ejercer sus derechos y a las Administraciones cumplir sus deberes a través de estos medios electrónicos.
El citado decreto establece en su artículo 11 que “Todos los órganos superiores de las administraciones públicas deberán disponer formalmente de su política de seguridad, de conformidad con los principios enunciados anteriormente y se desarrollará aplicando los siguientes requisitos mínimos:
a) Organización e implantación del proceso de seguridad. b) Análisis y gestión de los riesgos. c) Gestión de personal. d) Profesionalidad. e) Autorización y control de los accesos. f) Protección de las instalaciones. g) Adquisición de productos. h) Seguridad por defecto. i) Integridad y actualización del sistema. j) Protección de la información almacenada y en tránsito. k) Prevención ante otros sistemas de información interconectados. l) Registro de actividad. m) Incidentes de seguridad. n) Continuidad de la actividad. o) Mejora continua del proceso de seguridad.
Teniendo en cuenta lo dispuesto en los artículos 34.1 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local, y en los artículos 58 y 39 del Reglamento Orgánico de la Diputación Provincial, el Diputado que suscribe y a los efectos de la posterior resolución por el Pleno de esta Corporación, tiene a bien proponer:
a) Dejar sin efecto el acuerdo de Pleno de 1 de enero de 2010, punto 7.A/1. (Este acuerdo se refiere a la Política oficial de Seguridad de Datos que pretende modificar).
b) Aprobar la Política de Seguridad de la Información de la Diputación Provincial de Málaga, de conformidad con el Esquema Nacional de Seguridad, cuyo texto es el siguiente:
1. Aprobación y entrada en vigor Esta Política de Seguridad de la Información es efectiva desde la fecha de su aprobación y, para su conocimiento y difusión, se publicará en la Intranet de la Diputación de Málaga.
2. Introducción La Diputación de Málaga, como cualquier otra organización basada en la gestión de información, depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. De la operatividad de estos servicios, surge la necesidad de proteger la información y los servicios prestados frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad. Todo ello, con el compromiso de un equilibrio entre la seguridad y su coste, tanto económico, como operativo.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza ante los incidentes. Para ello, esta Política de Seguridad de la Información, define la estructura básica de la organización de seguridad en la Diputación de Málaga, así como los principios básicos para la implementación de las medidas técnicas y organizativas de seguridad que se desarrollan en normas y procedimientos de seguridad de la Confederación.
Dado que el entorno tecnológico es muy variable, se requiere una estrategia que se adapte a los cambios en las condiciones que garanticen la prestación continua de los servicios. Por ello, la Diputación de Málaga aplica las medidas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realiza un seguimiento continuo de los niveles de prestación de servicios, sigue y analiza las vulnerabilidades reportadas, y prepara una respuesta efectiva ante los incidentes para garantizar la continuidad de los servicios prestados. Debemos estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al artículo 7 del Esquema Nacional de Seguridad.
La seguridad TIC debe ser considerada asimismo en cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Se requiere cada vez mayor interconexión de los Sistemas de Información de la Diputación de Málaga con otros sistemas, se produce por ello, un aumento de los riesgos inherentes a la exposición a entornos fuera del control de los propietarios de los sistemas. Esta Política de Seguridad de la Información busca establecer los principios básicos y requisitos mínimos de seguridad que permitan operar los Sistemas de Información de la Diputación de Málaga dentro de un rango aceptable de riesgo para la confidencialidad, autenticidad, trazabilidad e integridad de sus datos y la disponibilidad de los mismos.
3. Alcance Esta Política de Seguridad de la Información se aplica a todos los sistemas (TIC) de la Diputación de Málaga y a todos los miembros de la misma en relación con los servicios de administración electrónica que se gestionan.
4. Marco normativo El marco normativo en que se desarrollan las actividades de la Diputación de Málaga, y, en particular, la prestación de sus servicios electrónicos a los ciudadanos, está integrado por las siguientes normas:
a) Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
c) Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
d) Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
e) Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
f) Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
g) Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
h) Ley 59/2003, de 19 de diciembre, de Firma Electrónica.
i) Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrónica.
m) Real Decreto 1495/2011, de 24 de octubre, por el que se desarrolla la Ley 37/2007, de 16 de noviembre, sobre Reutilización de la Información del Sector Público, para el ámbito del sector público estatal.
También forman parte del marco normativo las restantes normas aplicables a la Administración Electrónica derivadas de las anteriores y publicadas en las sedes electrónicas comprendidas dentro del ámbito de aplicación de la Política de Seguridad de la Información.
5. Principios básicos de la seguridad La presente Política de Seguridad de la Información se basa en los siguientes principios básicos identificados en el Esquema Nacional de Seguridad.
