ORDEN PRE/28/2022, DE 3 DE MARZO, POR LA QUE SE REGULA LA ESTRUCTURA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y DE LA CONTINUIDAD DE LOS SERVICIOS DE LA CONSEJERÍA DE PRESIDENCIA, INTERIOR, JUSTICIA Y ACCIÓN EXTERIOR.
La pandemia de COVID-19 producida por el SARS-CoV-2 ha supuesto un enorme desafío para las sociedades de todo el mundo, que han tenido que enfrentarse a la crisis sanitaria mientras trataban de mantener la actividad económica y el funcionamiento los servicios públicos.
Para lograrlo, además de las diversas iniciativas políticas, las nuevas tecnologías han demostrado ser unas herramientas versátiles y eficaces, permitiendo que una parte importante de la población teletrabajara, el comercio en línea remediara las necesidades de consumo durante los confinamientos y las administraciones públicas mantuviesen su funcionamiento, pudiendo atender sus obligaciones y prestando los servicios propios de sus competencias.
Pero esta utilización intensiva de las nuevas tecnologías también ha supuesto un mar de oportunidades para actores hostiles con motivaciones económicas o políticas, que han encontrado nuevas formas de atacar a las organizaciones públicas y privadas para satisfacer sus intereses: espionaje, robos de datos personales, corporativos o financieros, extorsiones y otros fraudes diversos.
Los nuevos hábitos tecnológicos desarrollados por la población y las organizaciones se mantendrán en gran parte cuando la pandemia se supere definitivamente, pues conllevan importantes ventajas, pero también se mantendrá la actividad de esos actores hostiles que seguirán buscando víctimas propicias.
Por ello, las administraciones públicas deben reforzar sus esfuerzos para garantizar la prestación de sus servicios y proteger la información que manejan. Así, a la reciente aprobación del Decreto 79/2021, de 30 de septiembre 
, por el que se aprueba la Política Integral de Seguridad de la Información y la Organización competencial para la Protección de Datos Personales de la Administración de la Comunidad Autónoma de Cantabria, se suma la presente Orden, con la que se crea la estructura de gestión de la seguridad de la información y de la continuidad de los servicios de la Consejería de Presidencia, Interior, Justicia y Acción Exterior, una entidad clave en el funcionamiento del conjunto de la Administración de la Comunidad Autónoma de Cantabria.
El citado Decreto 79/2021, en su artículo 12, regula la creación, composición y régimen de funcionamiento de las estructuras sectoriales de gestión de la Seguridad de la Información. En este sentido, esta Orden desarrolla dicho precepto en lo relativo a la Consejería de Presidencia, Interior, Justicia y Acción Exterior cubriendo en esta materia a todos sus órganos directivos.
Este Decreto, que atiende al cumplimiento del Real Decreto 3/2010, de 8 de enero , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, permite crear estructuras para la gestión de la seguridad de la información que tengan como misión tratar las necesidades específicas en esta materia para el cumplimiento de las competencias propias de las unidades administrativas de la Administración General de la Comunidad Autónoma de Cantabria, así como de los organismos públicos y entidades de derecho privado incluidos en su artículo 1, "Objeto y ámbito de aplicación".
Así, la Consejería de Presidencia, Interior, Justicia y Acción Exterior tiene unas necesidades específicas de gestión de la seguridad de la información, para atender a las cuales se crea por la presente Orden una estructura de gestión, compuesta por un Comité Sectorial de Seguridad de la Información y un Coordinador Sectorial de Seguridad de la Información del ámbito de esta consejería.
Esta estructura de gestión, conforme a lo establecido en el artículo 12 del Decreto 79/2021, deberá respetar la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria, las normas de seguridad de la información y procedimientos de seguridad de la información que la desarrollen, y estar coordinada con el Responsable de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria.
Por lo expuesto, de conformidad a lo dispuesto en el referido artículo 12 del Decreto 79/2021, procede aprobar la presente orden de creación de la Comité Sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior y de regulación del Coordinador Responsable Sectorial de la Seguridad de la Información de este ámbito, DISPONGO
Artículo 1. Objeto.
El objeto de esta orden lo constituye la aprobación y regulación de la estructura sectorial de gestión de la seguridad de la información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior, creando la Comité Sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior y la función del Coordinador Sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior, de conformidad con el Decreto 79/2021, de 30 de septiembre , por el que se aprueba la Política Integral de Seguridad de la Información y la Organización competencial para la Protección de Datos Personales de la Administración de la Comunidad Autónoma de Cantabria.
Artículo 2. Comité Sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior.
