ORDEN DE 10 DE MARZO DE 2021, POR LA QUE SE APRUEBA LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA CONSEJERÍA DE ADMINISTRACIONES PÚBLICAS, JUSTICIA Y SEGURIDAD, EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA.
Nacional de Seguridad en el ámbito de la Administración Electrónica, en adelante ENS, establece los principios y requisitos de una política de seguridad en la utilización de los medios electrónicos que permita la adecuada protección de la información. El ENS establece que el marco organizativo está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad.
El ENS establece que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente.
La implantación y utilización de los medios electrónicos en el ámbito de la Administración Pública supone el desarrollo e implantación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a la ciudadanía y a las Administraciones públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
La Ley 39/2015, de 1 de octubre 
, del Procedimiento Administrativo Común de las Administraciones Públicas, y la Ley 40/2015, de 1 de octubre , de Régimen Jurídico del Sector Público, hacen referencia al ENS, al objeto de contar con medidas de seguridad, y establecer la política de seguridad en la utilización de medios electrónicos.
La política de seguridad deberá identificar con claridad, las personas responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.
Asimismo, las Guías CCN-STIC de Seguridad de los Sistemas de Información y Comunicaciones del Centro Criptológico Nacional (CCN-STIC Serie 800) establecen las políticas y procedimientos adecuados para la implementación de las medidas contempladas en el Esquema Nacional de Seguridad.
Concretamente, la Guía CCN-STIC-805 considera la Política de Seguridad de la Información, como un documento de alto nivel que define lo que significa "seguridad de la información" en una organización. El documento debe estar accesible por toda la organización y redactado de forma sencilla, precisa y comprensible, dejando los detalles técnicos para otros documentos normativos de segundo nivel.
De conformidad con la Guía CCN-STIC-801, y dado el ámbito de aplicación de esta Política de Seguridad tanto a los órganos superiores de este Departamento, como al resto de departamentos, entidades de derecho público y organismos autónomos de la Administración Pública de la Comunidad Autónoma de Canarias en el uso de los sistemas de información corporativos de Administración Electrónica que gestione esta Consejería, se considera necesaria la incorporación de la figura de Administrador de la Seguridad del Sistema, que dependerá del Responsable del Sistema, para garantizar la operatividad y eficacia de las medidas de seguridad previstas en el ENS.
La Orden de 31 de julio de 2013 del Consejero de Presidencia, Justicia e Igualdad estableció el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma.
La Orden de fecha 29 de mayo de 2014 aprobó la Política de Seguridad de la Información de la Consejería de Presidencia, Justicia e Igualdad en el ámbito de la Administración Electrónica. Esta Orden fue modificada puntualmente por la Orden de 15 de diciembre de 2016.
La Política de Seguridad de la Información aprobada por la Orden de 29 de mayo de 2014 precisa ser sustituida por una nueva regulación, a fin de reflejar la actual estructura y denominación del Departamento, los responsables y la composición del Comité para la Gestión y Coordinación de la Seguridad de la Información de acuerdo con lo previsto en el Decreto 119/2019, de 16 de julio , del Presidente, por el que se determinan el número, denominación y competencias de las Consejerías, y en el Decreto 203/2019, de 1 de agosto , por el que se determina la estructura central y periférica, así como las sedes de las Consejerías del Gobierno de Canarias.
Mediante Orden de 30 de enero de 2020 se crea y regula la sede electrónica y el registro electrónico de la Consejería de Administraciones Públicas, Justicia y Seguridad, cuyo ámbito se extiende a la totalidad de los órganos superiores y unidades administrativas del Departamento, quedando excluidos los organismos públicos adscritos a la misma, sin perjuicio de que estos puedan incorporarse mediante la suscripción del correspondiente convenio.
