Sección III. Otras disposiciones y actos administrativos
CONSEJO INSULAR DE EIVISSA
Núm. 297737
Acuerdo del Consejo Ejecutivo del Consejo para la aprobación de la política de seguridad de las tecnologías de la información y las comunicaciones del Consell Insular d’Eivissa
Por acuerdo del Consejo Ejecutivo Consejo Insular de Ibiza en sesión celebrada en fecha 24 de marzo de 2023, se ha aprobado por unanimidad la propuesta para la aprobación de la política de seguridad de las tecnologías de la información y las comunicaciones del Consell Insular d'Eivissa, del tenor literal siguiente:
"Atendido el Real Decreto 311/2022, de 3 de mayo, por el cual se regula el Esquema Nacional de Seguridad (ENTE), que sustituye en el Real Decreto 3/2010, de 8 de enero, por el cual se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, el cual obliga al Consejo Insular de Ibiza a definir la política de seguridad en el ámbito de sus competencias para lograr los objetivos legales definidos al ENS.
Visto que el Esquema Nacional de Seguridad persigue los siguientes grandes objetivos:
Vistos los artículos 11, 12 y 13 del RD 311/2022, donde se regula la diferenciación de las responsabilidades en materia de seguridad, así como el marco regulador de la política de seguridad que el Consejo Insular de Ibiza tiene que incorporar.
Atendida la propuesta del jefe de sección de Sistemas de Información y Seguridad de fecha 20 de marzo de 2023.
Por todo el anterior, en virtud de las facultades que tenc conferidas, por los Decretos de Presidencia de fecha 10 de julio de 2019 (publicados en el BOIB n.º 95 de 11 de julio de 2019) por el cual se regula la estructura orgánica del Consejo Insular de Ibiza, de fecha 16 de julio de 2019, por el que se determinan las atribuciones de los diferentes órganos de la Corporación (publicado en el BOIB n.º 98 de 17 de julio de 2019), elevo al Consejo Ejecutivo la siguiente,
PROPUESTA
Primero. Aprobar la política de seguridad de las tecnologías de la información y las comunicaciones del Consejo Insular de Ibiza, basada en el documento que se transcribe a continuación,
“Sumario
1. Introducción...........................................................................................................................3
2. La seguridad como proceso integral......................................................................................3
2.1. Prevención..........................................................................................................................3
2.2. Detección............................................................................................................................4
2.3. Respuesta............................................................................................................................4
2.4. Recuperació........................................................................................................................4
3. Alcance..................................................................................................................................4
4. Marco normativo...................................................................................................................4
5. Misión y objetivos.................................................................................................................5
6. Organización de la seguridad................................................................................................5
6.1. Comité de Gestión y Coordinación de la Seguridad de la Información.............................6
6.2. Responsable de la Información..........................................................................................7
6.3. Responsable del Servicio...................................................................................................8
6.4. Responsable de Seguridad de la Información....................................................................8
6.5. Responsable de los Sistemas de información ...................................................................8
6.6. Delegado de Protección de Datos .....................................................................................9
6.7. Procedimientos de designación .........................................................................................9
7. Datos de carácter personal...................................................................................................10
8. Gestión de riesgos................................................................................................................10
9. Desarrollo de la Política de Seguridad.................................................................................10
10. Obligaciones del personal..................................................................................................10
11. Terceras partes....................................................................................................................11
12. Entrada en vigor ................................................................................................................11
1. Introducción
El Consejo Insular de Ibiza depende de los sistemas TIC (Tecnologías de la Información y la Comunicación) para conseguir sus objetivos. Estos sistemas tienen que ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o de los servicios prestados.
El Esquema Nacional de Seguridad (ENS) tiene por objeto el establecimiento de los principios y requisitos de una política de seguridad en la utilización de los medios electrónicos que permita la adecuada protección de la información, a la vez que persigue fundamentar la confianza en que los sistemas prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.
