1 INTRODUCCIÓN
1.1 JUSTIFICACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
1.2 MISIÓN Y SERVICIOS PRESTADOS
2 MARCO NORMATIVO
3 ORGANIZACIÓN DE LA SEGURIDAD
3.1 definición de Roles
3.1.1. Responsable de la Información
3.1.2. Responsable del Servicio
3.1.3. Responsable de Seguridad de la Información
3.2 comité de seguridad de la información
3.3 jerarquía en el proceso de decisiones y mecanismos de coordinación
3.4 procedimientos de designación de personas
4 DATOS DE CARÁCTER PERSONAL
4.1 FIGURAS VINCULADAS A PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
4.1.1. Funciones y obligaciones del Responsable del Tratamiento
4.1.2. Funciones y obligaciones del Delegado de Protección de Datos
4.1.3. Funciones y obligaciones de Usuarios con acceso a datos
4.1.4. Funciones y obligaciones del Encargado del Tratamiento
5 GESTIÓN DE RIESGOS
5.1 justificación
5.2 criterios de evaluación de riesgos
5.3 directrices de tratamiento
5.4 proceso de aceptación del riesgo residual
5.5 necesidad de realizar o actualizar las evaluaciones de riesgos
6 GESTIÓN DE INCIDENTES DE SEGURIDAD
6.1 Prevención de incidentes
6.2 monitorización y detección de incidentes
6.3 respuesta ante incidentes
6.4 recuperación ante incidentes y planes de continuidad
7 OBLIGACIONES DEL PERSONAL
8 TERCERAS PARTES
9 REVISIÓN Y APROBACIÓN DE LA POLÍTICA DE SEGURIDAD
10 DOCUMENTACIÓN COMPLEMENTARIA
ANEXO. GLOSARIO DE TÉRMINOS
El Colegio Oficial de Arquitectos de la Comunidad Valenciana depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Es por ello que el Esquema Nacional de Seguridad (Real Decreto 3/2010 de 8 de Enero, ENS en adelante), en su artículo 11 establece que “Todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente”.
Esto implica que las diferentes áreas y/o departamentos del Colegio deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Todas las áreas deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC. Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 7 del ENS.
El Colegio Oficial de Arquitectos de la Comunidad Valenciana, para la gestión de sus intereses, y en el ámbito de sus competencias, sirve con objetividad los intereses generales y actúa de acuerdo a los principios de eficacia, jerarquía, descentralización y coordinación, promueve toda clase de actividades y presta los servicios públicos que contribuyen a satisfacer las necesidades y aspiraciones de los habitantes de la comunidad.
La presente Política de Seguridad aplica a las diferentes actividades en las que participa la Entidad a través de medios electrónicos, en concreto:
Las relaciones de carácter jurídico-económico entre los ciudadanos1 y la Entidad.
La consulta por parte de los ciudadanos de la información pública administrativa y de los datos administrativos que estén en poder de la Entidad.
La realización de los trámites y procedimientos administrativos incorporados para su tramitación en la Sede Electrónica de la Entidad, de conformidad con lo previsto en la Ordenanza Reguladora del Uso de la Administración Electrónica.
El tratamiento de la información obtenida por la Entidad en el ejercicio de sus potestades.
Como base normativa para realizar la presente guía de seguridad, se ha analizado la legislación vigente, que afecta al desarrollo de las actividades de la Administración Pública en lo que a administración electrónica se refiere, y que implica la implantación de forma explícita de medidas de seguridad en los sistemas de información. El marco legal en materia de seguridad de la información viene establecido por la siguiente legislación:
Tal como indica el artículo 12 del ENS, La seguridad deberá comprometer a todos los miembros de la organización. La Política de Seguridad, según detalla el Anexo II del ENS, en su sección 3.1, debe identificar unos claros responsables para velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa. Se establecen los siguientes roles en la organización relacionados con la Seguridad de la Información:
Se ha designado responsable de la Información al Decano o Junta de Gobierno del COACV, a quien le corresponden las siguientes funciones:
Se ha designado responsables del Servicio a cada uno de los responsables de unidades funcionales, a quienes les corresponde las siguientes funciones:
Responsables de los servicios:
Se ha designado como responsable de Seguridad de la Información al Informático del Colegio Territorial de Castellón, a quien le corresponderán las siguientes funciones:
Como Secretario/a del Comité de Seguridad de la Información le corresponde:
Se ha creado el Comité de Seguridad de la Información que estará compuesto por los siguientes miembros:
PRESIDENTE: Decano.
SECRETARIO: Responsable de Seguridad de la Información.
VOCALES:
- Vocal 1. Secretario del Colegio Oficial
- Vocal 2. Vocal de Cultura del Colegio Oficial
- Vocal 3. Vocal de Agrupaciones del Colegio Oficial
- Vocal 4. Tesorero del Colegio Oficial
Podrán acudir a requerimiento del Comité cualesquiera otros Jefes de Servicio o Área y responsables cuya intervención sea precisa por ser afectados por el Esquema Nacional de Seguridad y por el RGPD.
