Política de seguridad de la información de la Agencia Tributaria

Resolución de 26 de diciembre de 2024, de la Presidenta, por la que se aprueba la política de seguridad de la información de la Agencia Tributaria Canaria (BOC de 17 de enero de 2025). Texto completo.

RESOLUCIÓN DE 26 DE DICIEMBRE DE 2024, DE LA PRESIDENTA, POR LA QUE SE APRUEBA LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA AGENCIA TRIBUTARIA CANARIA.

La implantación de las Tecnologías de la Información y de las Comunicaciones (en adelante TIC) en las diferentes Administraciones Públicas y su continua evolución ha facilitado el avance y la mejora de la calidad de los servicios públicos ofrecidos al ciudadano, promoviendo la eficacia y eficiencia en la gestión de dichos servicios.

En la Agencia Tributaria Canaria (en adelante ATC), en particular, ha supuesto para los interesados un ahorro de costes económicos y de tiempo en sus relaciones tributarias, contribuyendo a su vez a la mejora continua de los resultados de la ATC y del valor entregado a la sociedad en cumplimiento de sus objetivos.

Sin embargo, este avance tecnológico y la implementación de las medidas que han permitido aprovechar dichos avances, obliga a que las TIC deban estar protegidas de manera integral contra las diferentes amenazas a las que se encuentran constantemente sometidas, con la finalidad de garantizar la seguridad de la información, permitiendo que dicha información sea íntegra, se encuentre siempre disponible y a su vez se garantice la confidencialidad a la que dicha información se encuentra sometida.

Estas medidas de protección en las TIC que deben poseer en todas las Administraciones Públicas han venido a ser actualizadas por medio del Real Decreto 311/2022, de 3 de mayo , por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS), donde se establecen los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada, en función de los servicios prestados por las distintas Administraciones.

En el artículo 12 del citado Real Decreto se establece que cada Administración Pública, órgano o entidad con personalidad jurídica propia comprendida en su ámbito de aplicación deberá contar con una política de seguridad formalmente aprobada por el órgano competente.

Por su parte, el artículo 5 del Estatuto de la ATC, aprobado por Decreto 125/2014, de 18 de diciembre , establece los principios y estrategias de actuación y organización de la Agencia. Entre las líneas estratégicas, el citado artículo 5 establece que se ha de prestar especial atención a la eficiencia y responsabilidad en la gestión de la información con trascendencia tributaria, dotándose la Agencia de la infraestructura tecnológica y de los procedimientos que garanticen la seguridad y confidencialidad de los datos.

Mediante Resolución de 22 de diciembre de 2021, del Presidente, se aprueba la Política de Seguridad de la Información y se crea el Comité de Seguridad de la Información de la ATC.

Como quiera que la redacción de dicha política es conforme a la anterior versión del ENS, es preciso actualizar la misma para cumplir los preceptos del vigente ENS.

Mediante la presente PSI, la Agencia establece un marco de gestión de la seguridad de la información según lo establecido por el ENS, reconociendo como activos estratégicos la información que maneja, los servicios que presta y los sistemas TIC que soportan aquella y hacen posible estos.

Por todo lo anteriormente expuesto,

RESUELVO:

Primero.- Aprobar la Política de Seguridad de la Información de la Agencia Tributaria Canaria que se incorpora como anexo de la presente Resolución.

Segundo.- Incorporar como miembro de pleno derecho del Comité de Seguridad de la Información de la Agencia Tributaria Canaria al Delegado de Protección de Datos.

Tercero.- La aplicación de las previsiones contenidas en esta Resolución no supondrá incremento del gasto público. Por tanto, los órganos y entidades afectadas deberán desarrollar las medidas derivadas de su cumplimiento ateniéndose a sus disponibilidades presupuestarias ordinarias, no dando lugar, en ningún caso, a planteamientos de necesidades adicionales de financiación.

Cuarto.- La presente Resolución entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de Canarias.

ANEXO

1.- Marco normativo.