La adaptación al ENS implica que el Consejo Insular de Ibiza y su personal tienen que aplicar las medidas mínimas de seguridad exigidas por este, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas y preparar una respuesta efectiva a los posibles incidentes que puedan surgir para garantizar la continuidad de los servicios prestados.
Los diferentes servicios de gestión del Consejo Insular de Ibiza tienen que asegurarse que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema.
2. La seguridad como proceso integral
La seguridad de la información es el resultado de un proceso que depende de todos y cada uno de los elementos humanos, técnicos, materiales y organizativos que intervienen en el tratamiento. Quienes participen en cualquier fase del tratamiento tendrán que responder, en la medida de sus responsabilidades, de la seguridad y buen uso de la información. De manera especial, tendrán que col•laborar en la prevención, detección y control de los riesgos derivados de actuaciones negligentes, ignorancia de las normas, fallos técnicos, de organización o de coordinación, o instrucciones inadecuadas.
El Consejo Insular de Ibiza, mediante los diversos agentes con responsabilidades específicas en materia de seguridad de la información, se encargará de proporcionar los canales de participación adecuados que hagan efectiva la colaboración mencionada en el párrafo anterior. Del mismo modo, se encargará de mantener permanentemente informados a todos los destinatarios de esta política, del propósito de la misma, así como de los documentos que la desarrollan y de los canales de participación habilitados.
El proceso de gestión de la seguridad de la información tendrá que estar sometido a monitorización, control y mejora continuos para confirmar su eficiencia ante la constante evolución de los riesgos y de los sistemas de protección
2.1. Prevención
El Consejo Insular de Ibiza tiene que evitar o, al menos, prevenir en la medida que sea posible que la información o los servicios se vean perjudicados por incidentes de seguridad. Para lo cual, se tienen que implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles así como los roles y responsabilidades de seguridad de todo el personal tienen que estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, la organización tiene que:
2.2. Detección
Dado que los servicios se pueden degradar rápidamente debido a incidentes, se tiene que monitorizar l‘operación de manera continuada para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia, según el establecido en el artículo 9 del ENS.
La monitorización es especialmente relevando cuando se establecen líneas de defensa de acuerdo con el artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y repuerto que lleguen a los responsables regularmente y cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.
2.3. Respuesta
El Consejo Insular de Ibiza tiene que:
2.4. Recuperación
Para restaurar la disponibilidad de los servicios, se tendrán que desarrollar planes de contingencia de los sistemas TIC que incluyan actividades de recuperación de la información que contribuyan a la continuidad del servicio.
3. Alcance
El Consejo Insular de Ibiza aplicará la presente Política de Seguridad sobre aquellos sistemas que están relacionados con el ejercicio de derechos por medios electrónicos, con el cumplimiento de deberes por medios electrónicos o con el acceso a la información o al procedimiento administrativo.
4. Marc normativo
El marco normativo que afecta al desarrollo de las actividades y competencias del Consejo
Insular de Ibiza está constituido por normas jurídicas estatales y autonómicas, si procede, orientadas a la administración electrónica, a la seguridad de la información y los servicios que la manejan, así como a la protección de datos de naturaleza personal.
Las normas que constituyen este marco se encuentran recogidas en un registro creado a tal efecto, el cual se mantiene actualizado según señala el correspondiente procedimiento de gestión de requisitos legales.
También podrán formar parte de este marco, aquellas normas aplicables a la Administración Electrónica del Consejo que se hayan desarrollado a partir de las anteriores o estén relacionadas, pudiendo ser adicionalmente publicadas a las sedes electrónicas comprendidas dentro del ámbito de aplicación de esta Política.
5. Misión y objetivos
El Consejo Insular de Ibiza, para la gestión de sus intereses y de las funciones y competencias que tiene encomendadas, promueve actividades y presta servicios públicos que contribuyen a satisfacer las necesidades y aspiraciones de la población.
Por este motivo, pose a disposición de la misma la realización de trámites en línea con el objetivo de impulsar la participación de la ciudadanía en los asuntos públicos estableciendo, de este modo, nuevas vías de participación que garanticen el desarrollo de la democracia participativa y la eficacia de la acción pública. Se pretende potenciar, por otro lado, el uso de las nuevas tecnologías en el Consejo y entre la propia ciudadanía.