1. Se crea el Comité Sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior (en adelante Comité SSICPRES) cuyo fin es la dirección y gestión de la seguridad de la información del ámbito competencial de todos los órganos directivos de la Consejería de Presidencia, Interior, Justicia y Acción Exterior, supervisando y controlando la implantación de medidas de seguridad, su efectividad y estableciendo controles para garantizar el cumplimiento de la legislación en la materia.
2. El Comité SSICPRES, dentro del ámbito competencial de la Consejería de Presidencia, Interior, Justicia y Acción Exterior y para todos sus órganos directivos, tiene las siguientes funciones:
a) Asegurar el compromiso de la Consejería con una efectiva gestión de la seguridad de la información y con su mejora continua.
b) Promover la seguridad de la información en ese ámbito y proponer la implantación de las medidas de seguridad que sean necesarias.
c) Establecer las funciones y responsabilidades específicas de seguridad de la información en los términos previstos en el Decreto 79/2021.
d) Aprobar planes de mejora de la seguridad de la información, impulsando la implantación de medidas de seguridad y la adaptación de procedimientos internos de actuación atendiendo al resultado de los análisis de riesgos, informes sobre incidentes de seguridad y auditorías.
e) Supervisar el cumplimiento de los planes de mejora de la seguridad y las actividades de implantación de medidas de seguridad.
f) Aprobar planes de continuidad de los servicios prestados por los órganos directivos de esta Consejería, proponer cambios en la política de continuidad a la persona responsable de la Consejería y coordinar la gestión de la misma.
g) Aprobar los análisis de riegos y, en su caso, aceptar el riesgo residual.
h) Realizar el seguimiento de incidentes que afecten a la seguridad de la información y de los sistemas de información, revisando los informes sobre incidencias de seguridad y encargando el estudio de medidas o iniciativas específicas.
i) Proponer la realización de auditorías, supervisar los resultados de las mismas e impulsar la realización de acciones correctivas.
j) Supervisar y controlar los cambios significativos que afecten a los sistemas de información y asegurar las medidas oportunas para salvaguardar su seguridad.
k) Velar por la existencia de un inventario de activos y servicios actualizado en materia de seguridad de la información.
l) Elevar a la Comisión General de la Seguridad de la Información, las necesidades de este ámbito que requieran actuaciones globales en el ámbito de aplicación definido en el artículo 1 del citado Decreto 79/2021.
Artículo 3. Coordinador Sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior.
1. El/la Coordinador/a Sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior será el encargado de la coordinación de las actuaciones en materia de seguridad de la información derivada de las decisiones del Comité SSICPRES.
2. Para el desempeño de sus funciones estará apoyado por personal de la propia consejería experto en las distintas materias afectadas por la ejecución de esas actuaciones.
3. El/la Coordinador/a Sectorial de Seguridad de la Información la Consejería de Presidencia, Interior, Justicia y Acción Exterior, para el ámbito competencial de todos sus órganos directivos, tiene las siguientes funciones en materia de seguridad de la información:
a) Coordinar y/o supervisar actuaciones en materia de Seguridad de la Información, en particular la revisión de accesos vigentes y registros de actividad, la elaboración de catálogos de activos y servicios, planes de continuidad y pruebas de verificación, así como la realización de auditorías o consultorías.
b) Promover la formación, información y concienciación del personal en su ámbito sectorial.
c) Ser el interlocutor en la materia, para su ámbito de actuación, con el resto de participantes en la gestión de la Seguridad de la Información, coordinándose debidamente con los Responsables de Seguridad.
d) Realizar, coordinar o supervisar las tareas que le sean asignadas en la orden de creación de la estructura de Seguridad de la Información sectorial de la que forma parte.
e) Coordinar y/o supervisar actuaciones aprobadas por el órgano colegiado de la Información al que esté vinculado y realizar aquellas otras que le sean asignadas por ese órgano.
f) Supervisión del cumplimiento de las obligaciones en materia de protección de datos personales, en todos los aspectos ligados a la Seguridad de la Información, con las siguientes funciones para sus respectivos ámbitos de actuación:
1.º Colaborar con el Delegado de Protección de Datos o Delegados adjuntos que corresponda en la supervisión de los tratamientos de datos personales.
2.º Estar a disposición de los Responsables del Tratamiento para coordinar actuaciones relacionadas con tratamientos de datos personales no automatizados y realizar las tareas de supervisión o seguimiento que correspondan.
3.º Colaborar con los Responsables del Tratamiento en las obligaciones derivadas en materia de protección de datos personales relacionadas con seguridad de la información. En particular en la realización de los Registros de Actividad del Tratamiento.
