ORDEN DE 5 DE NOVIEMBRE DE 2021, POR LA QUE SE APRUEBA LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE ESTE DEPARTAMENTO EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA.
Desde hace varios años, el ordenamiento jurídico, tanto estatal como autonómico, viene incorporando un conjunto de políticas públicas relacionadas intrínsecamente con el propio funcionamiento de la Administración, y que tienen por finalidad conformar un nuevo modelo de relación del sector público con la ciudadanía. El objetivo es ofrecer una prestación de servicios públicos de mayor calidad, más eficaz y eficiente, y adaptada a los nuevos entornos relacionales de la llamada Administración Digital, en aplicación de los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia. En suma, los ciudadanos deben confiar en que los servicios públicos disponibles por medios electrónicos se presten en unas condiciones de seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas de la Administración.
El artículo 3.2 
de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados. Asimismo, el artículo 156.2 de este texto legal dispone que el Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito del sector público, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
El Real Decreto 3/2010, de 8 de enero , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, establece la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos y determina los principios básicos y los requisitos mínimos requeridos para una protección adecuada de la información. Así, el artículo 11 del citado Real Decreto 3/2010 señala que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente.
En nuestra Administración Pública, la Orden de 31 de julio de 2013, de la entonces Consejería de Presidencia, Justicia e Igualdad (BOC n.º 153, de 9.8.2013), determina el marco común y las directrices básicas de la política de seguridad de la información de la Administración Pública de la Comunidad Autónoma de Canarias. Su artículo 2 dispone que cada organismo incluido en el ámbito de la aplicación de la Orden deberá desarrollar y aprobar el documento de política seguridad de la información en el ámbito de la Administración electrónica del organismo, así como las normas y procedimientos que adecúen, en su caso, el marco común y las directrices básicas en la Administración Pública de la Comunidad Autónoma de Canarias a sus particularidades. Dicho documento deberá ser aprobado mediante Orden de la persona titular de la consejería correspondiente o resolución del órgano competente de la entidad pública u organismo autónomo, que deberá publicarse en el Boletín Oficial de Canarias.
La presente Orden atiende a los principios de buena regulación recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Así, la norma es respetuosa con los principios de necesidad, eficacia y proporcionalidad, en tanto que con ella se persigue el fin pretendido, de conformidad con lo dispuesto el artículo 2.2 de la citada Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias; no tratándose de una norma restrictiva de derechos. Asimismo, la Orden garantiza el principio de seguridad jurídica, ejerciéndose la iniciativa normativa de manera coherente con el resto del ordenamiento jurídico generando un marco normativo estable, predecible, integrado, claro y de certidumbre. En aplicación del principio de transparencia, se definen claramente los objetivos de la iniciativa normativa. En virtud del principio de eficiencia, racionaliza, en su aplicación, la gestión de recursos públicos.
Asimismo la redacción de la presente Orden se ha adecuado a la normativa sobre impacto de género, en el sentido de lo establecido en el artículo 14 , apartado 11 de la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres, y el artículo 4 de la Ley 1/2010, de 26 de febrero, Canaria de Igualdad entre Mujeres y Hombres, referido a los principios generales de actuación de los poderes públicos de Canarias, entre ellos, el de transversalidad; principio que comporta aplicar la perspectiva de género en las fases de planificación, ejecución y evaluación de todas las políticas con la finalidad de eliminar las desigualdades y promover la igualdad entre mujeres y hombres.
Por ello, en el ejercicio de las competencias atribuidas,
DISPONGO:
Artículo 1.- Objeto y ámbito de aplicación.
1. La presente Orden tiene por objeto aprobar la Política de Seguridad de la Información (en adelante, PSI), de la Consejería de Transición Ecológica, Lucha contra el Cambio Climático y Planificación Territorial, en lo que respecta a la Administración electrónica.
2. Dicha PSI se aplicará, por todo el personal, a todos los servicios, aplicaciones o sistemas de los órganos y unidades de la Consejería de Transición Ecológica, Lucha contra el Cambio Climático y Planificación Territorial, así como por el personal de otros organismos o entidades que hayan sido autorizados para acceder a los sistemas de información incluidos en su ámbito de aplicación.