Las funciones del Comité de Seguridad de la Información son las siguientes:
- Grupos de trabajo especializados internos, externos o mixtos.
- Asesoría interna y/o externa.
- Asistencia a cursos u otro tipo de entornos formativos o de intercambio de experiencias.
En caso de ocurrencia de incidentes de seguridad de la información:
Los diferentes roles de seguridad de la información (autoridad principal y posibles delegadas) se limitan a una jerarquía simple: el Comité de Seguridad de la Información da instrucciones al Responsable de la Seguridad de la Información que se encarga de cumplimentar, supervisando que administradores y operadores implementan las medidas de seguridad según lo establecido en la política de seguridad aprobada para la Organización. En el caso de Colegio Oficial de Arquitectos, se omiten las figuras de Responsable del Sistema y de Administrador del Sistema, debido al tamaño de la organización. Por ello, estas figuras, quedan reemplazadas por el Responsable de Seguridad, y sus funciones, asumidas por el mismo.
El Administrador de la Seguridad del Sistema reporta al Responsable del Sistema:
El Responsable del Sistema informa al Responsable de la Información de las incidencias funcionales relativas a la información que le compete.
El Responsable del Sistema informa al Responsable del Servicio de las incidencias funcionales relativas al servicio que le compete.
El Responsable del Sistema reporta al Responsable de la Seguridad:
El Responsable de la Seguridad informa al Responsable de la Información de las decisiones e incidentes en materia de seguridad que afecten a la información que le compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.
El Responsable de la Seguridad informa al Responsable del Servicio de las decisiones e incidentes en materia de seguridad que afecten al servicio que le compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.
Cuando exista un Comité de Seguridad de la Información, el Responsable de la Seguridad reporta a dicho comité como secretario:
El Responsable de la Seguridad informa a la Dirección de la Organización, según lo acordado en el Comité de Seguridad de la Información.
Cuando no exista un Comité de Seguridad de la Información, el Responsable de la Seguridad reporta directamente a la Dirección de la Organización:
La Dirección de la Organización nombrará formalmente por pleno, decreto o acuerdo de la Junta de Gobierno:
Para la prestación de los servicios previstos deben ser tratados datos de carácter personal. El Registro de Actividades del Tratamiento detalla los tratamientos afectados y los responsables correspondientes, así como las medidas adoptadas derivadas de las evaluaciones de impacto realizadas sobre los tratamientos. Todos los sistemas de información se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro de Actividades del Tratamiento.
El Responsable del tratamiento es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento.
A eso efectos se ha atribuido la condición de Responsable de Tratamiento a la persona jurídico-pública, es decir, al propio Colegio Oficial de Arquitectos. De manera que, se ha entendido que el Colegio es Responsable del Tratamiento de los datos de carácter personal, que obran en sus sistemas de información, y que derivan de la prestación de los servicios públicos atribuidos a nivel de competencias.
A su vez, cabe decir que la consideración de Responsable de Tratamiento no debe ser asociada a persona física representante del Colegio, en calidad del cargo o puesto (como por ejemplo, el Vicepresidente o Secretario).
Las funciones del Responsable del tratamiento son:
El DPO puede ser una persona física o un órgano colegiado, cuyas funciones se señalan en el artículo 39 del Reglamento (UE) 679/2016, así como los artículos 36 y 37 de la Ley Orgánica 3/2018, y se ocupa de la aplicación de la legislación sobre privacidad y protección de datos en la entidad en la que desarrolla sus funciones.
El Colegio Oficial de Arquitectos de la Comunidad Valenciana, ha nombrado como Delegado de Protección de Datos a la empresa Govertis Advisory Services (coacv@dpoexterno.com).
El delegado de protección de datos tendrá como mínimo las siguientes funciones:
El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
Para ello deberá ser capaz de:
El DPO deberá reunir conocimientos especializados del Derecho y la práctica en materia de protección de datos. Se han identificado, en consecuencia, aquellos conocimientos, habilidades o destrezas necesarias que tiene que saber o poseer el Delegado de Protección de Datos para llevar a cabo una de las funciones propias de su puesto.
Estas funciones genéricas del DPO se pueden concretar en tareas de asesoramiento y supervisión, entre otras, en las siguientes áreas:
Todos los empleados de la entidad están sujetos a funciones y obligaciones. Todo el personal de la entidad que disponga de acceso a los datos de carácter personal debe cumplir con las siguientes obligaciones:
Los encargados del tratamiento tienen como misión realizar las tareas ordinarias para el desarrollo efectivo de las funciones para las que ha sido creado el tratamiento por cuenta del Responsable del tratamiento.
En este sentido, el apartado 8 del artículo 4 del RGPD define al Encargado de Tratamiento como <la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento>.
El Encargado del Tratamiento deberá aplicar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado
Igualmente deberá implementar las medidas de seguridad a que se refiere el párrafo anterior y que aparecerán estipuladas en el contrato con el Responsable del Tratamiento.