El marco normativo para el desarrollo de la gestión de los servicios y competencias de la Agencia Tributaria Canaria es el siguiente:

a) Ley 7/2014, de 30 de julio , de la Agencia Tributaria Canaria, por el que se crea este ente de derecho público con personalidad jurídica y patrimonio propio adscrito a la Consejería competente en materia tributaria.

b) Decreto 125/2014, de 18 de diciembre , por el que se aprueba el Estatuto de la Agencia Tributaria Canaria, que establece los principios y estrategias de actuación y organización de la Agencia Tributaria Canaria.

c) Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias.

d) Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.

e) Acuerdo del Gobierno de Canarias de 25 de junio de 2018, que aprueban las instrucciones que conforman la normativa de seguridad en el uso de los recursos informáticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias.

f) Real Decreto 311/2022, de 3 de mayo , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración pública.

g) Real Decreto 4/2010, de 8 de enero , por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

h) Ley 39/2015, de 1 de octubre , del Procedimiento Administrativo Común de las Administraciones Públicas.

i) Ley 40/2015, de 1 de octubre , de Régimen Jurídico del Sector Público.

j) Real Decreto 203/2021, de 30 de marzo , por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

k) Reglamento General de Protección de Datos , Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

l) Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales.

m) Instrucciones Técnicas de Seguridad en desarrollo del ENS.

2.- Objeto y ámbito de aplicación.

1. El presente documento tiene por objeto establecer la Política de Seguridad de la Información (en adelante, PSI) de la ATC en el ámbito de la Administración Electrónica.

2. La PSI será de aplicación a todos los sistemas de información y a todas las actividades de tratamiento de datos personales de los que sean responsables los distintos órganos de la ATC.

3. La PSI será de obligado cumplimiento para toda la organización de la ATC, así como para todo su personal con acceso a la información de la que sean responsable.

4. Asimismo, será aplicable a aquellas personas físicas, jurídicas y entes sin personalidad que, no perteneciendo a su organización, tengan acceso a sus sistemas de información o a la información gestionada por ellos.

3.- Alcance.

Esta PSI se aplicará a los sistemas de información de la ATC, y a todos los usuarios con acceso autorizado a los mismos, sean o no empleados públicos y con independencia de la naturaleza de su relación jurídica. Todos ellos tienen la obligación de conocer y cumplir esta política y la normativa de seguridad que de ella se derive, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue al personal afectado.

4.- Misión de la Agencia.

1. La Ley 7/2014, de 30 de julio , de la Agencia Tributaria Canaria, crea este ente de derecho público con personalidad jurídica y patrimonio propio adscrito a la consejería competente en materia tributaria, como nuevo instrumento de organización administrativa responsable, en nombre y por cuenta de la Comunidad Autónoma de Canarias, de la aplicación efectiva del sistema tributario canario, y de aquellos recursos de otras administraciones y entidades que se le atribuyan por ley o por convenio.

2. La Agencia tiene como misión hacer efectivo el deber de todos de contribuir al sostenimiento de los gastos públicos de la Comunidad Autónoma de Canarias de acuerdo con su capacidad económica mediante el sistema tributario canario.

5.- Principios de la PSI.

1. Sin perjuicio de los principios básicos establecidos en el ENS, la PSI se desarrollará, con carácter general, de acuerdo con los siguientes principios determinados en la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias, modificada por la Orden de 15 de diciembre de 2016:

a) Principio de alcance estratégico: la seguridad de la información contará con el compromiso y apoyo de todos los niveles directivos de la ATC, de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas para conformar un todo coherente y eficaz.

b) Principio de seguridad integral: la seguridad se concebirá y desarrollará como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas TIC, procurándose evitar cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información se considerará como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas TIC.

c) Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.

d) Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de esta, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.

e) Principio de disponibilidad y continuidad: se garantizará un alto nivel de disponibilidad en los sistemas de información y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.

f) Principio de gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los sistemas de información. El análisis y gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad.

g) Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los sistemas de información deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos.

h) Principio de concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad TIC de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.

i) Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC.

j) Principio de mejora continua: se revisará el grado de eficacia de los controles de seguridad TIC implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública de la Comunidad Autónoma de Canarias.

k) Principio de seguridad TIC en el ciclo de vida de los sistemas de información: las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control. Los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto

l) Principio de función diferenciada: la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

6.- Definiciones.