3. Asimismo, esta PSI debe ser observada por las personas físicas, jurídicas y entidades sin personalidad jurídica en sus relaciones con las entidades anteriores, cuando utilicen sus sistemas de información.
Artículo 2.- Misión del Departamento.
Es misión de la Consejería de Transición Ecológica, Lucha contra el Cambio Climático y Planificación Territorial la propuesta y ejecución de las directrices del Gobierno de Canarias y de la gestión de las competencias previstas en su Reglamento Orgánico.
Artículo 3.- Principios de la PSI.
Sin perjuicio de los principios básicos establecidos en el Esquema Nacional de Seguridad, la PSI del Departamento en el ámbito de la Administración electrónica se desarrollará, con carácter general, de acuerdo a los siguientes principios:
a) Confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.
b) Integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como sus procesos de tratamiento, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.
c) Disponibilidad y continuidad: se garantizará un alto nivel de disponibilidad en los sistemas de información y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.
d) Gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los sistemas de información.
e) Proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los sistemas de información deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos.
f) Proporcionalidad en el nivel de exigencia: las obligaciones de seguridad a asumir deberán ser proporcionadas al nivel de riesgo que afronten y estar basadas en una evaluación previa de los riesgos.
g) Concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad de las tecnologías de la información y la comunicación (en adelante, TIC) de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.
h) Prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC.
i) Mejora continua: se revisará el grado de eficacia de los controles de seguridad TIC implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública de la Comunidad Autónoma de Canarias.
j) Seguridad TIC en el ciclo de vida de los sistemas de información: las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
k) Función diferenciada: la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.
Artículo 4.- Definiciones.
A los efectos previstos en esta Orden, los conceptos utilizados tienen el significado y el alcance determinado en los apartados siguientes:
a) Gestión de riesgos: actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.
b) Infraestructura tecnológica: aquellos recursos físicos y lógicos, sobre los que se soportan los sistemas de información.
c) Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.
d) Sistema de información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
e) Sistemas de información corporativos: aquellos sistemas de información cuyo ámbito de aplicación y uso es general y común para toda la Administración Pública de la Comunidad Autónoma de Canarias.
f) Sistemas de información propios: aquellos sistemas de información cuyo ámbito de aplicación es específico para un área concreta y su gestión pertenece a esta Consejería.
Artículo 5.- Marco normativo.
El marco normativo para el desarrollo de la gestión de los servicios y competencias de la Consejería es el siguiente:
a) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos ).
b) Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales.
c) Ley 39/2015, de 1 de octubre , del Procedimiento Administrativo Común de las Administraciones Públicas.
d) Ley 40/2015, de 1 de octubre , de Régimen Jurídico del Sector Público.
e) Real Decreto 3/2010, de 8 de enero , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
f) Real Decreto 4/2010, de 8 de enero , por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
g) Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias.
h) Decreto 54/2021, de 27 de mayo , por el que se aprueba el Reglamento Orgánico de la Consejería de Transición Ecológica, Lucha contra el Cambio Climático y Planificación Territorial.
i) Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.
j) Acuerdo del Gobierno de Canarias de 25 de junio de 2018, que aprueba las instrucciones que conforman la normativa de seguridad en el uso de los recursos informáticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias.
k) Instrucciones Técnicas de Seguridad en desarrollo del ENS.
Artículo 6.- Cuerpo normativo de la PSI del Departamento.
1. Sin perjuicio del marco normativo general previsto en el artículo 5, el cuerpo normativo específico de la PSI de este Departamento, que será de obligado cumplimiento, se desarrollará en tres niveles según el ámbito de aplicación y nivel de detalle técnico, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:
a) Primer nivel normativo: la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información de la Administración Pública de la Comunidad Autónoma de Canarias, la presente Orden, y las disposiciones generales, directrices y normas de seguridad generales dentro del ámbito de aplicación de la PSI definido en el artículo 1.
b) Segundo nivel normativo: Políticas Específicas de Seguridad de la Información y Normas de Seguridad TIC (en adelante, Normas STIC). Las Políticas Específicas desarrollan con un mayor grado de detalle la PSI dentro de un ámbito determinado. Las Normas dan respuesta, sin entrar en detalles de implementación ni tecnológicos, a qué se puede hacer y qué no en relación a un cierto tema desde el punto de vista de la seguridad: qué se considera un uso apropiado o inapropiado, las consecuencias derivadas del incumplimiento, entre otros aspectos.
