1 APROBACIÓN Y ENTRADA EN VIGOR
La Política de Seguridad de la Información (en adelante también Política) fue aprobada por el Consejo de Administración de la Autoridad Portuaria de Valencia (en adelante APV), en sesión de 26 de junio de 2015. La presente revisión fue redactada y aprobada su propuesta por la Comisión de Seguridad de la Información con fecha 07 de septiembre de 2023 y posteriormente remitida al Consejo de Administración para su aprobación.
Esta Política es efectiva desde su fecha de aprobación por el Consejo de Administración.
La presente Política será revisada de modo que se garantice su adaptación a las nuevas circunstancias, técnicas, organizativas o legales, que pudieran surgir a juicio de la Comisión de Seguridad de la Información y nuevamente propuesta su aprobación al Consejo de Administración de la APV cuando las modificaciones introducidas así lo requieran por ser consideradas sustanciales.
2 INTRODUCCIÓN
La APV, como Organismo Público que tiene encomendada la gestión de los puertos de Valencia, Sagunto y Gandía, depende de los sistemas TIC (Tecnologías de la Información y Comunicaciones) para el ejercicio de sus funciones, estando directamente relacionada a través de los medios electrónicos, entre otros, con los ciudadanos, los miembros de sus comunidades portuarias, clientes y proveedores y con otras Administraciones Públicas y Organismos Oficiales.
Estos sistemas TIC deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o de los servicios prestados y todo ello, con la finalidad de garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes de seguridad que se produzcan.
En definitiva, los sistemas TIC de la APV deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios, estando preparados para prevenir, detectar, reaccionar y recuperarse de los incidentes que pudieran producirse.
Para defenderse de estas amenazas, se requiere una estrategia que permita adaptarse a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.
Esto implica que, sin perjuicio de las medidas ya adoptadas, tanto la APV como su personal deban aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad (en adelante también ENS), así como realizar un seguimiento continuo de los niveles de prestación de los servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes que se produzcan para garantizar la continuidad de los servicios prestados.
Por ello las diferentes Unidades Organizativas de la APV deben tomar conciencia de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida de cada uno de los Sistemas de Información existentes en la APV, desde su concepción hasta su retirada de servicio, pasando por las fases de desarrollo o adquisición y las actividades de explotación. Asimismo, se tendrá en cuenta que los requisitos de seguridad y las necesidades de financiación de estos, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas y en los pliegos de licitación para proyectos de TIC.
Para ello, en cumplimiento de lo previsto en el ENS y con el objeto de asegurar que esta comunicación e intercambio de información se realice con la adecuada seguridad, garantizando la custodia de la misma de acuerdo con sus especificaciones funcionales, su disponibilidad e integridad, así como evitando que ésta llegue al conocimiento de personas no autorizadas, se elabora la presente Política, sobre la base de los siguientes principios básicos:
- Seguridad como un proceso integral: La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema de información.
- Gestión de la seguridad basada en los riesgos: El análisis y gestión de riesgos será una parte esencial del proceso de seguridad, debiendo constituir una actividad continua y permanentemente actualizada.
- Prevención, detección, respuesta y conservación: La seguridad del sistema debe contemplar las acciones relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se materialicen o que, en el caso de hacerlo, no afecten gravemente a la información que maneja o a los servicios que presta. De igual modo, el sistema de información garantizará la conservación de los datos e información en soporte electrónico
- Existencia de líneas de defensa: El sistema de información dispondrá de una estrategia de protección constituida por varias capas de seguridad de modo que en caso de que una falle se gane tiempo para la reacción adecuada frente a incidentes que no hayan podido evitarse, se reduzca la probabilidad de que el Sistema sea comprometido en su conjunto y se minimice el impacto final sobre el mismo.
- Vigilancia continua: La vigilancia continua permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta. Además, existirá una evaluación permanente del estado de la seguridad para medir su evolución, detectar vulnerabilidades e identificar deficiencias de configuración.
- Reevaluación periódica: Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.
- Diferenciación de responsabilidades: En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos.
La presente Política viene a complementar los sistemas de seguridad internos de la APV (Seguridad Industrial, Protección Portuaria y Protección de Infraestructuras Críticas), constituyendo una seguridad corporativa.
3 PREVENCIÓN, DETECCIÓN, RESPUESTA Y CONSERVACIÓN
La APV debe estar preparada para prevenir, detectar y responder a incidentes de seguridad de la información, de acuerdo con el ENS.