1. Los términos, palabras, expresiones y las definiciones contenidas en la presente PSI han de ser entendidas en el siguiente sentido:

a) Gestión de riesgos: actividades coordinadas para dirigir y controlar los riesgos dentro de la organización.

b) Infraestructura tecnológica: aquellos recursos físicos y lógicos sobre los que se soportan los sistemas de información.

c) Infraestructura tecnológica corporativa: aquellos recursos físicos y lógicos sobre los que se soportan los sistemas de información.

d) Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.

e) Sistema de Información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

f) Sistemas de Información corporativos: aquellos sistemas de información cuyo ámbito de aplicación y uso es general y común para toda la Administración Pública de la Comunidad Autónoma de Canarias.

g) Sistemas de Información propios: aquellos sistemas de información cuyo ámbito de aplicación es específico para un área concreta y su gestión pertenece a este organismo.

h) Datos personales: toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

i) Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

7.- Organización de seguridad.

1. La estructura organizativa de la gestión de la seguridad de la información en el ámbito de la Administración Electrónica de la ATC es la siguiente:

a) El Comité de Seguridad de la Información.

b) Las personas responsables de la información.

c) Las personas responsables de los servicios.

d) La persona responsable de seguridad de la información.

e) Las personas responsables de los sistemas.

f) Oficina de Seguridad de la Información.

7.1. Comité de Seguridad de la Información.

1. El Comité de Seguridad de la Información se crea como un órgano colegiado en el seno de la Agencia Tributaria Canaria.

2. El Comité de Seguridad de la Información tendrá la siguiente composición:

a) Presidencia: la Dirección de la Agencia.

b) Vocalías:

• La persona titular de la Secretaría General de la Agencia u órgano equivalente.

• Las personas titulares de las distintas subdirecciones y órganos asimilados de la Agencia.

• La persona titular de la dependencia de estudios, estrategias e inspección de los servicios.

• La persona u órgano designado como Delegado o Delegada de Protección de Datos.

• Los funcionarios de la Agencia que designe la persona titular de la Dirección.

c) Secretaría: la persona designada por la Presidencia como Responsable de Seguridad de la Información, que actuará con voz y voto.

3. El Comité de Seguridad de la Información coordinará todas las actividades relacionadas con la seguridad de los sistemas de información y ejercerá, como mínimo, las siguientes funciones:

a) Elaborar los borradores de modificación y actualización de la PSI.

b) Analizar los riesgos e impulsar su evaluación.

c) Impulsar la actualización de los criterios y directrices sobre seguridad de la información.

d) Impulsar medidas para mejorar y reforzar los sistemas de seguridad y control.

e) Impulsar el cumplimiento y difusión de la PSI, promoviendo las actividades de concienciación y formación en materia de seguridad para el personal de la Agencia.

f) Elaborar los borradores de directrices y normas de seguridad generales dentro del ámbito de aplicación de la PSI.

g) Elaborar la normativa de seguridad de segundo nivel, que, según el desarrollo normativo descrito en la presente PSI, se corresponde con las políticas específicas de seguridad y con las Normas de Seguridad TIC (en adelante, Normas STIC), de obligado cumplimiento.

h) Coordinar las decisiones y actuaciones de los diferentes Responsables de Seguridad, asesorando la resolución de los posibles conflictos entre los mismos bajo el criterio de garantizar la seguridad de las infraestructuras tecnológicas compartidas.

i) Impulsar los proyectos para la adecuación al cumplimiento del ENS.

j) Compartir experiencias de éxito en materia de seguridad entre sus miembros para velar por el cumplimiento de la PSI y su normativa de desarrollo.

k) Formular la priorización de las actuaciones en materia de seguridad de la información cuando los recursos sean limitados.