Los documentos relativos a este segundo nivel normativo los deberá elaborar el Comité para la Gestión y Coordinación de la Seguridad de la Información. Serán aprobados, a propuesta del Responsable de Seguridad, por el titular del Departamento.
c) Tercer nivel normativo: Procesos y Procedimientos STIC e Instrucciones Técnicas STIC. Son documentos que dan respuesta, incluyendo detalles de implementación y tecnológicos, a cómo se puede realizar una determinada tarea respetando los principios de seguridad de la organización, y los procesos internos en ella establecidos.
Los Procesos, Procedimientos STIC e Instrucciones Técnicas STIC serán aprobados por el Responsable de Seguridad.
2. Aparte de los documentos citados en el apartado 2, la documentación de seguridad del sistema podrá contar, bajo criterio del Responsable de Seguridad, con otros documentos de carácter no vinculante: recomendaciones, buenas prácticas, informes, registros, evidencias electrónicas, entre otros aspectos.
3. La persona Responsable de Seguridad será responsable de mantener la documentación de seguridad actualizada y organizada, y de gestionar los mecanismos de acceso a la misma.
4. El Comité para la Gestión y Coordinación de la Seguridad de la Información establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo normativo con el propósito de normalizarlo, en la medida de lo posible, en todo el ámbito de aplicación de la PSI.
Artículo 7.- Organización de la gestión de la PSI.
La estructura organizativa de la gestión de la seguridad de la información en el ámbito de la Consejería de Transición Ecológica, Lucha contra el Cambio Climático y Planificación Territorial, está compuesta por los agentes detallados a continuación:
a) Comité para la Gestión y Coordinación de la Seguridad de la Información.
b) Responsables de la Información.
c) Responsables del Servicio.
d) Responsable de Seguridad.
e) Responsable del Sistema.
f) Responsables de los tratamientos que contengan datos de carácter personal.
g) Administración de la Seguridad del Sistema.
Artículo 8.- Comité para la Gestión y Coordinación de la Seguridad de la Información.
1. Se crea el Comité para la Gestión y Coordinación de la Seguridad de la Información, como un grupo de trabajo en el seno del Departamento, que estará constituido por los siguientes miembros:
a) Presidencia: la persona Responsable de Seguridad.
b) Vocales:
- Las personas titulares de las Direcciones Generales de la Consejería.
- La persona Responsable del Sistema.
- La persona u órgano designado delegado o delegada de protección de datos del Departamento, en el marco de las funciones que desempeñe conforme a la normativa de protección de datos.
c) Secretaría: una persona con vínculo funcionarial adscrita a la unidad administrativa competente en materia de modernización de la Secretaría General Técnica de este Departamento, designada por la Presidencia, que actuará con voz y sin voto.
2. El Comité ajustará su funcionamiento a las previsiones contenidas en la legislación en materia de régimen jurídico del sector público y del procedimiento administrativo común.
3. El Comité se reunirá con carácter ordinario una vez al año y con carácter extraordinario a propuesta de su Presidencia. Las reuniones se realizarán en horario de trabajo y, cuando proceda, por videoconferencia. No se percibirán indemnizaciones en concepto de asistencia a reuniones del Comité.
4. El Comité podrá recabar del personal técnico la información o asesoramiento pertinente para el ejercicio de sus funciones. En caso necesario este personal podrá ser convocado por el Comité para asistir a las reuniones, en calidad de asesores, con voz pero sin voto.
5. Podrá acordarse la constitución de subgrupos de trabajo para el análisis, elaboración y ejecución de trabajos o actividades específicas, dentro del ámbito de sus funciones.