3.1 PREVENCIÓN
Las medidas de prevención deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello se deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, se deben cubrir los siguientes aspectos:
- Autorizar los sistemas antes de entrar en operación.
- Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
- Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
3.2 DETECCIÓN
Las medidas de detección irán dirigidas a descubrir la presencia de un ciberincidente.
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, se debe monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.
La monitorización es especialmente relevante cuando se establecen líneas de defensa a distintos niveles. Por tanto, se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.
3.3 RESPUESTA
Las medidas de respuesta, que se gestionarán en tiempo oportuno, estarán orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad.
Entre las medidas de respuesta ante incidentes de seguridad deben incluirse, al menos, las siguientes:
- Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
- Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
- Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
- Ponerse en contacto con las Fuerzas y Cuerpos de Seguridad según los procedimientos específicos previstos.
- Establecer comunicación con los cuerpos de emergencias y protección civil.
3.4 CONSERVACIÓN
El sistema de información garantizará la conservación de los datos e información en soporte electrónico.
De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital. A tal fin, se deben desarrollar en la APV planes de continuidad de los sistemas como parte de su plan general de continuidad de negocio y actividades de recuperación.
4 ALCANCE
4.1 ÁMBITO SUBJETIVO
La presente Política es de aplicación a todos los miembros de la plantilla APV, y en particular a aquellos que utilicen, operen y administren los sistemas de información y comunicaciones.
De acuerdo con lo anterior, todo el personal de la APV tiene la obligación de conocer y cumplir la misma.
Asimismo, será de aplicación, en los términos y condiciones previstos en el apartado 14, a aquellos terceros que presten servicios sujetos al ámbito objetivo descrito en el apartado siguiente, o bien que manejen información vinculada a dichos servicios.
4.1 ÁMBITO OBJETIVO
Esta Política se aplica a todos los sistemas TIC de la APV, relacionados con el ejercicio de las competencias que le son atribuidas por la legislación vigente y con la Misión corporativa declarada en el Plan Estratégico vigente.
Específicamente se aplica a los sistemas TIC que dan soporte a su cadena de valor, al ejercicio de derechos y cumplimiento de deberes por medios electrónicos, y a la interacción por medios electrónicos con los ciudadanos, la Comunidad Portuaria y la Administración Pública.
5 COMPETENCIAS DE LA ORGANIZACIÓN
Como Autoridad Portuaria, a la APV se le atribuyen legalmente las competencias y funciones recogidas en los artículos 25 y 26 respectivamente del Real Decreto Legislativo 2/2011 de 5 de septiembre por el que se aprueba el Texto Refundido de la Ley de Puertos del Estado y de la Marina Mercante, en adelante TR-LPMM. En concreto, las competencias atribuidas a la APV, cuyo desarrollo por medios electrónicos deberá ajustarse a la presente Política, son las siguientes:
- La prestación de los servicios generales, así como la gestión y control de los servicios portuarios para lograr que se desarrollen en condiciones óptimas de eficacia, economía, productividad y seguridad, sin perjuicio de la competencia de otros organismos.
- La ordenación de la zona de servicio del puerto y de los usos portuarios, en coordinación con las Administraciones competentes en materia de ordenación del territorio y urbanismo.
- La planificación, proyecto, construcción, conservación y explotación de las obras y servicios del puerto, y el de las señales marítimas que tengan encomendadas, con sujeción a lo establecido en dicho texto refundido.
- La gestión del dominio público portuario y de señales marítimas que les sea adscrito.
- La optimización de la gestión económica y la rentabilización del patrimonio y de los recursos que tengan asignados.
- El fomento de las actividades industriales y comerciales relacionadas con el tráfico marítimo o portuario.
- La coordinación de las operaciones de los distintos modos de transporte en el espacio portuario.
- La ordenación y coordinación del tráfico portuario, tanto marítimo como terrestres.
6 MARCO NORMATIVO
El conjunto de disposiciones legales y normas a las cuales está sujeta la APV en materia de seguridad de la información viene recogido en la versión vigente del documento Marco normativo de seguridad de la información,actualizado y aprobado por la Comisión de seguridad de la información indicada en el ANEXO I: ESTRUCTURA DE LA SEGURIDAD DE LA INFORMACIÓN de la presente Política.