4. El Comité de Seguridad de la Información ajustará su funcionamiento a las previsiones contenidas en la Sección 3.ª del Capítulo II, artículos 15 y siguientes, de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

5. El Comité de Seguridad de la Información se deberá reunir con carácter ordinario al menos una vez al año, y con carácter extraordinario cuando lo decida su Presidencia. Las reuniones se realizarán en horario de trabajo y, cuando proceda, por videoconferencia. No se percibirán indemnizaciones en concepto de asistencia por concurrencia al Comité.

6. El Comité de Seguridad de la Información podrá recabar de personal técnico la información o asesoramiento pertinente para el ejercicio de sus funciones. En caso necesario este personal podrá ser convocado por el Comité para su asistencia a las reuniones, en calidad de asesores, con voz pero sin voto.

7. Podrá acordarse la constitución de subgrupos de trabajo para el análisis, elaboración y ejecución de trabajos o actividades específicas, dentro del ámbito de sus funciones.

7.2. Responsables de la Información.

1. Conforme al ENS, el Responsable de la Información es la persona que establece las necesidades de seguridad de la información tratada y efectúa las valoraciones del impacto, con el apoyo del área competente en seguridad, que tendría un incidente que afectara a su seguridad. Tiene, además, en exclusiva, la potestad de modificar el nivel de seguridad requerido para la misma (Anexo II.5.7.2 del ENS).

2. Esta responsabilidad recaerá en el titular de la Subdirección de la que dependa el órgano administrativo que gestione cada procedimiento o trámite.

3. Son funciones de cada Responsable de Información, dentro de su ámbito de actuación, las siguientes:

a) Determinar y aprobar los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información, con el apoyo del área competente en seguridad. Para ello podrá recabar la propuesta del Responsable de Seguridad y considerar la opinión del Responsable del Sistema.

Esta valoración se realizará conforme al marco establecido en el artículo 40 y los criterios generales prescritos en el Anexo I del ENS.

b) Son los responsables, junto a los Responsables de los Servicios, de aceptar los riesgos residuales calculados en el análisis de riesgos y de realizar su seguimiento y control.

7.3. Responsables de los Servicios.

1. Conforme al ENS el Responsable de los Servicios es la persona que determina los requisitos de seguridad de los servicios prestados.

2. Esta responsabilidad recaerá en el titular del órgano administrativo que gestione cada servicio.

3. Son funciones de cada Responsable de los Servicios, dentro de su ámbito de actuación, las siguientes:

a) Determinar y aprobar los niveles de seguridad del servicio tratado, valorando los impactos de los incidentes que afecten a la seguridad del servicio con el apoyo del área competente en seguridad. Para ello podrá recabar la propuesta del Responsable de Seguridad y considerar la opinión del Responsable del Sistema.

Esta valoración se realizará conforme al marco establecido en el artículo 40 y los criterios generales prescritos en el Anexo I del ENS.

b) Son los responsables, junto a los Responsables de la Información, de aceptar los riesgos residuales calculados en el análisis de riesgos y de realizar su seguimiento y control.

7.4. Responsable de Seguridad de la Información.

1. Conforme al ENS, el Responsable de Seguridad de la Información es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

2. Esta responsabilidad recaerá en la persona que designe la Dirección de la ATC y no podrá recaer en la persona Responsable del Sistema.