5.1. La seguridad al servicio de la operatividad y del uso
La seguridad de la información en la Diputación de Málaga resulta como una necesidad del propio servicio que se presta, que es el activo a proteger. Es la disponibilidad de la información y su garantía de confidencialidad, autenticidad, trazabilidad e integridad, así como de los servicios públicos prestados con TIC, la que justifica la necesidad de proteger dichos activos, y en base a su disponibilidad y servicio se deberá regular y considerar el resto. Se encuadra junto a la política de uso adecuado de los servicios y de los medios puestos a disposición del personal y/o de los ciudadanos.
5.2. La seguridad como proceso integral La seguridad de la información en la Diputación de Málaga se concebirá como un proceso integral y no como una sucesión de actividades puntuales. Incluirá elementos técnicos, humanos y organizativos. La planificación de la implantación de las medidas de seguridad en los Sistemas de Información debe ser considerada como un elemento esencial durante todo su ciclo de vida (análisis, diseño, desarrollo, prueba y mantenimiento). Si bien, siempre deberá observarse el principio de proporcionalidad entre los recursos empleados y el nivel de seguridad aceptable impuesto por las medidas de seguridad exigidas en el Esquema Nacional de Seguridad.
5.3. Prevención, reacción y recuperación
5.3.1. Prevención Para evitar, o al menos prevenir en la medida de lo posible, incidentes de seguridad se deben implementar las medidas mínimas previstas en el Esquema Nacional de Seguridad, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, se debe:
a) Autorizar los sistemas antes de entrar en operación. b) Evaluar regularmente la seguridad, incluyendo evaluaciones de
los cambios de configuración realizados de forma rutinaria. c) Solicitar la revisión periódica, por parte de terceros, con el fin
de obtener una evaluación independiente. d) No usar software no relacionado con los objetivos y obligacio-
nes de la Diputación de Málaga, además de aquel que por motivos de seguridad esté formalmente prohibido o limitado su uso bajo aprobación previa según los principios establecidos en la normativa de seguridad de la propia Confederación (programas P2P, comunicaciones, …). e) Hacer uso de los recursos informáticos de la Diputación de Málaga según los principios establecidos en la normativa de seguridad de la propia Confederación. Se prestará especial cuidado con la utilización segura del correo electrónico y del acceso a internet.
5.3.2. Detección Dado que los servicios se pueden degradar rápidamente debido a incidentes que van desde una simple desaceleración hasta su deten-
ción, se debe monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el artículo 9 del Esquema Nacional de Seguridad.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el artículo 8 del Esquema Nacional de Seguridad. Por ello, se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produzca una desviación significativa de los parámetros que se hayan pre-establecido como normales.
5.3.3. Respuesta Los diferentes departamentos de la Diputación de Málaga deben:
a) Establecer mecanismos para responder eficazmente ante los incidentes de seguridad.
b) Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
c) Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
5.3.4. Recuperación Para garantizar la disponibilidad de los servicios críticos, se contará con planes de continuidad de los sistemas TIC que se deberán incluir en el plan general de continuidad de negocio y actividades de recuperación.
5.4. Seguridad basada en líneas de defensa La seguridad de la información en la Diputación de Málaga se basará en la implementación de una estrategia de protección constituida por múltiples capas compuestas por medidas de naturaleza organizativa, lógica y física dispuestas de forma que, cuando una de las capas falle, permita:
• Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse.
• Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
• Minimizar el impacto final sobre el mismo.
5.5. Reevaluación periódica Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. Los Sistemas de Información de la Diputación de Málaga serán objeto de una auditoría regular ordinaria, al menos cada dos años. Esta auditoría verificará el cumplimiento de los requerimientos del Esquema Nacional de Seguridad y de esta Política de Seguridad de la Información. Con carácter extraordinario, deberá realizarse una auditoría siempre que se produzcan modificaciones sustanciales en un Sistema de Información, que puedan repercutir en las medidas de seguridad requeridas.
5.6. La Seguridad como función diferenciada La seguridad de la información debe ser considerada como una función diferenciada que conlleva la creación de una organización de seguridad dentro de la Confederación, tal y como describe esta Política de Seguridad de la Información. Asimismo, la presente Política de Seguridad define las diferentes funciones, responsabilidades y atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.
6. Organización de la seguridad La estructura organizativa de la gestión de la seguridad de la información en la Diputación de Málaga estará compuesta por los siguientes responsables:
• Responsable del Fichero (LOPD): Presidente. • Responsable de la Información (ENS): Presidente. • Responsable del Servicio (ENS): Presidente.
• Responsable de Seguridad (ENS Y LOPD): Coordinadora de Vicepresidencia de Nuevas Tecnologías.
• Responsable de Seguridad Delegado (ENS Y LOPD): Programadora especialista en SGSI.