En la tramitación de esta Orden se ha dado cumplimiento a los principios de buena regulación a los que se refiere el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Se han aplicado los principios de necesidad, eficacia y proporcionalidad, en tanto que con la norma se consigue el objetivo perseguido de adaptación a la nueva denominación y estructura organizativa del Departamento. Asimismo se da cumplimiento al principio de seguridad jurídica, al integrarse de forma coherente en el marco normativo autonómico en materia de seguridad, en el ámbito de la Administración Electrónica, facilitando su conocimiento y comprensión por parte de sus destinatarios, así como al principio de transparencia, mediante su publicación en la sede electrónica departamental y al principio de eficiencia, toda vez que evita remisiones administrativas innecesarias o accesorias, y contribuye a una mejor gestión de los recursos públicos.
La norma ha incorporado el enfoque de género en la medida que su ámbito material permite, en cumplimiento de los principios generales que informan la actuación de la Administración Pública y de la Ley Canaria de Igualdad entre Mujeres y Hombres , con el uso de un lenguaje inclusivo.
Por lo expuesto, visto el informe de la Dirección General de Telecomunicaciones y Nuevas Tecnologías, en el ejercicio de la competencia prevista en el artículo 2.2 de la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias, y haciendo uso de las facultades que tengo conferidas en virtud de los artículos 32.c) y 37 de la Ley 1/1983, de 14 de abril, del Gobierno y de la Administración Pública de la Comunidad Autónoma de Canarias,
D I S P O N G O:
Artículo 1.- Objeto y ámbito de aplicación.
1. La presente Orden tiene por objeto establecer la Política de Seguridad de la Información, en adelante, PSI, de la Consejería de Administraciones Públicas, Justicia y Seguridad, en el ámbito de la Administración Electrónica.
2. Esta PSI será de aplicación por todos los órganos superiores del Departamento, así como por los organismos autónomos dependientes del mismo. Se excluye de su aplicación a la Administración de Justicia, dado su propio ámbito regulatorio a través del Esquema Judicial de Interoperabilidad y Seguridad.
3. Asimismo, esta Política de Seguridad será de aplicación por el resto de departamentos, entidades de derecho público y organismos autónomos de la Administración Pública de la Comunidad Autónoma de Canarias, en el uso de los sistemas de información corporativos de Administración Electrónica que gestione esta Consejería.
Artículo 2.- Misión del Departamento.
Es misión de la Consejería de Administraciones Públicas, Justicia y Seguridad la propuesta y ejecución de las directrices del Gobierno de Canarias y de la gestión de los servicios y competencias que le son propias, conforme a su correspondiente Reglamento Orgánico.
Artículo 3.- Principios de la PSI.
Sin perjuicio de los principios básicos establecidos en el Esquema Nacional de Seguridad, en adelante ENS, la política de seguridad del Departamento y sus organismos autónomos en el ámbito de la Administración Electrónica se desarrollará, con carácter general, de acuerdo a los siguientes principios:
a) Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.
b) Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.
c) Principio de disponibilidad y continuidad: se garantizará un alto nivel de disponibilidad en los sistemas de información y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.
d) Principio de gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los sistemas de información.
e) Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los sistemas de información deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos.
f) Principio de concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad de las tecnologías de la información y las comunicaciones, en adelante TIC, de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.
g) Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC.
h) Principio de mejora continua: se revisará el grado de eficacia de los controles de seguridad TIC implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública de la Comunidad Autónoma de Canarias.
i) Principio de seguridad TIC en el ciclo de vida de los sistemas de información: las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
j) Principio de función diferenciada: la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.
Artículo 4.- Definiciones.