3. Sus funciones son las siguientes:

a) Promover la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.

b) Proponer la normativa de seguridad de segundo nivel, que, según el desarrollo normativo de la PSI descrito en el presente documento, se corresponde con las políticas específicas de seguridad y con las normas STIC, de obligado cumplimiento.

c) Aprobar la normativa de seguridad de tercer nivel, que se corresponde a los procesos, procedimientos STIC e instrucciones técnicas STIC.

d) Procurar que la documentación de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a la misma.

e) Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad.

f) Impulsar, coordinar y hacer seguimiento de la implantación de los proyectos de adecuación al ENS.

g) Impulsar la elaboración del preceptivo análisis de riesgos anual, elevando al Comité de Seguridad de la Información informe de resultados del mismo.

h) Seleccionar las salvaguardas a implantar y revisar el proceso de gestión del riesgo, elevando un informe anual al Comité de Seguridad de la Información.

i) Coordinar el proceso de Gestión de la Seguridad.

j) Determinar la categoría del sistema y realizar sus reevaluaciones, según el procedimiento descrito en el Anexo I del ENS.

k) Aprobar la Declaración de Aplicabilidad, que comprende la relación de medidas de seguridad seleccionadas para el sistema (artículo 28 y Anexo II.2 del ENS).

l) Verificar que las medidas de seguridad son adecuadas para la protección de la información y los servicios.

m) Promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información y analizar los informes de auditoría, elaborando las conclusiones a presentar a los Responsables del Servicio y los Responsables de la Información para que adopten las medidas correctoras adecuadas.

n) Gestionar el proceso de certificación en el ENS.

ñ) Realizar el seguimiento, con el soporte de la oficina técnica de seguridad, del estado de seguridad de los sistemas proporcionado por las herramientas de monitorización, gestión de eventos de seguridad y otros posibles mecanismos de vigilancia implementados en el sistema.

o) Diseñar los planes de respuesta ante incidentes de seguridad.

p) Dirigir, coordinar y apoyar, a través de con el soporte de la oficina técnica de seguridad, la investigación de posibles incidentes de seguridad e informar de los mismos al Comité de Seguridad de la Información o al que este determine.

q) Elaborar informes periódicos de seguridad que incluyan los incidentes más relevantes de cada periodo.

r) Supervisar a los proveedores en los que se han externalizado servicios, en base a los informes facilitados por estos.

s) Coordinar y, en su caso, elaborar informes sobre métricas e indicadores relacionados con la seguridad.

4. Cuando la complejidad, distribución, separación física de sus elementos o número de usuarios de los sistemas de información lo justifiquen, cada Responsable de Seguridad de la Información podrá designar los responsables de seguridad delegados que considere necesarios, que tendrán dependencia funcional directa de aquel y serán responsables en su ámbito de todas aquellas acciones que les delegue el mismo.

5. Para el ejercicio de sus funciones podrá contar con el asesoramiento y apoyo del Comité de Seguridad de la Información, así como de la unidad administrativa responsable de los servicios tecnologías de la información y comunicaciones del departamento.

7.5. Responsables de los Sistemas.

1. Esta responsabilidad recaerá en los titulares de los órganos responsables del desarrollo, mantenimiento y explotación del sistema de información que soporte los servicios correspondientes.

2. Las funciones de los Responsables del Sistema serán las siguientes:

a) Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, así como aprobar los cambios que pudieran afectar a la seguridad del sistema.

b) Implantar las medidas necesarias para garantizar la seguridad del sistema durante todo su ciclo de vida, siguiendo las indicaciones del Responsable de Seguridad de la Información.

c) Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.

d) Suspender el manejo de una determinada información o la prestación de un servicio electrónico si es informado de deficiencias graves de seguridad, previo acuerdo con el responsable de dicha información o servicio y con el Responsable de Seguridad de la Información.

3. Las funciones citadas en el punto anterior podrán recaer en diferentes personas, en el caso de que las competencias sobre los diferentes activos que componen el sistema (aplicaciones, redes, etc.) o las diferentes fases del ciclo de vida del sistema recaigan sobre órganos distintos.

7.6. Oficina de Seguridad de la Información.

1. La Oficina de Seguridad de la Información se crea como equipo de apoyo al Responsable de Seguridad de la Información para el cumplimiento de sus funciones en lo correspondiente a seguridad de la información.