Los principales objetivos que se persiguen, entre otros, son: fomentar la relación electrónica de la ciudadanía con el Consejo y crear la confianza necesaria entre ciudadano y Consejo.
6. Organización de la seguridad
Pueden distinguirse tres niveles al organigrama del Consejo Insular de Ibiza:
Siguiendo el mismo esquema y, de acuerdo con el ENS, se estructura un organigrama de seguridad en el Consejo Insular de Ibiza en tres niveles:
La especificación de requisitos de seguridad (Nivel 1) corresponde a los responsables de la información y de los servicios. La operación (nivel 3) corresponde a los responsables de los sistemas, mientras que la supervisión corresponde al responsable de la seguridad (nivel 2) y al técnico de seguridad (nivel 3).
Por encima de todos ellos existe el Comité de Coordinación y Gestión de la Seguridad (nivel 1).
6.1. Comité de Gestión y Coordinación de la Seguridad de la Información
El Comité de Gestión y Coordinación de la Seguridad de la Información, de ahora en adelante Comité de Seguridad, coordina la seguridad de la información a nivel de organización.
De acuerdo con el ENS, las funciones indicadas que corresponden al Comité de Seguridad son:
El Comité de Seguridad estará formado por las personas titulares, o aquellas en que deleguen, de los siguientes cargos:
A requerimiento del presidente, podrán incorporarse a los trabajos y sesiones del Comité otros miembros del Consejo, incluidos grupos de trabajo especializados, ya sean estos de carácter interno, externo o mixto.
El Comité de Seguridad no es un comité técnico, pero recaudará regularmente del personal técnico propio o externo, la información pertinente para tomar decisiones. El Comité de Seguridad se asesorará en los temas sobre los cuales tenga que decidir o emitir una opinión.
La Secretaría del Comité lo asume el Responsable de la Seguridad de la Información, al cual como tal le corresponde:
6.2. Responsable de la Información
El Responsable de la Información establecerá los requisitos sobre la información proporcionada por medios electrónicos a través de los servicios del Consejo Insular de Ibiza y, por lo tanto, tendrá la último palabra en la hora de decidir el tipo de información accesible y el uso que se le pueda dar, en virtud de la reglamentación vigente y de las buenas prácticas en materia de Protección de Datos.
Le corresponden las siguientes funciones:
El Responsable de la Información será el presidente del Consejo Insular de Ibiza que podrá delegar en el consejero responsable de los servicios TIC.
6.3. Responsable del Servicio.
El Responsable del Servicio establecerá los requisitos de seguridad aplicables a los servicios proporcionados por el Consejo Insular de Ibiza a través de medios electrónicos y, en este sentido, tendrá como funciones:
Será ejercido por el Secretario del Consejo Insular de Ibiza, sin prejuicio que se designen responsables delegados, los cuales podrán ser convocados al Comité de Seguridad de la información con voz pero sin voto.
6.4. Responsable de Seguridad de la Información
El Responsable de Seguridad de la Información del Consejo Insular de Ibiza tiene por funciones las siguientes:
6.5. Responsable de los Sistemas de información
El Responsable de los Sistemas de Información tiene por funciones:
6.6. Delegado de Protección de Datos
El Delegado de Protección de Datos será único para todos los servicios que presta la entidad.
Esta figura tiene que estar registrada a lo Agencia Española de Protección de Datos.
Las funciones del Delegado de Protección de Datos serán las indicadas al mencionado Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y otras disposiciones reguladoras de la materia.
6.7. Procedimientos de designación
El desarrollo de las responsabilidades definidas en esta Política de Seguridad venderá determinada por el acceso a los diferentes cargos que se han vinculado a ellas. En el supuesto de que desapareciera o cambiara de denominación de alguno de estos cargos será competencia del Consejo Insular de Ibiza asignar el nuevo lugar al que quedará vinculada la figura.