A los efectos previstos en esta Orden, las definiciones, palabras, expresiones y términos han de ser entendidos en el siguiente sentido:
a) Gestión de riesgos: actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.
b) Infraestructura Core: entorno de infraestructura tecnológica corporativa disponible para el alojamiento de servicios de soporte a la infraestructura de sistemas de la APCAC, como por ejemplo, DNS, Copias, Monitorización, NTP, Correo electrónico, frontales web, OTRS, Sírvete, SSO, GDI, Intranet de Gobierno, OpenCMS (portal tipo) y Trasos, entre otros, y para servicios de soporte horizontal a la Administración Electrónica en la APCAC, como por ejemplo Portal3 (sede tipo), PLATINO e Hiperreg, entre otros.
c) Infraestructura de Gestión Compartida: entorno de infraestructura tecnológica corporativa que el órgano con competencias en materia de telecomunicaciones y tecnologías de la información ofrece para el alojamiento de las aplicaciones corporativas que quedan fuera de la modalidad de infraestructura Core. La persona responsable de la aplicación dispondrá de credenciales de administración que le permitirá realizar la instalación, personalizaciones que sean necesarias, así como su posterior soporte y mantenimiento. CiberCentro ofrecerá valor añadido bajo demanda, conforme a la normativa a desarrollar por el órgano superior competente en materia de telecomunicaciones y nuevas tecnologías.
d) Infraestructura de Autogestión: entorno de infraestructura tecnológica corporativa que el órgano con competencias en materia de telecomunicaciones y tecnologías de la información ofrece para el alojamiento web de aplicaciones departamentales, portal no tipo o sede no tipo, o aplicaciones corporativas para las que su responsable solicite este tipo de servidores para el alojamiento web de sus servicios, o aquellas otras que se determinen. La persona responsable de la aplicación dispondrá de credenciales de administración que le permitirá realizar la instalación, personalizaciones que sean necesarias, así como su posterior soporte y mantenimiento. CiberCentro solo se encargará de la instalación inicial del sistema operativo y la configuración de los servicios de seguridad corporativos, conforme a la normativa a desarrollar por el órgano superior competente en materia de telecomunicaciones y nuevas tecnologías.
e) Infraestructura tecnológica corporativa: aquellos recursos físicos y lógicos, sobre los que se soportan los sistemas de información, los cuales gestiona el órgano superior competente en materia de telecomunicaciones y nuevas tecnologías.
f) Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.
g) Sistema de Información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
h) Sistemas de Información corporativos: aquellos sistemas de información cuyo ámbito de aplicación y uso es general y común para toda la Administración Pública de la Comunidad Autónoma de Canarias.
i) Sistemas de Información propios: aquellos sistemas de información cuyo ámbito de aplicación es específico para un área concreta y su gestión pertenece a esta Consejería.
Artículo 5.- Marco normativo.
El marco normativo para el desarrollo de la gestión de los servicios y competencias de la Consejería es el siguiente:
a) El Reglamento Orgánico de la Consejería de Presidencia, Justicia e Igualdad, actual Consejería de Administraciones Públicas, Justicia y Seguridad, aprobado por el Decreto 382/2015, de 28 de diciembre , o normativa que lo sustituya.
b) Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias.
c) Real Decreto 3/2010, de 8 de enero , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
d) Real Decreto 4/2010, de 8 de enero , por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
e) Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.
f) Ley 39/2015, de 1 de octubre , del Procedimiento Administrativo Común de las Administraciones Públicas.
g) Ley 40/2015, de 1 de octubre , de Régimen Jurídico del Sector Público.
h) Reglamento general de protección de datos [Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo], de 27 de abril de 2016.
i) Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales.
j) Acuerdo del Gobierno de Canarias de 25 de junio de 2018, que aprueba las instrucciones que conforman la normativa de seguridad en el uso de los recursos informáticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias.
k) Orden de 23 de enero de 2012, por la que se regula el procedimiento para recabar y emitir los informes preceptivos de la Inspección General de Servicios y de la Dirección General de Telecomunicaciones y Nuevas Tecnologías.
l) Instrucciones Técnicas de Seguridad en desarrollo del ENS.
Artículo 6.- Organización de la seguridad.
La estructura organizativa de la gestión de la seguridad de la información en el ámbito de la Administración Electrónica de la Consejería de Administraciones Públicas, Justicia y Seguridad está compuesta por los siguientes agentes:
a) El Comité para la Gestión y Coordinación de la Seguridad de la Información.
b) Las personas Responsables de la Información.
c) Las personas Responsables del Servicio.
d) La persona Responsable de Seguridad.
e) Las personas Responsables de los Sistemas.