7 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
La Dirección General de la APV, en el ejercicio de las funciones de dirección y gestión ordinaria de la entidad y de sus servicios prevista en el artículo 33 TR-LPMM, es la máxima responsable del impulso y cumplimiento de lo previsto en la presente Política y demás normas, guías y procedimientos de seguridad que, en el desarrollo de esta, se aprueben.
Asimismo, la Dirección General, mediante resolución, constituye los órganos y nombra los roles necesarios para la organización, gestión, y coordinación de la seguridad de la información dentro de la APV, que actualmente dispone de la siguiente estructura con las funciones y responsabilidades que posteriormente se detallan:
- Comisión de Seguridad de la Información.
- Responsable de Seguridad de la Información.
- Responsables de la Información.
- Responsables del Servicio.
- Responsables del Sistema.
- Administradores de la Seguridad del Sistema.
Entre los órganos indicados existirá la siguiente dependencia funcional:
En caso de conflicto entre los distintos órganos que tienen encomendadas competencias en materia de seguridad de la información éstos serán resueltos por el superior funcional y, en última instancia, por la Dirección General.
Los roles, funciones y responsabilidades en materia de seguridad de la información se desarrollan en el ANEXO I: ESTRUCTURA DE LA SEGURIDAD DE LA INFORMACIÓN. La composición de la Comisión de Seguridad de la Información se define en la versión vigente del documento Roles de Seguridad de la Información,actualizado y aprobado por la Comisión de seguridad de la información.
8 DATOS DE CARÁCTER PERSONAL
En el desarrollo de las funciones que tiene encomendadas, la APV trata datos de carácter personal, contando, en cumplimiento de la normativa de aplicación, con un Registro de Actividades de Tratamiento en el que se identifican dichas actividades de tratamiento, los responsables, licitud, plazos de conservación, categorías de datos tratados, medidas de protección y otra información relevante en la descripción del tratamiento.
Todos los sistemas de información de la APV se ajustarán a los niveles de seguridad requeridos por la normativa vigente en materia de protección de los datos de carácter personal identificados en el mencionado Registro de Actividades de Tratamiento.
9 GESTIÓN DE RIESGOS
Respecto de todos los sistemas de información comprendidos en el alcance de esta Política se deberá realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos, incluyendo los derivados de la protección de datos de carácter personal.
El análisis de riesgos será la base para determinar las medidas de seguridad que se deben adoptar además de los mínimos establecidos por el Esquema Nacional de Seguridad.
Este análisis se repetirá:
- Regularmente, al menos una vez al año.
- Cuando cambie la información manejada.
- Cuando cambien los servicios prestados.
- Cuando ocurra un incidente grave de seguridad.
- Cuando se reporten vulnerabilidades graves.
Para la armonización de los análisis de riesgos, previamente la Comisión de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados, según los requerimientos establecidos en el Anexo I del ENS.
10 AUDITORÍA
De acuerdo con lo establecido en el ENS, los sistemas de información de la APV se someterán a una auditoría en base a los siguientes periodos y criterios:
- Ordinaria: Periodo bienal.
- Extraordinaria: Siempre que se produzcan modificaciones sustanciales en el Sistema de Información, que puedan repercutir en las medidas de seguridad requeridas. La realización de la auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria, indicados en el párrafo anterior.
11 DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Esta Política se desarrollará mediante documentos más precisos que ayuden a llevar a cabo lo propuesto y que siguen las directrices y estructura tanto de la Política de Gestión Documental de la APV como de los modelos documentales definidos en su Sistema de Gestión de Calidad. Para ello se utilizarán:
- Normas de seguridad.– uniformizan el uso de aspectos concretos del sistema, indicando el uso correcto de los recursos y las responsabilidades de los usuarios. Son de carácter obligatorio.
- Procedimientos de seguridad.– documentos de carácter organizativo que describen las tareas de alto nivel que forman parte de un proceso, detallando las principales áreas y sistemas de Gestión involucrados, así como las responsabilidades y controles necesarios. Asimismo, detallan los pasos establecidos a seguir de una forma secuencial y lógica para la consecución del resultado, con el fin de estandarizar y comprender su realización.
- Instrucciones técnicas.– documentos de trabajo interno que describen cómo realizar las tareas que forman parte de un proceso, detallando la metodología de ejecución de los pasos a seguir para realizar correctamente alguna actividad o trabajo específico.
