Las Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas, y la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público, establecen que la tramitación electrónica de los procedimientos debe constituir la acción habitual de todas las Administraciones, tanto en su relación con los ciudadanos como en la gestión interna y en los intercambios de información entre diferentes organismos. También destacan el documento, archivo y fichero electrónico, que requieren una profundización de la transformación digital de las Administraciones Públicas, con el consecuente aumento de la eficiencia y calidad de los servicios prestados a la ciudadanía.
Entre sus objetivos también está la creación de condiciones de confianza en el uso de los medios electrónicos. Establece las medidas necesarias para la preservación de la integridad de los derechos fundamentales, especialmente aquellos relacionados con la privacidad y protección de datos personales, garantizando la seguridad de los sistemas electrónicos, datos, comunicaciones y servicios.
Estos objetivos fueron desarrollados por el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Sistema Nacional de Seguridad (en adelante, ENS) en el ámbito de la Administración Electrónica. Asimismo, la información encausada en los sistemas electrónicos a que se refiere el ENS estará protegida habida cuenta de los criterios establecidos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. El ENS, por su parte, establece el marco regulador de la Política de Seguridad de la Información, que está incorporado en un documento, accesible y comprensible para todos los miembros, que define el que significa la seguridad de la información en una determinada organización y que regula la manera en que una organización gestiona y protege información y servicios críticos. La Política de Seguridad debe generarse de acuerdo con los requisitos de la ENS que establece que todos los órganos superiores de las Administraciones Públicas deben tener oficialmente una Política de Seguridad de la Información aprobada por el órgano superior competente.
Habida cuenta de el anterior, la Política de Seguridad de la Información del Parlamento de Galicia se regirá por las siguientes normas:
1. La finalidad de esta Resolución es la aprobación de la Política de Seguridad de la Información (en adelante Política de Seguridad) del Parlamento de Galicia (en adelante PG) y del establecimiento de un marco organizativo y tecnológico para eso.
2. La seguridad se entenderá compuesta por un proceso integral que consiste en todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información, del que se excluye cualquier tipo de acciones específicas o tratamiento a corto plazo.
3. Debe ser conocido y cumplido por todos los usuarios de los sistemas de información del PG, con independencia de la posición, cargo y responsabilidad dentro de él. El Parlamento de Galicia depende de los sistemas TIC (tecnologías de la información y de la comunicación) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar la disponibilidad, la integridad, la confidencialidad, la autenticidad y la trazabilidad de la información tratada o de los servicios prestados.
El objeto último de la seguridad de la información es garantizar que el Parlamento de Galicia pueda cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, en materia de seguridad de la información deberán tenerse en cuenta los siguientes principios básicos:
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad,en la trazabilidad, en el uso previsto y en el valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben asegurarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 8 del ENS.
Los departamentos deben evitar, o por lo menos prevenir en la medida del posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para eso los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, los departamentos deben:
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según el establecido en el Artículo 10 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 9 del ENS. Se establecerán mecanismos de detección, análisis y reponerte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se preestablecesen como normales.
Los departamentos deben:
Para garantizar la disponibilidad de los servicios, se dispondrán los medios y técnicas necesarios que garanticen la recuperación de los servicios más críticos.
Esta política se aplica a todos los sistemas TIC del Parlamento de Galicia y a todas las personas usuarias de los sistemas de la información de la institución, sin excepciones.
El Parlamento de Galicia, como soporte de los principios de seguridad de la información establecidos según el Esquema Nacional de Seguridad, ofrece los siguientes objetivos de partida:
La base regulatoria que afecta al desarrollo de las actividades del Parlamento de Galicia, y que implica la implementación explícita de medidas de seguridad en los sistemas de información, está constituida por la legislación del procedimiento administrativo y régimen jurídico del sector público, por el reglamento de protección de datos personales, por las normativas e instrucciones técnicas en materia de seguridad en el ámbito de la administración electrónica y otras normativas sectoriales que resulten de aplicación.
Las normas que integran el dicho marco se recogen en un registro a tales efectos, el cual se mantiene actualizado.
El Comité Coordinador de Seguridad TIC, es el máximo responsable de seguridad de la información y servicios. Este comité tendrá a siguiente composición:
El secretario o la secretaria del Comité de Seguridad TIC será la persona responsable del Servicio de Tecnologías de la Información, que se encargará de convocar las reuniones del Comité y levantar acta de ellas.