Artículo 7.- Comité para la Gestión y Coordinación de la Seguridad de la Información.
1. Se crea el Comité para la Gestión y Coordinación de la Seguridad de la Información, como grupo de trabajo en el seno del Departamento y sus organismos autónomos.
2. El Comité para la Gestión y Coordinación de la Seguridad de la Información estará compuesto por:
a) Presidencia: la persona titular de la Viceconsejería con competencias en materia de Administraciones Públicas.
b) Vocalías:
La persona titular del órgano con competencias en materia de servicios jurídicos.
La persona titular del órgano con competencias en materia de función pública.
La persona titular del órgano con competencias en materia de telecomunicaciones y tecnologías de la información.
La persona titular del órgano con competencias en materia de modernización y calidad de los servicios.
La persona titular del órgano con competencias en las relaciones con la Administración de Justicia.
La persona titular del órgano con competencias relativas a las relaciones institucionales.
La persona titular del órgano con competencias relativas a la transparencia y la participación ciudadana.
La persona titular del órgano con competencias en materia de seguridad y emergencias.
La persona titular de la Secretaría General Técnica.
La persona titular del Instituto Canario de Administración Pública.
La persona u órgano designado Delegado de Protección de Datos de la Consejería de Administraciones Públicas, Justicia y Seguridad, en el marco de las funciones que desempeñe, conforme a la normativa de protección de datos.
c) Secretaría: una persona con vínculo funcionarial perteneciente al órgano superior con competencias en materia de telecomunicaciones y tecnologías de la información o con competencias en materia de modernización y calidad de los servicios, designado por la presidencia que, actuará con voz y sin voto.
3. El Comité para la Gestión y Coordinación de la Seguridad de la Información coordinará todas las actividades relacionadas con la seguridad de la información en el Departamento y sus organismos autónomos y ejercerá las siguientes funciones:
a) Elaborar los borradores de modificación y actualización de la PSI.
b) Analizar los riesgos e impulsar su evaluación.
c) Impulsar la actualización de los criterios y directrices sobre seguridad de la información.
d) Impulsar medidas para mejorar y reforzar los sistemas de seguridad y control.
e) Impulsar el cumplimiento y difusión de la PSI, promoviendo las actividades de concienciación y formación en materia de seguridad para el personal dentro del ámbito de aplicación de la PSI definido en la presente Orden.
f) Redactar los borradores de las disposiciones generales de seguridad de carácter básico para toda la Administración Pública de la Comunidad Autónoma de Canarias.
g) Elaborar los borradores de directrices y normas de seguridad generales dentro del ámbito de aplicación de la PSI definido en la presente Orden.
h) Elaborar la normativa de seguridad de segundo nivel, que según el artículo 15 de la presente Orden, se corresponde con las políticas específicas de seguridad y con las Normas de Seguridad TIC, en adelante, Normas STIC, de obligado cumplimiento.
i) Coordinar las decisiones y actuaciones del Responsable de Seguridad.
j) Impulsar los proyectos para la adecuación al cumplimiento del Esquema Nacional de Seguridad.
k) Compartir experiencias de éxito en materia de seguridad entre sus miembros para velar por el cumplimiento de la PSI y su normativa de desarrollo.
l) Impulsar planes de mejora de la seguridad de la información de los sistemas de información corporativos que dan soporte al servicio de sede electrónica del Gobierno de Canarias y los sistemas de información de la Consejería de Administraciones Públicas, Justicia y Seguridad.
m) Proponer la priorización de las actuaciones en materia de seguridad de la información cuando los recursos sean limitados.
n) Impulsar la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
4. El Comité ajustará su funcionamiento a las previsiones contenidas en la Sección 3.ª del Capítulo II, artículos 15 y siguientes, de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
5. El Comité se deberá reunir con carácter ordinario al menos una vez al año, y con carácter extraordinario cuando lo decida su Presidencia. Las reuniones se realizarán en horario de trabajo y, cuando proceda, por videoconferencia. No se percibirán indemnizaciones en concepto de asistencia por concurrencia al Comité.