- Guías de seguridad.– tienen carácter formativo y buscan ayudar a los usuarios a aplicar correctamente las medidas de seguridad, proporcionando razonamientos donde no existen procedimientos precisos y ayudando a prevenir la omisión de aspectos importantes de seguridad que pueden materializarse de varias formas.
- Registros.– documentos en los que se recogen datos o que proporcionan evidencia de las actividades desempeñadas.
La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
12 CONCIENCIACIÓN Y FORMACIÓN
Con el objetivo de lograr la plena conciencia respecto a que la Seguridad de la Información afecta a todos los miembros de la plantilla de la APV y a todas las actividades, de acuerdo con el principio de Seguridad Integral recogido en el ENS, se establecerá un programa de concienciación continua a todos los miembros de la plantilla de la APV, en particular a los de nueva incorporación.
La Comisión de Seguridad de la Información elaborará y aprobará los requisitos de formación necesarios desde el punto de vista de seguridad de la información.
13 OBLIGACIONES DEL PERSONAL
Todos los miembros de la APV tienen la obligación de conocer y cumplir esta Política y la Normativa de Seguridad, siendo responsabilidad de la Comisión de Seguridad de la información disponer los medios necesarios para que la información llegue a los afectados.
14 TERCERAS PARTES
Cuando la APV preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipe de esta Política, se establecerán canales para reporte y coordinación de las respectivas Comisiones de Seguridad de la Información y se establecerán procedimientos de actuación conjuntos para la reacción ante incidentes de seguridad.
Cuando la APV utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política y de la Normativa de Seguridad que ataña a dichos servicios o información. Estos terceros quedarán sujetos a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
Cuando algún aspecto de esta Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se solicitará un informe del Responsable de Seguridad que concrete los riesgos en que se incurre y la forma de tratarlos. Será necesaria la aprobación de este informe por parte de los responsables de la información y los servicios afectados, previamente al uso de los servicios de terceros o cesión de información a los mismos.
15 PUBLICIDAD
Con el objeto de garantizar la máxima difusión de esta Política, se procederá a su publicación en Internet a través de la página web de este Organismo, así como en el Boletín Oficial del Estado.
Asimismo, serán objeto de publicación en la Intranet las normas, guías y procedimientos de seguridad que en desarrollo del ENS se aprueben. Lo anterior podrá verse excepcionado respecto de aquellos documentos que por su contenido sean calificados de confidenciales.
16 ANEXO I: ESTRUCTURA DE LA SEGURIDAD DE LA INFORMACIÓN
Con Este Anexo complementa la Política de la APV con la finalidad de especificar la estructura organizativa de la seguridad de la información.
16.1 COMISIÓN DE SEGURIDAD DE LA INFORMACIÓN
16.1.1 CREACIÓN Y COMPOSICIÓN DE LA COMISIÓN
Mediante Resolución del Director General de la APV se procede a la creación de una Comisión de Seguridad de la Información cuya composición se detalla en la versión vigente del documento Roles de Seguridad de la Información.
A requerimiento de la Comisión se podrá convocar a alguna de sus reuniones a cualquier otra persona cuya participación se estime conveniente en el marco de la seguridad de la información.
Asimismo, por el Secretario de la Comisión de Seguridad de la Información se podrá acordar la constitución de cuantos grupos de trabajo se estimen necesarios para el desarrollo de las funciones encomendadas.
16.1.2 RESPONSABILIDADES Y FUNCIONES DE LA COMISIÓN
La Comisión de Seguridad de la Información coordina la seguridad de la información en el ámbito de gestión de la APV, siendo sus principales funciones las siguientes:
- Elaborar la estrategia de evolución y objetivos de la organización en lo que respecta a seguridad de la información.
- Elaborar y mantener la Política de Seguridad de la Información, para su aprobación por el Consejo de Administración u órgano en quien delegue.
- Definir todas las funciones de seguridad de la información en la organización. Elevar a la Dirección para su nombramiento formal, comunicación y formación.
- Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que son consistentes y están alineados con la estrategia, evitando duplicidades.
- Atender los requerimientos de la APV en materia de seguridad de la información.
- Informar regularmente del estado de la seguridad de la información a la Dirección.
- Aprobar la Normativa de Seguridad de la información.
- Aprobar planes de mejora de la seguridad de la información de la organización.
- Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
- Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación.
- Velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
- Seguimiento del progreso del Plan Director de Seguridad y de cualquier proyecto de especial relevancia para la seguridad de la información.
- Velar por el cumplimiento de la normativa legal y sectorial de aplicación en materia de seguridad de la información.