El Comité de Seguridad TIC informará a la Mesa del Parlamento de Galicia y, indicadas en el Real Decreto 311/2022, tendrá las siguientes funciones:
Sus funciones serán las siguientes:
Sus funciones son las siguientes:
Sus funciones serán las siguientes:
Sus funciones, dentro de sus áreas de actuación, son las siguientes:
Sus funciones serán las siguientes:
En el caso de conflicto entre las diferentes partes, este se resolverá por el superior jerárquico de estas. En ausencia del anterior prevalecerá la decisión de la persona responsable de seguridad.
La persona delegada de protección de datos reportará directamente a la Mesa del Parlamento de Galicia.
Las designación para los distintos roles se detallan a continuación:
Todos las personas usuarias de los sistemas de la información del Parlamento de Galicia tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados.Estas obligaciones se mantienen tanto en el período durante el cual se ocupa un puesto, así como posteriormente, o en el caso de rescisión de la cesión o traslado a otro empleo.
Se establecerá un programa de concienciación continua para atender a todos las personas usuarias de los sistemas de la información del Parlamento de Galicia, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que a necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto se es su primera asignación o se se trata de un cambio de puesto de trabajo o de responsabilidades en este.
El manifiesto incumplimiento de la Política de Seguridad de la Información o de la normativa y los procedimientos derivados de ellas, pueden llevar al inicio de medidas disciplinarias adecuadas y, se es el caso, a otras medidas legales de aplicación.
Será misión del Comité Coordinador de Seguridad TIC la revisión anual de esta Política de Seguridad de la Información y a propuesta de revisión o mantenimiento de la misma. La Política será aprobada por la Mesa del Parlamento de Galicia y difundida para que a conozcan todas las partes afectadas.
Será misión del Comité Coordinador de Seguridad TIC la revisión y mantenimiento de las Normas técnicas de Seguridad y Procedimientos Técnicos de Seguridad de la Información. Las Normas y Procedimientos técnicos de Seguridad serán aprobados por el propio Comité Coordinador de Seguridad TIC y difundidos para que a conozcan todas las partes afectadas.
Para facilitar el nivel de privacidad de los documentos del propio sistema de gestión de la seguridad (política, normativa, ...) se establecen 3 niveles de privacidad:
Cualquier información no clasificada se tratará por defecto como pública.
Para su etiquetado, se designará un código en la cabecera del documento para identificar el nivel de exposición: Ref.PUB = Publica, Ref.int = Interna y Ref.CONF = Confidencial.
El Parlamento de Galicia trata datos de carácter personal. El Registro de Actividades de Tratamiento, recogerá los ficheros afectados y los responsables correspondientes, y estará accesible a través del internet en la dirección www.parlamentodegalicia.es, bajo el epígrafe de “Protección de datos”.
Todos los sistemas de información del PG se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el Registro de Actividades de Tratamiento, conforme al establecido por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
La obligación de confidencialidad respecto a los datos de carácter personal se mantienen en el período durante el que se realiza el trabajo, así como posteriormente, en caso de rescisión de la asignación o traslado a otro puesto de trabajo.
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
La persona responsable de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados, que elaborará conjuntamente con la persona responsable de sistema TI y las personas administradoras de la seguridad (sistemas y comunicación), y se la comunicará el Comité Coordinador de la Seguridad TIC.
El Comité Coordinador de Seguridad TIC dinamizará la disponibilidad de recursos para atender las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará la disposición de todos los usuarios de los sistemas de la información de la institución que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
La normativa de seguridad estará disponible en la intranet del Parlamento de Galicia (http://horreo) e impresa en las dependencias del Servicio de Tecnologías de la Información.
Cuando el Parlamento de Galicia preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información y se establecerán canales para reponerte y coordinación de los respectivos Comités de Seguridad TIC y procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando el Parlamento de Galicia utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que incumba a dichos servicios o información. La dicha tercera parte quedará sujeta a las obligaciones establecidas en esa normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reponerte y resolución de incidencias.
Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, por lo menos al mismo nivel que lo establecido en esta Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte segundo se requiere en los párrafos anteriores, se requerirá un informe de la persona Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por las personas responsables de la información y los servicios afectados antes de seguir adelante.
En el ámbito de cooperación entre organismos y otras Administraciones Públicas, para a efectos de intercambiar experiencias y obtener asesoramiento para mejoras las prácticas y controles de seguridad, el PG podrá mantener contactos periódicos con organismos o entidades especializadas en temas de seguridad como pueden ser lo INCIBE, CCN y otros.
Estas normas dejan sin efecto cualquier acuerdo o norma en materia de política de seguridad adoptados por la Mesa del Parlamento de Galicia.
Esta Política si Seguridad de la Información es efectiva desde dicha fecha y hasta que sea sustituida por una nueva Política.