6. El Comité podrá recabar de personal técnico la información o asesoramiento pertinente para el ejercicio de sus funciones. En caso necesario este personal podrá ser convocado por el Comité para su asistencia a las reuniones, en calidad de asesores, con voz, pero sin voto.
7. Podrá acordarse la constitución de subgrupos de trabajo para el análisis, elaboración y ejecución de trabajos o actividades específicas, dentro del ámbito de sus funciones.
Artículo 8.- Responsables de la Información.
1. Conforme al ENS, es Responsable de la Información la persona que establece las necesidades de seguridad de la información que se maneja y efectúa las valoraciones del impacto que tendría un incidente que afectara a su seguridad. Tiene además, en exclusiva, la potestad de modificar el nivel de seguridad requerido para la misma (Anexo II.5.7.2 del ENS).
2. Esta responsabilidad recaerá en la persona titular del órgano que gestione cada procedimiento o trámite.
3. Son funciones de cada Responsable de la Información, dentro de su ámbito de actuación, las siguientes:
a) Determinar los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información.
La valoración de los niveles de seguridad de la información se realizará de conformidad con el marco establecido en el artículo 43 del ENS, siguiendo los criterios generales establecidos en su Anexo I, y considerando la guía elaborada por el Centro Criptológico Nacional a tal efecto.
b) Son responsables, junto a las personas Responsables del Servicio, de aceptar los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control.
Artículo 9.- Responsables del Servicio.
1. Conforme al ENS, es Responsable del Servicio la persona que determina los requisitos de seguridad de los servicios prestados.
La valoración de los niveles de seguridad del servicio se realizará de conformidad con el marco establecido en el artículo 43 del ENS, siguiendo los criterios generales establecidos en su Anexo I, y considerando la guía elaborada por el Centro Criptológico Nacional a tal efecto.
2. Esta responsabilidad recaerá en la persona titular del órgano que gestione cada servicio.
3. Respecto al proceso de gestión del riesgo, son Responsables del Servicio las personas encargadas, junto a los Responsables de la Información, de aceptar los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control.
Artículo 10.- Responsable de Seguridad.
1. Conforme al ENS, es Responsable de Seguridad la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
2. Esta responsabilidad recaerá en la persona titular de la Viceconsejería con competencias en materia de Administraciones Públicas.
3. Sus funciones son:
a) Promover la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.
b) Proponer la normativa de seguridad de segundo nivel, que según el artículo 15 de la presente Orden, se corresponde con las políticas específicas de seguridad y con las Normas STIC, de obligado cumplimiento.
c) Aprobar la normativa de seguridad de tercer nivel, que según el artículo 15 de la presente Orden, se corresponde a los procesos, procedimientos STIC e instrucciones técnicas STIC.
d) Procurar que la documentación de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a la misma.
e) Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad.
f) Realizar la coordinación y seguimiento de la implantación de los proyectos de adecuación al Esquema Nacional de Seguridad.
g) Realizar los preceptivos análisis de riesgos, seleccionar las salvaguardas a implantar y revisar el proceso de gestión del riesgo, elevando un informe anual al Comité.
h) Promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información, y analizar los informes de auditoría, elaborando las conclusiones a presentar a los Responsables del Servicio y Responsables de la Información para que adopten las medidas correctoras adecuadas.
i) Coordinar el proceso de Gestión de la Seguridad.
j) Firmar la Declaración de Aplicabilidad, que comprende la relación de medidas de seguridad seleccionadas para un sistema (art.º. 27 y Anexo II.2 del ENS).
k) Elaborar informes periódicos de seguridad que incluyan los incidentes más relevantes en cada periodo.
l) Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y las medidas de seguridad que deben aplicarse de acuerdo con lo previsto en el Anexo II del ENS.
m) Proponer la Declaración de Conformidad, para su aprobación por el titular del Departamento, previo informe del Comité para la Gestión y Coordinación de la Seguridad de la Información.
n) Verificar que las medidas de seguridad son adecuadas para la protección de la información y los servicios.