4.º Sus actividades estarán coordinadas y supervisadas con el Responsable de Seguridad de la Información que corresponda a su ámbito de actuación.
g) Coordinar, impulsar o realizar aquellas otras tareas que le sean asignadas por parte de la persona titular de la Consejería de Presidencia, Interior, Justicia y Acción Exterior en materia de seguridad de la información o de la continuidad de los servicios prestados en el ejercicio de sus competencias.
Artículo 4. Integración administrativa.
El Comité Sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior, queda integrado en la estructura jerárquica de esta consejería.
Artículo 5. Composición del Comité de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior.
1. El Comité estará compuesto por:
a) Presidencia: El/la Consejero/a de Presidencia, Interior, Justicia y Acción Exterior. Podrá delegar en el/la Secretario/a General de la Consejería de Presidencia, Interior, Justicia y Acción Exterior.
b) Vocales: El/la Secretario/a General de la Consejería de Presidencia, Interior, Justicia y Acción Exterior, los/las directores/as generales de esta consejería, el/la Analista responsable de los proyectos TIC de esta consejería del Servicio de Informática, el/la Coordinador/a Sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior y el/la Responsable de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria o quien designe el/la jefe/a del Servicio de Seguridad de la Información dentro del personal adscrito a esta unidad, pudiéndose modificar esa designación en cualquier momento, en cuyo caso deberá ser comunicado a la Presidencia del Comité.
c) Secretaría: El/la Coordinador/a Sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior, y que al tener también la condición de vocal contará con voz y voto.
2. Las funciones de la Presidencia, la Secretaría y los demás miembros del Comité, así como el régimen jurídico de las convocatoria, sesiones y actas de la misma se regirán por lo establecido con carácter general en la Ley de Cantabria 5/2018, de 22 de noviembre , de Régimen Jurídico del Gobierno, de la Administración y del Sector Público Institucional de la Comunidad Autónoma de Cantabria.
3. En caso de ausencia de la persona que ejerza la Presidencia, será sustituida por la persona titular de la Secretaría General de la Consejería de Presidencia, Interior, Justicia y Acción Exterior.
4. En caso de ausencia de el/la Coordinador/a Sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior, ejercerá la secretaría el/la vocal designado/a por la Presidencia.
Artículo 6. Periodicidad de las reuniones.
1. El Comité SSICPRES se reunirá cuando la convoque la Presidencia, a iniciativa propia y de sus reuniones se levantará acta que custodiará su Secretaría.
2. Habrá al menos una reunión al año.
Artículo 7. Continuidad de los servicios.
1. La responsabilidad máxima en materia de continuidad de los servicios prestados por la Consejería de Presidencia, Interior, Justicia y Acción Exterior en el ejercicio de sus competencias, corresponderá al titular de esta Consejería.
2. Por Resolución de el/la consejero/a de Presidencia, Interior, Justicia y Acción Exterior se definirá y aprobará la "Política de Continuidad del Servicio de la Consejería", en la que se recogerán al menos los siguientes extremos: finalidad, alcance, principios rectores, estructura para la gestión de continuidad de los servicios y asignación de funciones.
Disposición adicional primera. Asignación de funciones a unidad administrativa.
El/la Consejero/a de Presidencia, Interior, Justicia y Acción Exterior determinará la unidad administrativa y/o puesto de trabajo singularizado al que se le encomendarán las funciones y tareas de Coordinador Sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior.
Disposición adicional segunda. Adecuación de las relaciones de puestos de trabajo y del Decreto de estructura orgánica de la Consejería.
El/la consejero/a de Presidencia, Interior, Justicia y Acción Exterior procederá a las modificaciones y adaptaciones necesarias del puesto de trabajo al que se le asignan el desempeño de las funciones y tareas encomendadas al coordinador sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción. Asimismo, se procederá a modificar el Decreto de Estructura orgánica de la Consejería de Presidencia, Interior, Justicia y Acción Exterior, con relación a los órganos colegiados de nueva creación en este Decreto.
Disposición transitoria única. Desempeño temporal de funciones de Coordinador Sectorial de Seguridad de la Información.
Hasta que se proceda a la modificación y adaptación de la unidad administrativa y/o puesto de trabajo singularizado al que se encomiendan las funciones de coordinador sectorial de Seguridad de la Información de la Consejería de Presidencia, Interior, Justicia y Acción Exterior, estas serán desempeñadas provisionalmente por la persona a la cual se le encomiende esa función mediante resolución de la Secretaría General de esta consejería.
Disposición final. Entrada en vigor.
La presente Orden entrará en vigor el día siguiente de su publicación en el Boletín Oficial de Cantabria.