Artículo 9.- Funciones del Comité para la Gestión y Coordinación de la Seguridad de la Información.
Corresponden al Comité para la Gestión y Coordinación de la Seguridad de la Información, como mínimo, las funciones siguientes:
a) Elaborar los borradores de modificación y actualización de la PSI.
b) Analizar los riesgos e impulsar su evaluación.
c) Revisar el informe de análisis de riesgos realizado por la persona Responsable de Seguridad.
d) Impulsar la actualización de los criterios y directrices sobre seguridad de la información.
e) Impulsar medidas para mejorar y reforzar los sistemas de seguridad y control.
f) Impulsar el cumplimiento y difusión de la PSI, promoviendo las actividades de concienciación y formación en materia de seguridad para el personal del Departamento.
g) Elaborar los borradores de directrices y normas generales de seguridad de todo el Departamento, en cumplimiento de lo previsto en la presente Orden.
h) Elaborar la normativa de seguridad de segundo nivel, que se corresponde con las políticas específicas de seguridad y con las Normas STIC, de obligada observancia.
i) Coordinar las decisiones y actuaciones de las diferentes personas responsables que componen la estructura organizativa de la PSI, asesorando en la resolución de los posibles conflictos entre ellas, en aras de garantizar la seguridad de las infraestructuras tecnológicas compartidas.
j) Impulsar los proyectos necesarios para dar cumplimiento al Esquema Nacional de Seguridad.
k) Compartir experiencias de éxito en materia de seguridad entre sus miembros para velar por el cumplimiento de la PSI y su normativa de desarrollo.
l) Coordinar todas las actividades relacionadas con la seguridad de los sistemas de información.
Artículo 10.- Responsables de la Información.
1. La persona Responsable de Información es la persona que, dentro de su ámbito de actuación, establece las necesidades de seguridad de la información que se maneja y efectúa las valoraciones del impacto que tendría un incidente que afectara a su seguridad. Tiene, además, en exclusiva, la potestad de modificar el nivel de seguridad requerido para dicha información.
2. Esta responsabilidad recaerá en la persona titular del órgano que gestione cada procedimiento o trámite.
3. Son funciones de cada Responsable de la Información, dentro de su ámbito de actuación, las siguientes:
a) Determinar los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información.
b) Son responsables, junto a las personas Responsables del Servicio, de aceptar los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control.
4. Los servicios que se prestarán en el ámbito de la Administración electrónica de este Departamento, sus responsables, y las personas Responsables de la Información, se determinarán mediante Orden departamental posterior.
5. Para desarrollar estas funciones, las personas Responsables de la Información contarán con la colaboración de las personas titulares de las unidades a su cargo con rango de Servicio o equivalentes.
Artículo 11.- Responsables del Servicio.
1. La persona Responsable del Servicio es la persona que determina los requisitos de seguridad de los servicios prestados.
2. Esta responsabilidad recaerá en la persona titular del órgano que gestione cada servicio.
3. Respecto al proceso de gestión del riesgo, las personas Responsables del Servicio son las encargadas, junto a las personas Responsables de la Información, de aceptar los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control.
4. Los servicios que se prestarán en el ámbito de la Administración electrónica de este Departamento, sus responsables, y las personas Responsables del Servicio, se determinarán mediante Orden departamental posterior.
5. Para desarrollar estas funciones, las personas Responsables del Servicio, contarán con la colaboración de las personas titulares de las unidades a su cargo con rango de Servicio o equivalentes.
Artículo 12.- Responsable de Seguridad.
1. Será Responsable de Seguridad la persona titular de la Consejería de Transición Ecológica, Lucha contra el Cambio Climático y Planificación Territorial.