4. Cuando la complejidad, distribución, separación física de sus elementos o número de usuarios de los sistemas de información lo justifiquen, la persona Responsable de Seguridad podrá designar los responsables de seguridad delegados que considere necesarios, que tendrán dependencia funcional directa de aquel y serán responsables en su ámbito de todas aquellas acciones que les delegue.
5. Para el ejercicio de sus funciones podrá contar con el asesoramiento y apoyo del Comité para la Gestión y Coordinación de la Seguridad de la Información.
Artículo 11.- Responsables de los Sistemas.
1. Esta responsabilidad se designa según donde estén alojados los sistemas de información:
a) En el caso de sistemas de información corporativos y sistemas de información propios de esta Consejería que se encuentren alojados en infraestructura tecnológica corporativa:
i. Para aquellos sistemas de información en infraestructura core, la responsabilidad recaerá en la persona titular del órgano superior competente en materia de telecomunicaciones y nuevas tecnologías.
ii. Para aquellos servicios alojados en infraestructura de gestión compartida o autogestión, la responsabilidad se repartirá entre la persona titular del órgano superior competente en materia de telecomunicaciones y nuevas tecnologías, y en quien la persona Responsable de la Información o del Servicio haya encargado el desarrollo, la explotación y/o el mantenimiento del sistema. Las funciones que corresponden a cada uno serán las que se determinen en la normativa a desarrollar por el órgano superior competente en materia de telecomunicaciones y nuevas tecnologías, en función de la modalidad de alojamiento.
b) En el caso de sistemas de información corporativos y sistemas de información propios que gestione esta Consejería, pero que no estén alojados en infraestructura tecnológica corporativa, la responsabilidad recaerá en la entidad externa que gestione dicha infraestructura en el marco de un contrato o acuerdo con la Administración Pública de la Comunidad Autónoma de Canarias.
2. Con carácter general, los sistemas de información propios de esta Consejería se alojarán en la infraestructura tecnológica corporativa, debiendo realizarse todas las gestiones correspondientes a tal fin. Excepcionalmente, aquellos sistemas de información que requieran una solución de alojamiento externo, deberán solicitar, previamente, informe preceptivo al órgano competente en materia de telecomunicaciones y nuevas tecnologías. Dicha solicitud deberá estar justificada en razones económicas, tecnológicas y de seguridad.
3. Las personas responsables del Sistema tendrán las siguientes funciones:
a) Desarrollar, operar y mantener el sistema de Información durante todo su ciclo de vida, así como aprobar los cambios que afecten a la seguridad del modo de operación del sistema.
b) Implantar las medidas necesarias para garantizar la seguridad del sistema durante todo su ciclo de vida, siguiendo las indicaciones de la persona Responsable de Seguridad.
c) Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.
d) Suspender el manejo de una determinada información o la prestación de un servicio electrónico si es informado de deficiencias graves de seguridad, previo acuerdo con el Responsable de dicha información o servicio, y con el Responsable de Seguridad.
4. Cada sistema de información de los descritos en el apartado 1 de este artículo deberá disponer de un Administrador de Seguridad.
a) En el supuesto de los descritos en el apartado 1, letra a), subapartado i, de este artículo el Administrador de Seguridad dependerá del órgano superior competente en materia de telecomunicaciones y nuevas tecnologías.
b) Para los sistemas de información indicados en el apartado 1, letra a), subapartado ii de este artículo, el Administrador de Seguridad dependerá del Responsable de la Información o del Servicio que haya encargado el desarrollo, la explotación y/o el mantenimiento del sistema.
c) Para los sistemas de información del apartado 1, letra b), de este artículo la función de Administración de Seguridad dependerá de la entidad externa que presta el servicio.