• Responsable del Sistema (ENS): Jefe del servicio de Tecnologías de la Información y las comunicaciones
• Responsable del Sistema Delegado (ENS): Jefe de Sección de Sistemas y Comunicaciones
• Administrador/a de la Seguridad del Sistema (ENS): Responsable de Sistemas
6.1. Comité de Seguridad de la Información Funciones El Comité de Seguridad de la Información, coordinará todas las actividades relacionadas con la seguridad de los Sistemas de Información y ejercerá las siguientes funciones:
a) Elaborar las propuestas de modificación y actualización permanente de la Política de Seguridad de la Información, que serán aprobadas por el Presidente.
b) Establecer la normativa de seguridad derivada de segundo nivel que, materializada en instrucciones o resoluciones de los titulares de los órganos correspondientes, sea de obligado cumplimiento: procedimientos, normas e instrucciones técnicas sobre Seguridad en las Tecnologías de la Información y las Comunicaciones (STIC).
c) Adoptar las medidas necesarias para satisfacer los requisitos de seguridad de la información y de los servicios previstos en esta Política. Aprobar los resultados del análisis de riesgos de los sistemas de la Diputación de Málaga, así como los planes de tratamiento que se deriven del mismo.
d) Coordinar proyectos de seguridad y compartir experiencias de éxito en materia de seguridad entre sus miembros para velar por el cumplimiento de la Política de Seguridad de la Información y su normativa de desarrollo.
e) Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
f) Informar sobre el estado de las principales variables de seguridad en los Sistemas de Información al Presidente de la Diputación de Málaga.
g) Aprobar el Plan Anual de Auditoría y el Plan Anual de Formación propuestos por el Responsable de Seguridad. Así mismo, promoverá la inclusión de condiciones de contratación que incluyan formación específica en seguridad, en línea con la desarrollada internamente en la Diputación de Málaga.
h) Velar, coordinar y promover acciones de cumplimiento con respecto a la protección de datos de carácter personal de acuerdo con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo.
i) Aprobar el procedimiento de monitorización y control de accesos a la red y a las bases de datos de la Administración Electrónica de la Diputación de Málaga, así como los demás proce­ dimientos de actuación en lo relativo al uso de los Sistemas de Información.
Composición El Comité estará compuesto por los siguientes miembros:
a) Presidente/a: Responsable de Seguridad b) Secretario/a: Responsable de Seguridad Delegado c) Vocales:
• Responsable del Sistema. • Responsable del Sistema Delegado. • Administrador/a de la Seguridad del Sistema. • Jefe/a del Servicio de RRHH. • Jefe/a del Servicios Generales. • Jefe/a de Asesoría Jurídica.
En el ámbito del comité de seguridad, el secretario tendrá como funciones:
• Convoca las reuniones del Comité de Seguridad de la Información.
• Prepara los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.
• Elabora el acta de las reuniones.
El Comité reportará al Presidente de la Diputación de Málaga, pudiendo recabar del personal técnico propio o externo la información pertinente para la toma de sus decisiones.
Funcionamiento El Comité se reunirá con carácter ordinario una vez al semestre y con carácter extraordinario, cuando lo decida su Presidente, y siempre que:
a) Ocurran incidencias de seguridad graves que afecten a cualquier departamento de la Diputación de Málaga.
b) Surjan nuevas necesidades de seguridad que requieran la participación de los componentes del Comité.
Tras cada reunión del Comité se levantará acta de la misma que se distribuirá entre sus miembros.
El Comité podrá crear, en su seno, las ponencias técnicas que requiera el normal desarrollo de sus funciones.
A las sesiones del Comité podrán asistir en calidad de asesores las personas que en cada caso estime pertinentes el presidente del Comité.
Sin perjuicio de lo anterior, el funcionamiento del Comité y, en su caso, de las ponencias técnicas, se ajustará a los establecido para los órganos colegiados en los artículos 22 a 27 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
6.2. Responsable del Servicio El Responsable del Servicio es la persona que determina los niveles de seguridad de los servicios dentro del marco establecido en el anexo I del Real Decreto 3/2010, de 8 de enero. Las funciones del Responsable del Servicio serán las siguientes:
a) Aprobar toda modificación sustancial de la configuración de cualquier elemento del servicio.
b) Realizar el preceptivo proceso de análisis y gestión de riesgos del servicio.
c) Establecer planes de contingencia y emergencia. d) Establecer los requisitos del servicio en materia de seguridad,
incluyendo los requisitos de interoperabilidad, accesibilidad y disponibilidad. e) Determinar los niveles de seguridad de los servicios.