2. La Oficina de Seguridad de la Información estará conformada por los siguientes miembros:

a) La persona designada como Responsable de Seguridad de la Información como Director de la Oficina de Seguridad de la Información.

b) La persona o personas designadas como Administrador Especialista en Seguridad.

c) La persona o personas designadas como Operador de Seguridad de la Información.

3. Sus funciones son las siguientes:

a) Órgano de trabajo de apoyo en la labor del Responsable de la Seguridad de la Información.

b) Gestión operativa del plan de implantación de seguridad, explotación y mantenimiento.

c) Análisis y gestión de las cuestiones relacionadas con la seguridad de los sistemas de información dentro de su ámbito de competencia.

d) Redacción y presentación de propuestas al Comité de Seguridad de la Información.

e) Cualquier otra tarea que le sea encomendada por el Responsable de Seguridad de la Información en el ámbito de la seguridad de la información.

4. Para el ejercicio de sus atribuciones la Oficina podrá contar con la asistencia interna o externa que considere oportuno para el cumplimiento de sus funciones.

7.6.1. Administrador Especialista en Seguridad.

1. La administración de la seguridad recaerá en la persona que designe la Dirección de la ATC a propuesta del Responsable de Seguridad de la Información.

2. Si a raíz de la complejidad del sistema se precisa personal adicional para llevar a cabo las funciones de administración, se podrá designar diferentes especialistas en seguridad.

3. Sus funciones más significativas son las siguientes:

a) La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.

b) La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del sistema de información.

c) La gestión de las autorizaciones y privilegios concedidos a los usuarios del sistema, incluyendo la monitorización de que la actividad desarrollada en el sistema se ajusta a lo autorizado.

d) La aplicación de los procedimientos operativos de seguridad.

e) Asegurar que los controles de seguridad establecidos son adecuadamente observados.

f) Asegurar que son aplicados los procedimientos aprobados para manejar el sistema de información.

g) Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.

h) Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.

i) Informar al Responsable de la Seguridad de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.

j) Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución, análisis y gestión de las lecciones aprendidas.

7.6.2. Operador de Seguridad de la Información.

1. Bajo la responsabilidad y dirección del Responsable de Seguridad de la Información como Director de la Oficina de Seguridad, el Operador de Seguridad de la Información presta servicios de ciberseguridad, desarrollando la capacidad de vigilancia y detección de amenazas en la operación diaria de los sistemas de información, especialmente los que manejan información más sensible, a la vez que mejora la capacidad de respuesta del sistema ante cualquier ataque.

2. En función de las necesidades, el Operador de Seguridad de la Información puede ser interno o estar externalizado, en cuyo caso actuará remotamente a través de canales establecidos en coordinación con el Responsable de Seguridad de la Información.

3. Si a raíz de la complejidad del sistema se precisa personal adicional para llevar a cabo las funciones de operador, se podrá designar diferentes operadores en seguridad.

4. Sus funciones más significativas son las siguientes:

a) Vigilar y monitorizar la seguridad de los sistemas y de los dispositivos de defensa, ya sea mediante interfaces previstas o instalando las correspondientes sondas.

b) Análisis y correlación de eventos de seguridad y registros de actividad de los sistemas.

c) Operación y actualización de los dispositivos de defensa.

d) Podrá constituir un Equipo de Respuesta a Incidentes de Seguridad.

e) Servicio de Alerta Temprana de alertas de seguridad en las redes corporativas y en las conexiones a Internet de los sistemas.

f) Gestión de vulnerabilidades (análisis y determinación de las acciones de subsanación y parcheado) de aplicaciones y servicios.

g) Análisis forense digital y de seguridad.

h) Servicio de cibervigilancia que posibilite la prospectiva sobre la ciberamenaza.

7.7. Resolución de conflictos.

1. En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de una PSI, este será resuelto por el superior jerárquico de los mismos. En su defecto, será resuelto por la Dirección de la Agencia, oído el Comité de Seguridad de la Información.