5. Serán funciones del Administrador de la Seguridad del Sistema las siguientes:
a) La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.
b) La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad de los sistemas de información.
c) La gestión de las autorizaciones concedidas a los usuarios del sistema.
d) La aplicación de los procedimientos de seguridad.
e) Aprobar los cambios de configuración del sistema de información.
f) Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
g) Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
h) Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.
i) Informar a las personas Responsables de Seguridad y del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
j) Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.
Artículo 12.- Resolución de conflictos.
1. En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la PSI, este será resuelto por su superior jerárquico. En su defecto, será resuelto por la persona titular del Departamento, oído el Comité para la Gestión y Coordinación de la Seguridad de la Información.
2. En caso de conflicto entre los responsables que componen la estructura organizativa de la PSI y los definidos en seguimiento de la normativa de protección de datos de carácter personal, prevalecerá la decisión que determine la persona responsable del tratamiento que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.
Artículo 13.- Obligaciones del personal.
1. Todo el personal que presta servicios dentro del ámbito de aplicación de la PSI definido en el artículo 1, tiene la obligación de conocer y cumplir la Política de Seguridad de la Información, aprobada por la presente Orden, y la normativa de seguridad derivada, siendo responsabilidad del Comité disponer los medios necesarios para que la información llegue a los afectados.
2. Todo el personal que se incorpore o vaya tener acceso a alguno de los sistemas de información o a la información gestionada por ellos deberá ser informado de la PSI.
Artículo 14.- Gestión de riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de información, conforme a los principios de gestión de la seguridad basada en los riesgos y reevaluación periódica.
2. La persona Responsable de Seguridad se encargará de realizar los preceptivos análisis de riesgos, y de seleccionar las salvaguardas a implantar.
3. Las personas Responsables de la Información y de los Servicios son responsables de los riesgos sobre la información y sobre los servicios, respectivamente, y por tanto de aceptar los riesgos residuales calculados en el análisis, y de realizar su seguimiento y control.
4. El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse cada año por parte de la persona Responsable de Seguridad, que elevará un informe al Comité para la Gestión y Coordinación de la Seguridad de la Información.
Artículo 15.- Desarrollo normativo de la PSI. Documentación de seguridad.
1. El cuerpo normativo sobre seguridad de la información será de obligado cumplimiento y se desarrollará en tres niveles según el ámbito de aplicación y nivel de detalle técnico, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:
a) Primer nivel normativo: la Orden de 31 de julio de 2013 por la que se establece el marco común y las directrices básicas de la política de seguridad de la información de la Administración Pública de la Comunidad Autónoma de Canarias, la presente Orden, y las disposiciones generales, directrices y normas de seguridad generales dentro del ámbito de aplicación de la PSI definido en el artículo 1.
b) Segundo nivel normativo: Políticas Específicas de Seguridad de la Información y Normas de Seguridad TIC. Las Políticas Específicas desarrollan con un mayor grado de detalle la PSI dentro de un ámbito determinado. Las Normas dan respuesta, sin entrar en detalles de implementación ni tecnológicos, a qué se puede hacer y qué no en relación a un cierto tema desde el punto de vista de la seguridad: qué se considera un uso apropiado o inapropiado, las consecuencias derivadas del incumplimiento, entre otros aspectos.
Los documentos relativos a este segundo nivel normativo los deberá elaborar el Comité para la Gestión y Coordinación de la Seguridad de la Información. Serán aprobados, a propuesta de la persona Responsable de Seguridad, por el titular del Departamento.
c) Tercer nivel normativo: Procesos y Procedimientos STIC e Instrucciones Técnicas STIC. Son documentos que dan respuesta, incluyendo detalles de implementación y tecnológicos, a cómo se puede realizar una determinada tarea respetando los principios de seguridad de la organización, y los procesos internos en ella establecidos.