6.3. Responsable de la Información El Responsable de la Información es la persona que determina los niveles de seguridad de la información dentro del marco establecido en el anexo I del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad. Entre sus principales funciones cabe destacar:
a) Velar por el buen uso de la información y, por tanto, de su protección.
b) Ser responsable último de cualquier error o negligencia que lleva a un incidente de confidencialidad o de integridad.
c) Establecer los requisitos de la información en materia de seguridad.
d) Determinar los niveles de seguridad de la información.
6.4. Responsable del Fichero Serán funciones del Responsable del Fichero, para todo el ámbito de la Diputación de Málaga, las siguientes:
a) Notificar los ficheros ante el Registro General de Protección de Datos para que se proceda a su inscripción.
b) Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
c) Garantizar el cumplimiento de los deberes de secreto y seguridad. d) Informar a los titulares de los datos personales en la recogida de
estos. e) Obtener el consentimiento para el tratamiento de los datos per-
sonales. f) Facilitar y garantizar el ejercicio de los derechos de oposición
al tratamiento, acceso, rectificación y cancelación. g) Asegurar que en sus relaciones con terceros que le presten ser-
vicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD. h) Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.
6.5. Responsable de Seguridad Serán funciones del Responsable de Seguridad, para todo el ámbito de la Diputación de Málaga, las siguientes:
a) Mantener la seguridad de la información manejada y de los servicios electrónicos prestados por los Sistemas de Información en su ámbito de responsabilidad.
b) Promover la formación y concienciación en materia de seguridad de la información.
c) Proponer los planes de auditoría para verificar el cumplimiento de las obligaciones en materia de seguridad de la información.
d) Monitorizar el estado de seguridad del Sistema de Información. e) Verificar que las medidas de seguridad son adecuadas para la
protección de la información y los servicios. f) Apoyar y supervisar la investigación de los incidentes de segu-
ridad desde su notificación hasta su resolución. g) Elaborar informes periódicos para el Comité de Seguridad que
incluyan los incidentes más relevantes de cada periodo. h) Realizar o actualizar el análisis de riesgos de los Sistemas de
Información.
6.6. Responsable del Sistema Designado por el Presidente, debe figurar como tal en la documentación de seguridad del Sistema de Información. Las funciones del Responsable del Sistema serán las siguientes:
a) Desarrollar las especificaciones, controlar su instalación y verificar el correcto funcionamiento del Sistema de Información durante todo su ciclo de vida.
b) Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
c) Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
d) Determinar la categoría del sistema según el procedimiento descrito en el anexo I del Real Decreto 3/2010, de 8 de enero y las medidas de seguridad que deben aplicarse de acuerdo con lo previsto en el anexo II del mismo real decreto.
e) Suspender, previo acuerdo del Responsable de Información y de Seguridad, el manejo de una determinada información o la prestación de un servicio electrónico si es informado de deficiencias graves de seguridad.
f) El Responsable del Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con el Responsable de la Información afectada, del Servicio afectado y el Responsable de la Seguridad, antes de ser ejecutada.
6.7. Administrador/a de la Seguridad del Sistema Designado por el Presidente, debe figurar como tal en la documentación de seguridad del Sistema de Información. Las funciones del Administrador/a de la Seguridad del Sistema serán las siguientes:
a) La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al Sistema de Información.
b) La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del Sistema de Información.
c) La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de que la actividad desarrollada en el sistema se ajusta a lo autorizado.
d) La aplicación de los Procedimientos Operativos de Seguridad. e) Aprobar los cambios en la configuración vigente del Sistema de Información. f) Asegurar que los controles de seguridad establecidos se cumplen estrictamente. g) Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de Información. h) Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes. i) Monitorizar el estado de seguridad del sistema proporcionado mediante las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema. j) Informar al Responsable del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad. k) Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución. 6.7.1. Responsabilidades A continuación, se listan las principales tareas, en funciones de seguridad de la información, de acuerdo con lo establecido en el Esquema Nacional de Seguridad y el responsable de su realización dentro de la organización de la seguridad de la Diputación de Málaga.