7. Datos de carácter personal
El Consejo Insular de Ibiza realiza tratamientos en los que hace uso de datos de carácter personal sometidas al que se dispone en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en aquello que respeta al tratamiento de datos personales y en conformidad con la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
Las políticas de seguridad aplicables a los tratamientos se rigen por las medidas de seguridad implantadas de acuerdo con el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el cual se regula el Esquema Nacional de Seguridad al ámbito de la Administración Electrónica. Al RAT (Registro de actividades del tratamiento, del sistema de gestión de la privacidad) se indexan los diferentes tratamientos de datos afectados por la normativa.
Todos los sistemas de información del Consejo Insular de Ibiza se ajustarán a los niveles de seguridad requeridos por la normativa por la naturaleza y finalidad de los datos de carácter personal.
8. Gestión de riesgos
Todos los sistemas sujetos a esta Política de Seguridad realizarán un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información gestionados y los diferentes servicios prestados.
9. Desarrollo de la Política de Seguridad
Esta Política se desarrollará por medio de una Normativa de Seguridad que afronte aspectos específicos. La Normativa de Seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular, por aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
Otros documentos que complementan esta Política de Seguridad son:
10. Obligaciones del personal
Todos los miembros del Consejo Insular de Ibiza tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad desarrollada a partir de ella, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a las personas afectadas, teniendo siempre en cuenta las disponibilidades presupuestarias del Consejo Insular de Ibiza.
Todos los trabajadores y trabajadoras del Consejo Insular de Ibiza, bajo el alcance del ENTE, atenderán a una acción de concienciación en materia de seguridad TIC, al menos una vez cada dos años. Se establecerá un programa de acciones en concienciación continua para atender a todos los miembros del Consejo Insular de Ibiza relacionados con servicios de administración electrónica, en particular a los de nueva incorporación, teniendo en cuenta siempre las disponibilidades presupuestarias del Consejo Insular de Ibiza. Se realizará una acción de concienciación durante los dos años siguientes a la aprobación de esta Política de Seguridad y, de manera continuada, para el personal de nueva incorporación.
En su caso, si se requiere formación específica por el manejo seguro de los sistemas, las personas con responsabilidad en la operación o administración de sistemas TIC la recibirán en la medida en que la necesiten para realizar su tarea.
11. Terceras partes
Cuando el Consejo Insular de Ibiza preste servicios a otros organismos o maneje información otros organismos, se los hará partícipe de esta Política de Seguridad de la Información. Por eso, se establecerán canales por información y coordinación de los respectivos Comités de Seguridad del ENS y se establecerán procedimientos de actuación ante posibles incidentes de seguridad.
Cuando el Consejo Insular de Ibiza utilice servicios de terceros o ceda información a terceros, se los hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que implique a los mencionados servicios o información. Esta tercera parte quedará sujeto a las obligaciones establecidas a la mencionada normativa, teniéndose que incorporar a los pliegos y encomiendas del Consejo Insular de Ibiza. De este modo, el proveedor tendrá que garantizar que su personal está adecuadamente formado en materia de seguridad de acuerdo con los requerimientos del Consejo Insular de Ibiza.
12. Entrada en vigor
Esta Política de Seguridad de la Información es efectiva desde el día siguiente al de su fecha de aprobación y hasta que sea reemplazada por una nueva Política.
El Consejo Insular de Ibiza dispondrá de los medios para publicar, dar a conocer y facilitar el cumplimiento de esta política y de los documentos que la desarrollan, así como para verificar su aplicación y efectividad. Así mismo, habilitará canales de participación que permitan a los destinatarios de esta política y de los documentos complementarios, participar en su revisión y mejora.
Anexo A. Glosario de términos
Anexo B. Abreviaturas
Segundo. Publicar este acuerdo en el boletín oficial de las Islas Baleares.
Tercero. Comunicarlo a los diferentes responsables."
Eivissa, 4 de mayo de 2023
El jefe de servicio de Transportes Antonio Montero Guasch