Los Procesos, Procedimientos STIC e Instrucciones Técnicas STIC serán aprobados por la persona Responsable de Seguridad.
2. Aparte de los documentos citados en el apartado 1, la documentación de seguridad del sistema podrá contar, bajo criterio de la persona Responsable de Seguridad, con otros documentos de carácter no vinculante: recomendaciones, buenas prácticas, informes, registros, evidencias electrónicas, entre otros aspectos.
3. La persona Responsable de Seguridad será responsable de mantener la documentación de seguridad actualizada y organizada, y de gestionar los mecanismos de acceso a la misma.
4. El Comité establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo normativo con el propósito de normalizarlo en la medida de lo posible en todo el ámbito de aplicación de la PSI.
5. En toda la normativa y documentación referente a la seguridad de la información que se derive de la aplicación de esta norma se utilizará un lenguaje que evite el uso de formas discriminatorias o androcéntricas, de forma que la terminología empleada esté en armonía con el principio de igualdad de sexos.
Artículo 16.- Protección de datos de carácter personal.
1. En lo que se refiere a los tratamientos con datos de carácter personal, estarán referenciados en el correspondiente Registro de tratamientos donde se hará constar tanto los distintos tratamientos, como las personas responsables o encargados correspondientes.
2. Todos los sistemas de información corporativos y sistemas de información propios de esta Consejería deberán cumplir con los requisitos de seguridad requeridos conforme al marco normativo de protección de datos. En caso de conflicto con la normativa de seguridad indicada en el artículo 15 prevalecerá la norma que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.
Artículo 17.- Formación y concienciación.
1. El Departamento deberá desarrollar actividades formativas específicas orientadas a la concienciación y formación de su plantilla, así como a la difusión entre esta de la PSI y de su desarrollo normativo.
2. El Comité para la Gestión y Coordinación de la Seguridad de la Información y la persona Responsable de Seguridad se encargarán de promover las actividades de formación y concienciación en materia de seguridad, según lo indicado en el artículo 7, apartado 3, letra e) y en el artículo 10, apartado 3, letra e) de la presente Orden.
Artículo 18.- Actualización de la PSI.
La propuesta de revisión de la PSI la elaborará la persona Responsable de Seguridad con el apoyo del Comité para la Gestión y Coordinación de la Seguridad de la Información y serán aprobadas por la persona titular del Departamento.
Artículo 19.- Auditoría.
1. Los sistemas de información corporativos, así como los sistemas de información propios de este Departamento y sus organismos autónomos serán objeto, al menos cada dos años, de una auditoría regular ordinaria interna o externa que verifique el cumplimiento de los requerimientos del ENS. Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas.
2. Los informes de auditoría quedarán a disposición del Comité para la Gestión y Coordinación de la Seguridad de la Información.
Disposiciones adicionales.
Primera.- Estabilidad Presupuestaria.
La aplicación de las previsiones contenidas en esta Orden no supondrá incremento del gasto público. Por tanto, los órganos y entidades afectadas deberán desarrollar las medidas derivadas de su cumplimiento ateniéndose a sus disponibilidades presupuestarias ordinarias, no dando lugar, en ningún caso, a planteamientos de necesidades adicionales de financiación.
Segunda.- Facultad para dictar instrucciones de interpretación y aplicación.
Se faculta a la Dirección General de Modernización y Calidad de los Servicios y a la Dirección General de Telecomunicaciones y Nuevas Tecnologías para dictar las instrucciones que sean necesarias para la correcta interpretación y aplicación de la presente Orden.
Disposición derogatoria única.- Derogación normativa.
Quedan derogadas las normas de igual o inferior rango que contradigan o se opongan a lo dispuesto en la presente Orden y de forma particular la Orden de 29 de mayo de 2014, por la que se aprueba la Política de Seguridad de la Información de la Consejería de Presidencia, Justicia e Igualdad en el ámbito de la Administración Electrónica.
Disposición final única.- Entrada en vigor.
La presente Orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de Canarias.