TA R E A NOTIFICAR LOS FICHEROS ANTE EL REGISTRO GENERAL DE PROTECCIÓN DE DATOS. GARANTIZAR EL CUMPLIMIENTO DE LOS DEBERES DE SECRETO Y SEGURIDAD. GARANTIZAR DERECHOS ARCO DETERMINACIÓN DE LOS NIVELES DE SEGURIDAD REQUERIDOS EN CADA DIMENSIÓN DETERMINACIÓN DE LA CATEGORÍA DEL SISTEMA ANÁLISIS DE RIESGOS DECLARACIÓN DE APLICABILIDAD. DETERMINAR QUÉ CONTROLES APLICAN EN CADA SISTEMA, EN BASE AL NIVEL DE CLASIFICACIÓN DEL ENS. MEDIDAS DE SEGURIDAD ADICIONALES CONFIGURACIÓN DE SEGURIDAD IMPLANTACIÓN DE LAS MEDIDAS DE SEGURIDAD ACEPTACIÓN DEL RIESGO RESIDUAL
DOCUMENTACIÓN DE SEGURIDAD DEL SISTEMA
POLÍTICA DE SEGURIDAD
NORMATIVA DE SEGURIDAD
PROCEDIMIENTOS OPERATIVOS DE SEGURIDAD
ESTADO DE LA SEGURIDAD DEL SISTEMA
PLANES DE MEJORA DE LA SEGURIDAD
PLANES DE CONCIENCIACIÓN Y FORMACIÓN
PLANES DE CONTINUIDAD
CICLO DE VIDA: ESPECIFICACIÓN, ARQUITECTURA, DESARROLLO, OPERACIÓN, CAMBIOS
RESPONSABLE
RESPONSABLE DEL FICHERO
RESPONSABLE DEL FICHERO
RESPONSABLE DEL FICHERO
RESPONSABLE DE LA INFORMACIÓN + RESPONSABLE DEL SERVICIO O EL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN.
RESPONSABLE DE SEGURIDAD.
RESPONSABLE DE SEGURIDAD.
RESPONSABLE DE SEGURIDAD.
RESPONSABLE DE SEGURIDAD.
ELABORA: RESPONSABLE DE SEGURIDAD. APLICA: RESPONSABLE DEL SISTEMA.
RESPONSABLE DEL SISTEMA.
RESPONSABLE DE LA INFORMACIÓN. RESPONSABLE DEL SERVICIO.
ELABORA: RESPONSABLE DE SEGURIDAD. REVISA: COMITÉ DE SEGURIDAD DE LA INFORMACIÓN. APRUEBA: RESPONSABLE DE LA INFORMACIÓN Y DEL SERVICIO.
ELABORA: RESPONSABLE DE SEGURIDAD. REVISA: COMITÉ DE SEGURIDAD DE LA INFORMACIÓN. APRUEBA: RESPONSABLE DE LA INFORMACIÓN Y DEL SERVICIO.
ELABORA: RESPONSABLE DE SEGURIDAD. REVISA: COMITÉ DE SEGURIDAD DE LA INFORMACIÓN. APRUEBA: RESPONSABLE DE LA INFORMACIÓN Y DEL SERVICIO.
ELABORA: RESPONSABLE DE SEGURIDAD. REVISA: COMITÉ DE SEGURIDAD DE LA INFORMACIÓN. APRUEBA: RESPONSABLE DE LA INFORMACIÓN Y DEL SERVICIO.
ELABORA: RESPONSABLE DE SEGURIDAD. REVISA: COMITÉ DE SEGURIDAD DE LA INFORMACIÓN. APRUEBA: RESPONSABLE DE LA INFORMACIÓN Y DEL SERVICIO.
ELABORA: RESPONSABLE DE SEGURIDAD. REVISA: COMITÉ DE SEGURIDAD DE LA INFORMACIÓN. APRUEBA: RESPONSABLE DE LA INFORMACIÓN Y DEL SERVICIO.
ELABORA: RESPONSABLE DE SEGURIDAD. REVISA: COMITÉ DE SEGURIDAD DE LA INFORMACIÓN. APRUEBA: RESPONSABLE DE LA INFORMACIÓN Y DEL SERVICIO.
ELABORA: RESPONSABLE DE SEGURIDAD. REVISA: COMITÉ DE SEGURIDAD DE LA INFORMACIÓN. APRUEBA: RESPONSABLES DE LA INFORMACIÓN Y DEL SERVICIO.
ELABORA: RESPONSABLE DE SEGURIDAD. REVISA: COMITÉ DE SEGURIDAD DE LA INFORMACIÓN. APRUEBA: RESPONSABLE DE LA INFORMACIÓN Y DEL SERVICIO.
6.7.2. Resolución de conflictos De acuerdo con el Principio de Jerarquía que rige en las administraciones públicas españolas, en caso de conflicto entre los diferentes responsables y/o entre diferentes servicios de la entidad, éste será resuelto por el superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Comité de Seguridad, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
6.7.3. Procedimientos de designación El Responsable de Seguridad de la Información será nombrado por el Presidente a propuesta del Comité de Seguridad de la Información. El nombramiento se revisará cada dos años o cuando el puesto quede vacante. El Departamento responsable de un servicio que se preste electrónicamente de acuerdo a la Ley 11/2007 designará al Responsable del Sistema Delegado, precisando sus funciones y responsabilidades dentro del marco establecido por esta Política.
6.7.5. Revisión de la Política de Seguridad de la Información Será misión del Comité de Seguridad de la Información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por el Presidente y difundida para que la conozcan todas las partes afectadas.