2. En caso de conflictos entre los responsables que componen la estructura organizativa de una PSI y los definidos en seguimiento de la normativa de protección de datos de carácter personal, prevalecerá la decisión que determine el responsable del fichero que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.

8. Obligaciones del personal.

1. Todo el personal que presta servicios en la Agencia tiene la obligación de conocer, cumplir y hacer cumplir esta PSI y la normativa de seguridad derivada, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.

2. Todo el personal que se incorpore a uno de dichos organismos o vaya a tener acceso a alguno de sus sistemas de información o la información gestionada por ellos deberá ser informado de la PSI.

3. Todo el personal, tanto interno como externo, que utilice o tenga acceso a la información y/o a los sistemas tecnológicos o de información de la ATC, tendrá las siguientes obligaciones:

a) Atender a las acciones de concienciación en materia de seguridad de la información que se realicen.

b) Utilizar los servicios y sistemas de información, así como la información en ellos contenida y a la que tengan acceso, con una finalidad profesional acorde a las tareas encomendadas en función de su puesto de trabajo y a los fines y propósitos que motivaron la concesión del acceso.

c) Velar por la confidencialidad de la información a la que tenga acceso según la clasificación y características de la misma.

d) Notificar eventos que puedan suponer una brecha de seguridad o evidencien una debilidad que pueda implicar posteriores brechas.

e) Colaborar en la resolución de brechas de seguridad y en la realización de acciones preventivas cuando sea necesaria su participación.

f) Participar en la estructura de gestión de la seguridad de la información cuando corresponda según las competencias y funciones de su puesto de trabajo.

g) No realizar acciones intencionadas o negligentes que puedan perjudicar la seguridad de los sistemas tecnológicos o la información que contienen.

4. Asimismo, queda bajo la responsabilidad de los usuarios hacer un uso proporcional, adecuado y justificado de los medios puestos a su disposición para el desarrollo de sus funciones. Cualquier uso indebido, podrá tener consecuencias disciplinarias, de acuerdo con el régimen sancionador aplicable en cada caso, sin perjuicio de otras responsabilidades en que se pudiera incurrir.

9. Gestión de riesgos.

1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de información, conforme a los principios de gestión de la seguridad basada en los riesgos y revaluación periódica.

2. La persona Responsable de Seguridad de la Información se encargará de impulsar los preceptivos análisis de riesgos, y de seleccionar las salvaguardas a implantar.

3. Las personas Responsables de la Información y de los Servicios son responsables de los riesgos sobre la información y sobre los servicios, respectivamente, y por tanto de aceptar los riesgos residuales calculados en el análisis y de realizar su seguimiento y control.

4. El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse cada año por parte de la persona Responsable de Seguridad de la Información, que elevará un informe al Comité de Seguridad de la Información.

10. Desarrollo normativo.

1. El marco normativo sobre seguridad de la información será de obligado cumplimiento y se desarrollará en tres niveles según el ámbito de aplicación y nivel de detalle técnico, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior.

Dichos niveles de desarrollo normativo son los siguientes:

a) Primer nivel normativo: la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información de la Administración Pública de la Comunidad Autónoma de Canarias, o norma que la sustituya; la presente PSI; y directrices y normas de seguridad generales dentro del ámbito de aplicación de la presente PSI.

b) Segundo nivel normativo: Políticas Específicas de Seguridad de la Información y Normas de Seguridad TIC. Las Políticas Específicas desarrollan con un mayor grado de detalle la PSI dentro de un ámbito determinado. Las Normas dan respuesta, sin entrar en detalles de implementación ni tecnológicos, a qué se puede hacer y qué no en relación a un cierto tema desde el punto de vista de la seguridad, qué se considera un uso apropiado o inapropiado, y las consecuencias derivadas del incumplimiento, entre otros aspectos.