- Gestionar los riesgos en materia de seguridad de la información y definir el apetito de riesgo de la organización.
- Ratificar o, en su caso, modificar la valoración de los servicios e informaciones propuesta preliminarmente por sus responsables, a quienes se notificará la valoración definitiva que se determine.
- Elaborar y aprobar los requisitos de formación y cualificación en materia de seguridad para administradores, operadores y usuarios.
- Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.
- Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
- Promover la mejora continua del sistema de gestión de la seguridad de la información.
- Coordinar los Planes de Continuidad de las diferentes áreas, para asegurar una actuación sin fisuras en caso de que deban ser activados.
- Dictaminar sobre los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes Unidades Organizativas de la APV, elevando dicho dictamen a la Dirección General para que tome una resolución.
16.1.3 FUNCIONAMIENTO DE LA COMISIÓN
La Comisión se reunirá con carácter ordinario, al menos, trimestralmente y con carácter extraordinario cuando lo decida su Secretario o cuando:
- Aparezcan incidencias de seguridad graves que afecten a cualquier área del ámbito de gestión de la APV.
- Surjan nuevas necesidades de seguridad que requieran de la participación de los componentes de la Comisión.
El Secretario de la Comisión de Seguridad de la Información tiene las siguientes funciones:
- Convoca las reuniones de la Comisión de Seguridad de la Información.
- Prepara los temas a tratar en las reuniones de la Comisión de Seguridad de la Información, aportando información puntual para la toma de decisiones.
- Elabora el acta de las reuniones.
- Velará por la adecuada ejecución directa o delegada de las decisiones de la Comisión de Seguridad de la Información.
La Comisión de Seguridad de la Información reportará sobre la actividad que desarrolla a través de su Secretario a la Dirección General, al menos semestralmente, para que disponga de la información pertinente para la toma de decisiones.
En caso de identificarse alguna cuestión relativa a la seguridad de la información que tuviese implicaciones en la seguridad operativa, se escalará a través del Responsable de Seguridad y Enlace como vocal de la Comisión de Seguridad de la Información.
16.2 ROLES: FUNCIONES Y RESPONSABILIDADES
16.2.1 RESPONSABLE DE SEGURIDAD Y ENLACE
El Responsable de Seguridad y Enlace, que deberá estar habilitado por el Ministerio del Interior como Director de Seguridad, en virtud de lo dispuesto en el Reglamento de Seguridad Privada vigente, será el representante de la APV ante la Secretaría de Estado de Seguridad.
Sus funciones en relación con el artículo 34.2 del – Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas son las siguientes:
- Representar a la APV ante la Secretaría de Estado de Seguridad:
- En materias relativas a la seguridad de sus infraestructuras.
- En lo relativo a los diferentes planes especificados en dicho Real Decreto.
- Canalizar las necesidades operativas e informativas que surjan entre la APV y el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).
16.2.2 DELEGADO DE PROTECCIÓN DE DATOS
El Delegado de Protección de Datos será nombrado en la APV atendiendo a lo establecido en el artículo 37 punto 1.a del RGPD, teniendo en consideración que la APV es un organismo público que actúa como responsable del tratamiento de datos personales.
Atendiendo al artículo 39 del RGPD y al capítulo III de la LOPDGDD, el Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Según ese mismo artículo, sus funciones son, como mínimo, las siguientes:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
- Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
16.2.3 RESPONSABLE DE LA INFORMACIÓN
El Responsable de la Información es la persona que propone los requisitos de una información en materia de seguridad, es decir, quien predetermina los niveles de seguridad de la información, teniendo la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.
Será Responsable de la Información el superior jerárquico de la Unidad Organizativa responsable de la gestión de la información. Cuando una información dependa de varias unidades organizativas podrá asumir la condición de Responsable de la Información la Comisión de Seguridad de la Información.
Sus funciones son:
- Clasificar, con carácter preliminar, la información conforme a los criterios y categorías establecidas en el ENS y en cada una de las dimensiones de seguridad conocidas y aplicables (disponibilidad, autenticidad, trazabilidad, confidencialidad e integridad).
- La aprobación de los niveles de seguridad se realizará en la Comisión de Seguridad de la Información, a propuesta del Responsable de Seguridad de la Información oído el Responsable del Sistema.
- Validar los preceptivos análisis de riesgos y, junto a los Responsables de los Servicios y contando con la participación y asesoramiento del Responsable de Seguridad de la Información y del Responsable del Sistema, seleccionar las salvaguardas a implantar.