7. Datos de Carácter Personal La Diputación de Málaga trata datos de carácter personal. El documento de seguridad, al que tendrán acceso sólo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes. Todos los Sistemas de Información de la Diputación de Málaga se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Documento de Seguridad.
8. Gestión de riesgos Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
• Regularmente, al menos una vez al año. • Cuando cambie la información manejada. • Cuando cambien los servicios prestados. • Cuando ocurra un incidente grave de seguridad. • Cuando se reporten vulnerabilidades graves.
Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
9. Desarrollo de la Política de Seguridad de la Información Esta Política se desarrollará por medio de Normativa, Documento de Seguridad y Procedimientos de Seguridad que afronten aspectos específicos. La documentación del Sistema de Gestión de Seguridad de la Información estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los Sistemas de Información y comunicaciones. En cualquier caso se seguirán las siguientes pautas de seguridad:
9.1. Seguridad de la gestión de Recursos Humanos La seguridad ligada al personal es fundamental para reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y servicios. Se requerirá la firma de un acuerdo de confidencialidad para todos los empleados para evitar la divulgación de información secreta. Todas las políticas y procedimientos en materia de seguridad deberán ser comunicadas regularmente a todos los trabajadores y usuarios terceros si procede.
Cuando se termine la relación laboral o contractual con empleados o personal externo, se les retirarán los permisos de acceso a las instalaciones y la información y se les pedirá que devuelvan cualquier tipo de información o equipos que se les haya entregado para la realización de los trabajos.
9.2. Seguridad física y del entorno Para que una seguridad lógica sea efectiva es primordial que las instalaciones mantengan una correcta seguridad física para evitar los accesos no autorizados así como cualquier otro tipo de daño o interferencia externa.
9.2.1. Áreas seguras La Diputación de Málaga tomará las precauciones necesarias para que sólo las personas autorizadas tengan acceso a las instalaciones. La totalidad de las instalaciones de la Diputación de Málaga contarán con las barreras físicas necesarias para asegurar los recursos que éstas alberguen. Los lugares donde se ubican los servidores y el cableado estarán en lugares aislados y sólo tendrán acceso las personas autorizadas y los proveedores de servicios cuando vayan acompañados por alguien autorizado. Las ventanas y puertas deberán permanecer cerradas cuando las instalaciones estén vacías. Se prohíbe expresamente al personal comer y beber cerca de los servidores y equipos informáticos. Asimismo, se tendrá especial cuidado con el manejo de cualquier producto que pueda verterse sobre activos de información. Para la prevención de fugas de agua e inundaciones será necesaria la revisión periódica de la grifería, sanitarios y demás instalaciones que puedan causar daños de este tipo.
9.2.2. Seguridad de los equipos Los equipos informáticos son un activo importante del que depende la continuidad de las actividades, por lo que serán protegidos de manera adecuada y eficaz. Los equipos informáticos críticos de la Diputación de Málaga estarán protegidos contra posibles fallos de energía u otras anomalías eléctricas, para ello se han instalado equipos de alimentación ininterrumpida. Los equipos deberán mantenerse de forma adecuada para garantizar su correcto funcionamiento y su perfecto estado de forma para que mantengan la confidencialidad, integridad y sobre todo la disponibilidad de la información. Para ello deben someterse a las revisiones recomendadas por el suministrador. Solo el personal debidamente autorizado podrá acceder al equipo para proceder a su reparación. También será necesario adoptar las medidas de precaución necesarias en caso de los equipos deban abandonar las instalaciones para su mantenimiento. La eliminación de equipos sólo se llevará a cabo por el Responsable de Seguridad o personal en el que este delegue.
9.3. Gestión de comunicaciones y operaciones
9.3.1. Procedimientos operativos y responsabilidades La Diputación de Málaga controlará el acceso a los servicios en redes internas y externas y se asegurará de que los usuarios no ponen en riesgo dichos servicios. Para ello deberá establecer las interfaces adecuadas entre la red de la Diputación de Málaga y otras redes, los mecanismos adecuados de autenticación para usuarios y equipos, y los accesos para cada usuario del sistema de información. Para evitar un uso malicioso de la red de la Diputación de Málaga existirán mecanismos para cubrir los servicios en red a los que se puede acceder, los procedimientos de autorización para establecer quién puede acceder a que recursos de red y los controles de gestión para proteger los accesos a la red. Todos los empleados autorizados para el manejo de información automatizada deberán estar registrados como usuarios del sistema. Cada vez que accedan al sistema de información deberán validarse con su nombre de usuario, que será único e intransferible, y su contraseña personal. Esta contraseña caducará periódicamente.