2. La persona Responsable de Seguridad es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
3. A la persona Responsable de Seguridad le corresponde coordinar de manera continua el desarrollo de la seguridad de la información en el ámbito de aplicación de la presente Orden, además de las siguientes funciones:
a) Promover la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.
b) Proponer la normativa de seguridad de segundo nivel, que se corresponde con las políticas específicas de seguridad y con las Normas de Seguridad TIC (Normas STIC), de obligado cumplimiento.
c) Aprobar la normativa de seguridad de tercer nivel, que se corresponde a los procesos, procedimientos STIC e instrucciones técnicas STIC.
d) Procurar que la documentación de seguridad se mantenga organizada y actualizada, y de gestionar sus mecanismos de acceso.
e) Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad.
f) Realizar la coordinación y seguimiento de la implantación de los proyectos de adecuación al Esquema Nacional de Seguridad.
g) Realizar los preceptivos análisis de riesgos, de seleccionar las salvaguardas a implantar y de revisar el proceso de gestión del riesgo, elevando un informe anual al Comité para la Gestión y Coordinación de la Seguridad de la Información.
h) Promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información, así como analizar los informes de auditoría, elaborando las conclusiones a presentar a las personas Responsables del Servicio y las personas Responsables de la Información para que adopten las medidas correctoras adecuadas.
i) Coordinar el proceso de gestión de la seguridad.
j) Firmar la declaración de aplicabilidad, que comprende la relación de medidas de seguridad seleccionadas para un sistema, conforme a lo previsto en el artículo 27 y
Anexo II.2 del Real Decreto 3/2010, de 8 de enero , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
k) Elaborar informes periódicos de seguridad que incluyan los incidentes más relevantes de cada periodo.
l) Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del citado Real Decreto 3/2010, de 8 de enero , así como las medidas de seguridad a aplicar previstas en el Anexo II del mismo Esquema Nacional de Seguridad.
4. Cuando la complejidad, distribución, separación física de sus elementos o número de usuarios de los sistemas de información lo justifiquen, la persona Responsable de Seguridad podrá designar las personas responsables de seguridad delegadas que considere necesarias, que tendrán dependencia funcional directa de aquella y serán responsables en su ámbito de todas aquellas acciones que les delegue la misma.
Artículo 13.- Responsable del Sistema.
1. Será Responsable del Sistema la persona titular de la Secretaría General Técnica, en tanto órgano que ostenta las competencias en materia de informática y nuevas tecnologías y, por tanto, en el desarrollo, mantenimiento, implantación y explotación de los sistemas de información que dan soporte a los servicios que presta el Departamento en el ámbito de la Administración electrónica.
2. Son funciones de la persona Responsable del Sistema las siguientes:
a) Implantar las medidas necesarias para garantizar la seguridad del sistema durante todo su ciclo de vida, siguiendo las indicaciones de la persona Responsable de Seguridad.
b) Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.
c) Suspender el manejo de una determinada información o la prestación de un servicio electrónico si es informada de deficiencias graves de seguridad, previo acuerdo con la persona Responsable de dicha información o servicio, y con la persona Responsable de Seguridad.
Artículo 14.- Responsables de los tratamientos que contengan datos de carácter personal.
Las personas responsables de tratamientos que contengan datos de carácter personal deberán cumplir lo dispuesto en la normativa correspondiente y el resto de disposiciones legales de aplicación. También deberán aplicar la PSI establecida en esta Orden y las normas de seguridad o procedimientos de seguridad que la desarrollen.
Artículo 15.- Administración de la Seguridad de los Sistemas.
1. La Administración de la Seguridad de los Sistemas de información propios de esta Consejería, recaerá en la unidad administrativa de la Secretaría General Técnica competente en materia de modernización.
2. Serán funciones de la Administración de la Seguridad de los Sistemas las siguientes:
a) La implementación, gestión y mantenimiento de las medidas de seguridad aplicables a los sistemas de información.
b) La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad de los sistemas de información.
c) La gestión de las autorizaciones concedidas a las personas usuarias del sistema.
d) La aplicación de los procedimientos operativos de seguridad de la información.
e) Aprobar los cambios de configuración de los Sistemas de Información.
f) Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
g) Asegurar que son aplicados los procedimientos aprobados para manejar los sistemas de información.
h) Supervisar la infraestructura tecnológica, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que, en todo momento, se ajusta a las autorizaciones pertinentes.
i) Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.
j) Informar a ambas personas responsables, de Seguridad y del Sistema, de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
k) Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.
l) Participar en el diseño de los aspectos técnicos de los planes de contingencia, recuperación o continuidad.
m) Realizar pruebas de verificación de los planes de contingencia, recuperación o continuidad.
n) Asesorar en materia de seguridad de la información en lo relativo a su campo de actuación al Comité para la Gestión y Coordinación de la Seguridad de la Información, a las comisiones o comités sectoriales que pudieran existir, a la persona Responsable del Sistema o a la persona Responsable de Seguridad.