- Aceptar, junto con los Responsables de los Servicios, los riesgos residuales calculados en el análisis de riesgos, y realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
16.2.4 RESPONSABLE DEL SERVICIO
El Responsable del Servicio es la persona que propone los requisitos del servicio en materia de seguridad, es decir, quien predetermina los niveles de seguridad de los servicios, teniendo la responsabilidad última del uso que se haga de un determinado servicio y, por tanto, de su protección.
Será Responsable del Servicio el superior jerárquico de la Unidad Organizativa responsable de la prestación del servicio. Cuando un servicio dependa de varias unidades organizativas podrá asumir la condición de Responsable del Servicio la Comisión de Seguridad de la Información.
Sus principales funciones son:
- Determinar, con carácter preliminar, los niveles de seguridad del servicio en cada una de las dimensiones de seguridad conocidas y aplicables (disponibilidad, autenticidad, trazabilidad, confidencialidad e integridad).
- La aprobación de los niveles de seguridad se realizará en la Comisión de Seguridad de la Información, a propuesta del Responsable de Seguridad de la Información oído el Responsable del Sistema.
- Validar los preceptivos análisis de riesgos y, junto a los Responsables de la Información y contando con la participación y asesoramiento del Responsable de Seguridad de la Información y del Responsable del Sistema, seleccionar las salvaguardas a implantar.
- Aceptar, junto con los Responsables de la Información, los riesgos residuales calculados en el análisis de riesgos, y realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
16.2.5 RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN
El Responsable de Seguridad de la Información es la persona responsable de:
- Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información de la APV, de acuerdo con lo establecido en la Política de Seguridad de la Información de la APV.
- Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
Sus principales funciones son:
- Supervisar el mantenimiento de la seguridad de la información manejada y de los servicios prestados por los sistemas de información de la APV.
- Promover la formación y concienciación en materia de seguridad de la información en la APV.
- Llevar a cabo el preceptivo proceso de análisis y gestión de riesgos.
- Determinar la categoría del sistema o sistemas según el procedimiento descrito en el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarse según se describe en el Anexo II del ENS. Esto será reflejado formalmente en una Declaración de Aplicabilidad.
- Elaborar la Normativa de Seguridad de la Información de la APV.
- Analizar, completar y aprobar toda la documentación relacionada con la seguridad del sistema.
- Colaborar con el Responsable del Sistema en el diseño de planes de mejora de la seguridad de la información. Esto será reflejado formalmente en un Plan Director de Seguridad.
- Realizar o promover las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones de la APV en materia de seguridad de la información.
- Coordinar con los distintos responsables que las medidas de seguridad de la información establecidas son adecuadas para la protección de la información manejada y los servicios prestados.
- Dar soporte y supervisar la investigación de los incidentes de seguridad de la información desde su notificación hasta su resolución.
- Aprobar los procedimientos de seguridad de la información elaborados por el Responsable del Sistema.
- Actuar como punto de contacto y de coordinación técnica con la autoridad competente: (OCC, CNPIC, CCN-CERT, INCIBE-CERT…) en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia.
- Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de servicios esenciales.
- Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.
- Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa.
En particular, y con el objeto de garantizar la debida coordinación entre las distintas personas con responsabilidades en materia de seguridad de la información, el Responsable de Seguridad de la Información:
- Traslada a la Dirección General lo acordado en la Comisión de Seguridad de la Información.
- Reporta a la Comisión de Seguridad de la Información, en su condición de Secretario del mismo:
- Un resumen consolidado de las actuaciones llevadas a cabo en materia de seguridad durante el último periodo considerado.
- Un resumen consolidado de los incidentes relativos a la seguridad de la información que se han producido durante el último periodo considerado.
- El estado de la Seguridad de los sistemas de información, en particular de los riesgos residuales a los que los sistemas están expuestos.
- Informa a los Responsables de la Información de los incidentes ocurridos en materia de seguridad y las medidas adoptadas para la mitigación de sus impactos, que afecten a la Información de su competencia y, en particular, de la estimación de los riesgos residuales y de sus variaciones significativas respecto de los anteriormente conocidos y aprobados.
- Informa a los Responsables de Servicio de los incidentes ocurridos en materia de seguridad y las medidas adoptadas para la mitigación de sus impactos, que afecten al Servicio de su competencia y, en particular, de la estimación de los riesgos residuales y de sus variaciones significativas respecto de los anteriormente conocidos y aprobados.