Los documentos relativos a este segundo nivel normativo los deberá elaborar el Comité de Seguridad de la Información. Serán aprobados, a propuesta de la persona Responsable de Seguridad de la Información, por la Dirección de la Agencia.

c) Tercer nivel normativo: Procesos y Procedimientos STIC e Instrucciones Técnicas STIC. Son documentos que dan respuesta, incluyendo detalles de implementación y tecnológicos, a cómo se puede realizar una determinada tarea respetando los principios de seguridad de la organización, y los procesos internos en ella establecidos.

Los Procesos, Procedimientos STIC serán aprobados por la persona Responsable de Seguridad de la Información.

2. Aparte de los documentos citados en el apartado 1, la documentación de seguridad del sistema podrá contar, bajo criterio de la persona Responsable de Seguridad de la Información, con otros documentos de carácter no vinculante: recomendaciones, buenas prácticas, informes, registros, evidencias electrónicas, entre otros aspectos.

3. La persona Responsable de Seguridad de la Información será responsable de mantener la documentación de seguridad actualizada y organizada, así como de gestionar los mecanismos de acceso a la misma.

4. El Comité de Seguridad de la Información establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo normativo con el propósito de normalizarlo en la medida de lo posible en todo el ámbito de aplicación de la PSI.

5. En toda la normativa y documentación referente a la seguridad de la información que se derive de la aplicación de esta norma se utilizará un lenguaje que evite el uso de formas discriminatorias o androcéntricas, de forma que la terminología empleada esté en armonía con el principio de igualdad de sexos.

11. Protección de datos de carácter personal.

1. En lo que se refiere a los ficheros con datos de carácter personal, estarán referenciados en el correspondiente Documento de Seguridad donde se hará constar tanto los ficheros afectados como los responsables correspondientes.

2. Todos los sistemas de información de la Agencia Tributaria Canaria se ajustarán a los niveles de seguridad requeridos por la normativa de protección de datos de carácter personal.

3. En caso de conflicto con la normativa de seguridad indicada en el punto anterior, prevalecerá la norma que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.

12. Formación y concienciación.

1. La Agencia Tributaria Canaria deberá desarrollar actividades formativas específicas orientadas a la concienciación y formación de su plantilla, así como a la difusión entre esta de la PSI y de su desarrollo normativo.

2. El Comité de Seguridad de la Información y la persona Responsable de Seguridad de la Información se encargarán de promover las actividades de formación y concienciación en materia de seguridad, según lo indicado en la presente PSI.

13. Actualización de la PSI.

Las propuestas de revisión de las PSI las elaborarán los Responsables de Seguridad de la Información con el apoyo del Comité de Seguridad de la Información y serán aprobadas por la Dirección de la Agencia Tributaria Canaria.

14. Auditoría.

1. Los sistemas de información corporativos, al menos cada dos años, de una auditoría regular ordinaria interna o externa que verifique el cumplimiento de los requerimientos del ENS. Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas.

2. Los informes de auditoría quedarán a disposición del Comité de Seguridad de la Información.

15. Relaciones con terceros.

1. Cuando la ATC preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipe de esta PSI. Se establecerán canales para el reporte y la coordinación de los respectivos comités de seguridad de la información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

2. Cuando la ATC utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta PSI y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta PSI.

3. Cuando algún aspecto de esta PSI no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los Responsables de la Información y los Responsables de los Servicios afectados antes de seguir adelante.

16. Mejora continua.

La gestión de la seguridad de la información es un proceso sujeto a permanente actualización. Por ello, y en cumplimiento del principio de mejora continua de esta PSI, se implantará un proceso permanente que comportará, entre otras acciones:

• La revisión de la Política de Seguridad de la Información.

• La revisión de los servicios e información y su categorización.

• La ejecución con periodicidad anual del análisis de riesgos.

• La realización de auditorías internas o, cuando procedan, externas, mínimo cada 2 años, o bien cada vez que haya modificaciones sustanciales en los sistemas de información.

• Revisión de las medidas de seguridad.

• Revisión y actualización de las normas y procedimientos.

Comentarios