En concreto, sus funciones son las de:
En consecuencia, el Colegio Oficial de Arquitectos de la Comunidad Valenciana deberá llevar a cabo un documento actualizado donde se identificarán los encargados de tratamiento que están prestando servicios en la Entidad, así como la indicación de la formalización del pertinente contrato con estos prestadores de servicios con acceso a datos.
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.
El análisis de riesgos será la base para determinar las medidas de seguridad que se deben adoptar además de los mínimos establecidos por el Esquema Nacional de Seguridad, según lo previsto en el Artículo 6 del ENS.
Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.
Los criterios de evaluación de riesgos detallados se especificarán en la metodología de evaluación de riesgos que elaborará la organización, basándose en estándares y buenas prácticas reconocidas.
Deberán tratarse, como mínimo, todos los riesgos que puedan impedir la prestación de los servicios o el cumplimiento de la misión de la organización de forma grave.
Se priorizarán especialmente los riesgos que impliquen un cese en la prestación de servicios a los ciudadanos.
El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
Los riesgos residuales serán determinados por el Responsable de Seguridad de la Información.
Los niveles de Riesgo residuales esperados sobre cada Información tras la implementación de las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad previstas en el Anexo II del ENS) deberán ser aceptados previamente por su Responsable de esa Información.
Los niveles de Riesgo residuales esperados sobre cada Servicio tras la implementación de las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad previstas en el Anexo II del ENS) deberán ser aceptados previamente por su Responsable de ese Servicio.
Los niveles de riesgo residuales serán presentados por el Responsable de Seguridad de la Información al Comité de Seguridad de la Información, para que éste proceda, en su caso, a evaluar, aprobar o rectificar las opciones de tratamiento propuestas.
El análisis de los riesgos y su tratamiento deben ser una actividad repetida regularmente, según lo establecido en el Artículo 9 del ENS. Este análisis se repetirá:
Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. El ENS a través de su artículo 19 establece la que los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto. De igual forma, el artículo 17 del citado ENS define que los sistemas de instalarán en áreas separadas, dotadas de un procedimiento de control de acceso.
Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, los departamentos deben:
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.
Los sistemas de detección de intrusos cumplen fundamentalmente con una labor de supervisión y auditoría sobre los recursos de la Organización, verificando que la política de seguridad no es violada e intentando identificar cualquier tipo de actividad maliciosa de una forma temprana y eficaz.
Los departamentos deben:
Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.
Todos los miembros de la organización tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de la organización atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez cada dos años. Se establecerá un programa de concienciación continua para atender a todos los miembros de la organización, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
El cumplimiento de la presente Política de Seguridad es obligatorio por parte de todo el personal interno o externo que intervenga en los procesos la organización, constituyendo su incumplimiento infracción grave a efectos laborales.
Cuando se presten servicios o se gestione información de otras organizaciones, se les hará partícipe de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando se utilicen servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Se establecerán procedimientos específicos de reporte y resolución de incidencias.
Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
La Política de Seguridad de la Información será revisada por el Comité de Seguridad de la Información a intervalos planificados, que no podrán exceder el año de duración, o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.
Los cambios sobre la Política de Seguridad de la Información deberán ser aprobados por el órgano superior competente que corresponda, de acuerdo con el artículo 11 del ENS.
Cualquier cambio sobre la misma deberá ser difundido a todas las partes afectadas.
La Política de Seguridad de la Información se cumplimentará con documentos más precisos que ayudan a llevar a cabo lo propuesto. Para ello se utilizarán:
Las normas uniformizan el uso de aspectos concretos del sistema. Indican el uso correcto y las responsabilidades de los usuarios. Son de carácter obligatorio.
Las guías tienen un carácter formativo y buscan ayudar a los usuarios a aplicar correctamente las medidas de seguridad proporcionando razonamientos donde no existen procedimientos precisos. Por ejemplo, suele haber una guía sobre cómo escribir procedimientos de seguridad. Las guías ayudan a prevenir que se pasen por alto aspectos importantes de seguridad que pueden materializarse de varias formas.
Los procedimientos [operativos] de seguridad afrontan tareas concretas, indicando lo que hay que hacer, paso a paso. Son útiles en tareas repetitivas.
Análisis de riesgos
Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.
Datos de carácter personal
Cualquier información concerniente a personas físicas identificadas o identificables.
Gestión de incidentes
Plan de acción para atender a las incidencias que se den. Además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas.
Gestión de riesgos
Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.
Incidente de seguridad
Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información.
Información
Caso concreto de un cierto tipo de información.
Política de seguridad
Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que consideran críticos.
Principios básicos de seguridad
Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios.
Responsable de la información
Persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.
Responsable de la seguridad
El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
Responsable del servicio
Persona que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad.
Responsable del sistema
Persona que se encarga de la explotación del sistema de información.
Servicio
Función o prestación desempeñada por alguna entidad oficial destinada a cuidar intereses o satisfacer necesidades de los ciudadanos.
Sistema de información
Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
1Ciudadano: Cualesquiera personas físicas, personas jurídicas y entes sin personalidad que se relacionen, o sean susceptibles de relacionarse, con las Administraciones Públicas.