Cuando, en atención a la complejidad, distribución, separación física o número de usuarios de los sistemas de información, sea necesario personal adicional para llevar a cabo las funciones del Responsable de Seguridad de la Información, éste podrá designar cuantos responsables de Seguridad Delegados considere necesarios. Dicha designación deberá ser previamente aprobada por la Comisión de Seguridad de la Información, efectuada con carácter formal y comportará la delegación de funciones, pero no de su responsabilidad.
16.2.6 RESPONSABLE DEL SISTEMA
Es la persona responsable de:
- Desarrollar, operar y mantener el Sistema (entendiendo como tal el conjunto de sistemas de información de la APV) durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
- Definir la topología y la política de gestión del Sistema estableciendo los criterios de uso y los servicios disponibles en el mismo.
- Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
- Acordar la suspensión del manejo de una cierta Información o la prestación de un cierto Servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los Responsables de la Información afectada, del Servicio afectado y el Responsable de la Seguridad de la Información, antes de ser ejecutada.
Sus principales funciones son:
- Elaborar los procedimientos operativos de seguridad de la información.
- Colaborar con el Responsable de Seguridad de la Información en el diseño de planes de mejora de la seguridad.
- Elaborar el Plan de Continuidad del Sistema.
- Velar por el cumplimiento de las obligaciones del Administrador de Seguridad del Sistema.
- Investigar los incidentes de seguridad que afecten al sistema y comunicarlos al Responsable de Seguridad de la Información.
En particular, y con el objeto de garantizar la debida coordinación entre las distintas personas con responsabilidades en materia de seguridad de la información, el Responsable del Sistema:
- Reporta al Responsable de Seguridad de la Información:
- De las actuaciones en materia de seguridad, en particular, lo relativo a decisiones de arquitectura de sistema.
- Resumen consolidado de incidentes de seguridad.
- De la eficacia de las medidas de protección que se deben implantar.
Cuando en atención a la complejidad, distribución, separación física o número de usuarios de los sistemas de información, sea necesario personal adicional para llevar a cabo las funciones del Responsable del Sistema, éste podrá designar cuantos responsables del Sistema Delegados considere necesarios. Dicha designación deberá ser previamente aprobada por la Comisión de Seguridad de la Información, efectuada con carácter formal y comportará la delegación de funciones, pero no de su responsabilidad.
16.2.7 ADMINISTRADOR DE LA SEGURIDAD DEL SISTEMA
Es el responsable de implantar, gestionar y mantener las medidas de seguridad aplicables al Sistema de Información.
Sus principales funciones y responsabilidades son:
- Gestionar, configurar y actualizar, en su caso, el hardware y software en los que se basan los mecanismos y servicios de seguridad de los Sistemas de Información.
- Velar por la implantación, gestión y mantenimiento de las medidas de seguridad aplicadas en los Sistemas de Información.
- Supervisar que las medidas de seguridad son aplicadas estrictamente.
- Monitorizar el estado de la seguridad del Sistema.
- Gestionar los permisos de acceso de los usuarios del Sistema (en base a las solicitudes autorizadas), concediendo o revocando privilegios, incluyendo la monitorización de que la actividad desarrollada en el Sistema se ajusta a lo autorizado.
- Aplicar los Procedimientos Operativos de Seguridad de la Información y Explotación de los Sistemas de Información.
- Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
- Informar a los Responsables de la Seguridad de la Información y del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
- Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.
16.3 PROCEDIMIENTOS DE DESIGNACIÓN
La Dirección General de la APV es el órgano competente para:
- La creación de la Comisión de Seguridad de la Información.
- El nombramiento de los roles en materia de seguridad de la información, con las salvedades del Responsable de Seguridad y Enlace y del Delegado de Protección de Datos, cuyo nombramiento queda sujeto, adicionalmente, a lo establecido en la normativa vigente en materia de protección de infraestructuras críticas y de datos de carácter personal respectivamente.
Los Responsables de la Información y los Responsables del Servicio serán nombrados a propuesta de la Comisión de Seguridad de la Información.
Dicha competencia se verá excepcionada en el supuesto de que alguno de los nombramientos anteriores tenga incidencia en la organización de la Entidad, función ésta atribuida al Consejo de Administración conforme a lo previsto en el artículo 40.5.c) del TR-LPMM.