3. Estas funciones podrán ser desarrolladas directamente por el personal adscrito a la unidad administrativa de la Secretaría General Técnica competente en materia de modernización, también coordinando estos a otros empleados y empleadas públicas o mediante la supervisión y control de contratos de prestación de servicios.
Artículo 16.- Delegado o delegada de protección de datos.
El delegado o delegada de protección de datos llevará a cabo las funciones establecidas en el artículo 39 del RGPD, así como en el resto de normativa vigente en materia de protección de datos personales. En el ejercicio de sus funciones, no podrá recibir instrucciones, rindiendo cuentas directamente al más alto nivel jerárquico de la persona responsable o encargada del tratamiento.
En el desempeño de sus funciones, el delegado o delegada de protección de datos tendrá acceso a los datos personales y procesos de tratamiento.
Artículo 17.- Obligaciones del personal.
1. Todo el personal que preste servicios en este Departamento debe conocer y cumplir la PSI y la normativa de seguridad derivada, siendo responsabilidad del Comité disponer los medios necesarios para ello y comunicar dicha disponibilidad.
2. Todas las personas que utilicen o tengan acceso a los sistemas tecnológicos o de información del Gobierno de Canarias en general, y de la Consejería de Transición Ecológica, Lucha contra el Cambio Climático y Planificación Territorial en particular, así como a la información en ellos contenida, tienen las obligaciones siguientes:
a) Conocer y respetar la PSI, así como la normativa de seguridad y procedimientos de seguridad que la desarrollen y que le afecten.
b) Asistir a las acciones de concienciación en materia de seguridad de la información que se realicen.
c) Utilizar los servicios y sistemas de información, así como la información en ellos contenida y a la que tengan acceso, con una finalidad profesional acorde a las tareas encomendadas en función de su puesto de trabajo y a los fines y propósitos que motivaron la concesión del acceso.
d) Velar por la confidencialidad de la información a la que tenga acceso, según su clasificación y características.
e) Notificar eventos que puedan suponer un incidente de seguridad o evidencien una debilidad que pueda implicar posteriores incidentes.
f) Colaborar en la resolución de incidentes de seguridad y en la realización de acciones preventivas cuando sea necesaria su participación.
g) No realizar acciones intencionadas que perjudiquen la seguridad de los sistemas tecnológicos o de información, ni la información que contienen.
3. La persona que incumpla estas obligaciones podrá ser sancionada de conformidad con la normativa disciplinaria correspondiente.
4. En el caso de personas vinculadas a entidades externas, el uso se limitará a las tareas o actividades circunscritas en los términos del contrato o acuerdo que regula la relación entre esa entidad y la Consejería de Transición Ecológica, Lucha contra el Cambio Climático y Planificación Territorial.
Artículo 18.- Terceras partes.
1. Cuando se presten servicios a otros organismos o se ceda información a terceras personas:
a) Se les hará partícipes de la PSI y de las normas de seguridad o procedimientos de seguridad relacionados con el servicio o la información afectados.
b) Se establecerán canales de información y coordinación entre las respectivas personas responsables de gestión de la seguridad de la información y se establecerán procedimientos de seguridad para la reacción ante incidentes.
2. Cuando se utilicen servicios o se maneje información de otros organismos o entidades, se procurarán canales de información y coordinación en materia de seguridad de la información.
3. En los contratos de adquisición de sistemas o aplicaciones informáticas, de prestación de servicios tecnológicos, y también en el caso de contratos de prestación de servicios de otro tipo que implique el uso de servicios, aplicaciones o sistemas informáticos internos, deberán observarse las medidas y consideraciones de seguridad de la información que resulten aplicables según la legislación vigente en la materia. También deberán cumplirse las medidas y consideraciones de seguridad de la información que resulten de aplicación legal, en caso de acuerdos de cesión de sistemas, aplicaciones o acceso a servicios de otros organismos o entidades.