Para asegurar la operación correcta y segura de los sistemas de información, los procedimientos de operación estarán debidamente documentados y se implementarán de acuerdo a estos procedimientos. Estos procedimientos serán revisados y convenientemente modificados cuando haya cambios significativos en los equipos o el software que así lo requieran.
En algunos casos será necesario que distintas áreas estén lógicamente separadas del resto para evitar accesos no autorizados.
9.3.2. Protección frente a código malicioso y código móvil Queda totalmente prohibida la instalación de otro software que no sea el permitido y necesario para el desarrollo del trabajo por parte del personal de la Diputación de Málaga. Todo software adquirido por la organización sea por compra, donación o cesión es propiedad de la institución y mantendrá los derechos que la ley de propiedad intelectual le confiera, vigilando los diferentes tipos de licencias. Cualquier software que requiera ser instalado para trabajar sobre la red deberá ser evaluado por el Responsable de Seguridad y autorizado por el Consejo. El Administrador del Sistema instalará las herramientas informáticas adecuadas para la protección de los sistemas contra virus, gusanos, troyanos, etc. y los usuarios deberán seguir las directrices que se les indiquen para proteger los equipos, aplicaciones e información con los que trabajan.
9.3.3. Copias de seguridad Los datos deben ser guardados en los servidores (carpetas de red) para asegurar que se realizan copias de seguridad habitualmente. Si la información se guarda en el disco duro de un PC, no se garantiza la recuperación de la misma. Habrá procedimientos para la realización de copias de seguridad que se archivarán para recuperar los datos en caso de incidencia. Estas copias estarán claramente identificadas y se guardarán en sitio seguro, preferiblemente fuera de las instalaciones de la organización. También se desarrollarán procedimientos para recuperar los datos a partir de las copias de seguridad. Hay que asegurarse periódicamente de que la información se guarda correctamente y permite recuperar un nivel mínimo de servicio en caso necesario. Si se corrompe la información en operación, hay que comprobar el software, el hardware y las comunicaciones implicadas antes de utilizar las copias de seguridad, para asegurarse de que no se pueda corromper la información contenida en ellas también.
9.3.4. Gestión de la seguridad de la red Los elementos de red (switch, router...) permanecerán fuera del acceso del personal no autorizado para evitar usos malintencionados que puedan poner en peligro la seguridad del sistema. Existirá una gestión gráfica de la red de forma que su mantenimiento pueda resultar más cómodo.
9.3.5 Gestión de soportes Los usuarios aplicarán las mismas medidas de seguridad a los soportes que contengan información sensible que a los ficheros de donde han sido extraídos. Los soportes (tanto papel como lógicos) que contengan información sensible o de carácter personal deben permanecer en cajones o armarios cerrados bajo llave. Cuando alguna persona autorizada deba utilizarla para realizar alguna gestión relacionada con las labores propias de la Diputación de Málaga, esta se hará responsable del buen cuidado de los soportes. No los dejará encima de su mesa cuando abandone su puesto de trabajo ni los colocará en cualquier otro lugar donde una persona sin autorización pueda verlos o apropiarse de ellos. Los soportes reutilizables cuya información ya no se necesite deberá borrarse, siempre que se cuente con la autorización precisa. Esta eliminación debe hacerse de forma segura para que los datos que contiene no se filtren a otras personas. Siempre será necesario registrar la eliminación de soportes que contengan información sensible para mantener una pista de auditoría.
9.3.6. Intercambio de información Se establecerán procedimientos para proteger la información que se intercambie a través de cualquier medio de comunicación (electrónico, verbal, fax, etc.).
9.3.7 Seguimiento Según se considere necesario, se establecerán los mecanismos necesarios que permitan detectar actividades de proceso de información no autorizadas. Esto implicará realizar tareas para llevar a cabo controles e inspecciones de los registros del sistema y actividades para probar la eficiencia de la seguridad de datos y procedimientos de integridad de datos, para asegurar el cumplimiento con la política establecida y los procedimientos operativos así como para recomendar cualquier cambio que se estime necesario.
9.4. Control de accesos
9.4.1. Requisitos del servicio para el control de accesos La información debe estar protegida contra accesos no autorizados. El Responsable del Servicio definirá las necesidades de acceso a la información a dos niveles, para el conjunto del área y las de cada usuario dentro del conjunto. Solo se facilitará el acceso a la información necesaria para el trabajo a desarrollar. En el caso de que visitantes o personal no autorizado acceda a las instalaciones o a la información de la Diputación de Málaga deberá ir siempre acompañado por un miembro responsable de la organización que controlará en todo momento que la seguridad de los recursos está garantizada.
9.4.2. Gestión de accesos de los usuarios El administrador del sistema es responsable de proporcionar a los usuarios el acceso a los recursos informáticos, así como el acceso lógico especializado de los recursos (servidores, enrutadores, bases de datos, etc.) conectados a la red. Cada usuario deberá estar asociado a un perfil, de acuerdo a las tareas que desempeña en la organización, definido por su responsable directo. Cada uno de estos perfiles dispondrá de unos determinados permisos y verá restringido su acceso a información y sistemas que no le son necesarios para las competencias de su trabajo.
9.4.3. Responsabilidades del usuario Los puestos de trabajo del personal deben estar despejados de papeles y otros medios de almacenamiento de la información para reducir los riesgos de acceso no autorizado así como otros posibles daños. Estos deberían guardarse en espacios cerrados adecuados, especialmente fuera del horario laboral. De igual forma, es necesario configurar los equipos informáticos para que estos queden bloqueados cuando el usuario no se encuentra en su puesto de trabajo de forma que sea necesario introducir una contraseña para acceder a los datos que se almacenan en el terminal. También deben protegerse los puntos de entrada y salida de correo, las máquinas de fax y las impresoras que no se encuentren atendidas por alguna persona de la Diputación de Málaga.
9.4.4. Control de acceso a la red No se permitirá el acceso a la red, a los sistemas, aplicaciones o información a ningún usuario que no esté formalmente autorizado para ello. En el caso de proveedores de servicios o entidades externas, que necesiten acceder a ellos por un motivo justificado, se requiere que firmen acuerdos de confidencialidad con la Diputación de Málaga para mantener el mismo nivel de seguridad que si fueran empleados de la propia organización. En caso de que el acceso conlleve el tratamiento de datos de carácter personal, se requerirá la firma del contrato de Encargado del Tratamiento, en caso contrario se requerirá la firma del acuerdo de confidencialidad sin acceso a datos de carácter personal. El Área de sistemas controlará las altas y bajas de todos los usuarios.
9.5. Informática móvil y teletrabajo Debido a los problemas de inseguridad de Internet, no se debe transferir información por este medio de la organización a los domicilios particulares de los trabajadores. En caso de necesitar información para trabajar en casa, se transportará con el debido cuidado en soporte
electrónico o papel. Antes de usar cualquier información hay que asegurarse de que el equipo en el que va a ser tratada está libre de virus o código malicioso.
Cuando los equipos o la información propiedad de la Diputación de Málaga están fuera de las instalaciones, el responsable de su seguridad es el empleado que los está utilizando y debe tomar las medidas pertinentes para evitar robos o daños durante su manipulación, transporte y almacenamiento.
9.6. Gestión de incidencias Cualquier empleado que sospeche u observe una incidencia de seguridad que pueda afectar a datos de carácter personal, bien sea física (fuego, agua, etc.), de software o sistemas (virus, desaparición de datos, etc.) o de servicios de soporte (comunicaciones, electricidad, etc.) debe comunicarlo inmediatamente, a través del correo protecciondedatos@malaga.es, al Responsable de Seguridad para que tome las medidas oportunas y registre la incidencia. Se establecerán responsabilidades y procedimientos de gestión de incidencias para asegurar una respuesta rápida, eficaz y ordenada a los eventos en materia de seguridad. El registro de incidencias servirá de base para identificar riesgos nuevos y para comprobar la eficacia de los controles implantados.
9.7. Continuidad del servicio Es imprescindible para la Diputación de Málaga establecer las pautas de actuación a seguir en caso de que se produzca una interrupción de las actividades por fallos graves en la seguridad o desastres de cualquier tipo. Para garantizar la continuidad de la actividad en estos casos, la Diputación de Málaga dispondrá de planes de contingencia que permitan la recuperación de las actividades al menos a un nivel mínimo en un plazo razonable de tiempo. La gestión de la continuidad del servicio incluirá, por tanto, diversos controles para la identificación y reducción de riesgos y un procedimiento que limite las consecuencias dañinas de los mismos y asegure la reanudación de las actividades esenciales en el menor tiempo posible. La estrategia de continuidad del servicio se documentará, partiendo de los riesgos detectados y de los controles definidos en consecuencia que deberán probarse y actualizarse regularmente para comprobar su idoneidad. La gestión de la continuidad del servicio se incorporará a los procesos de la Diputación de Málaga y será responsabilidad de una o varias personas dentro de la entidad.
10. Obligaciones del personal Todos los miembros de la Diputación de Málaga tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad que la desarrolla, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados. Todos los miembros de la Diputación de Málaga asistirán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año.
11. Terceras partes Cuando la Diputación de Málaga utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la documentación de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha documentación, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
c) Este acuerdo entrará en vigor el día siguiente de su publicación en el Boletín Oficial de la Provincia.
Málaga, 18 de enero de 2016. El Diputado Delegado de Empleo, Recursos Europeos y Nuevas Tecnologías, José Alberto Armijo Navas.
490/16