4. Cuando algún aspecto de la PSI no pueda ser satisfecho por una tercera parte, la persona Responsable de Seguridad emitirá un informe sobre los riesgos en que se puede incurrir y la forma de tratarlos. A la vista de dicho informe y antes de que se haga efectiva la prestación, uso, acceso o cesión de que se trate, las personas responsables de la información o de los servicios afectados decidirán sobre la aceptación o no del riesgo residual.
Artículo 19.- Gestión de riesgos.
1. La gestión de riesgos, en tanto factor esencial para una exitosa gestión de la seguridad de la información, debe realizarse de manera continua sobre los sistemas de información, conforme a los principios de gestión de la seguridad basada en los riesgos y de reevaluación periódica previstos en los artículos 6 y 9 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, respectivamente.
2. La persona Responsable de Seguridad es la encargada del análisis de riesgos de los sistemas de información gestionados por el Departamento, y de seleccionar las salvaguardas a implantar. El informe del análisis será revisado y aprobado por el Comité para la Gestión y Coordinación de la Seguridad de la Información.
3. Las personas Responsables de la Información y del Servicio son los responsables, respectivamente, de los riesgos sobre la información y sobre los servicios, y por tanto de la aceptación de los riesgos residuales calculados en el análisis, y de realizar su seguimiento y control.
4. El proceso de gestión de riesgos comprende las fases de categorización de los sistemas, análisis de riesgos y selección de las medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas. Dicho proceso se revisará anualmente por la persona Responsable de Seguridad, que elevará un informe al Comité para la Gestión y Coordinación de la Seguridad de la Información.
Artículo 20.- Resolución de conflictos.
1. En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la PSI, este será resuelto por su superior jerárquico. En su defecto, será resuelto por la persona titular del Departamento, oído el Comité para la Gestión y Coordinación de la Seguridad de la Información.
2. En caso de conflicto entre los responsables que componen la estructura organizativa de la PSI y los definidos en seguimiento de la normativa de protección de datos de carácter personal, prevalecerá la decisión que determine la persona responsable del tratamiento que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.
Artículo 21.- Auditoría.
1. Los sistemas de información propios de este Departamento serán objeto, al menos cada dos años, de una auditoría regular ordinaria interna o externa que verifique el cumplimiento de los requerimientos del Esquema Nacional de Seguridad. Además, deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas.
2. Los informes de auditoría quedarán a disposición del Comité para la Gestión y Coordinación de la Seguridad de la Información.
Artículo 22.- Formación y concienciación.
El Comité para la Gestión y Coordinación de la Seguridad de la Información y la persona Responsable de Seguridad desarrollarán las actividades formativas específicas orientadas a la concienciación y formación de sus empleados y empleadas públicas, así como a su difusión entre el personal de la PSI y a su desarrollo normativo.
Artículo 23.- Actualización de la PSI.
La persona Responsable de Seguridad, con el apoyo del Comité para la Gestión y Coordinación de la Seguridad de la Información, elaborará la propuesta de revisión de la PSI, que será aprobada por la persona titular del Departamento.
Disposición adicional primera.- Financiación de las medidas de cumplimiento de
la PSI.
Los órganos afectados por las previsiones contenidas en esta Orden deberán desarrollar las medidas derivadas de su cumplimiento ateniéndose a sus disponibilidades presupuestarias ordinarias, no dando lugar, en ningún caso, a planteamientos de necesidades adicionales de financiación.
Disposición adicional segunda.- Facultad para dictar instrucciones de interpretación y aplicación.
Se faculta a la persona titular de la Secretaría General Técnica para dictar las instrucciones que sean necesarias para la correcta interpretación y aplicación de la presente Orden.
Disposición final única.- Publicación y entrada en vigor.
1. La presente Orden se publicará en el Boletín Oficial de Canarias, así como en la sede electrónica de este Departamento.
2. La presente Orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de Canarias.
