Política de seguridad de la información

Orden de 19 de marzo de 2026, por la que se aprueba la política de seguridad de la información de este Departamento en el ámbito de la administración electrónica y se establecen las directrices específicas por las que se ha de regir la misma (BOC de 30 de marzo de 2026). Texto completo.

ORDEN DE 19 DE MARZO DE 2026, POR LA QUE SE APRUEBA LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE ESTE DEPARTAMENTO EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA Y SE ESTABLECEN LAS DIRECTRICES ESPECÍFICAS POR LAS QUE SE HA DE REGIR LA MISMA.

PREÁMBULO

La Consejería de Agricultura, Ganadería, Pesca y Soberanía Alimentaria (en adelante, departamento) depende de los sistemas de Tecnologías de la Información y las Comunicaciones (en adelante, TIC) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la seguridad de la información tratada o a los servicios prestados y estando siempre protegidos contra las amenazas o los incidentes con potencial para incidir en la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información tratada y los servicios prestados.

La política de seguridad del departamento fue aprobada por Orden de 11 de marzo de 2019 (BOC n.º 57, de 22.3.2019), debiendo ser derogada para dar cabida a una estructura y procedimientos renovados, alineados con los principios de buena regulación y con el marco organizativo vigente. Asimismo, existe la necesidad de que el departamento adapte su marco normativo y organizativo en materia de seguridad de la información a las recientes modificaciones legales, entre otras, a la Ley 4/2023, de 23 de marzo , de la Presidencia y del Gobierno de Canarias, al Real Decreto 311/2022, de 3 de mayo , por el que se regula el Esquema Nacional de Seguridad, y al Reglamento Delegado (UE) n.º 2022/127 de la Comisión, de 7 de diciembre de 2021, que completa el Reglamento (UE) 2021/2116 del Parlamento Europeo y del Consejo, con normas relativas a los organismos pagadores y otros órganos, la gestión financiera, la liquidación de cuentas, las ganancias y el uso del euros, así como a las necesidades organizativas, tecnológicas y de gestión que exigen la protección integral de la información, la continuidad de los servicios, la adecuada gestión de incidentes y la adaptación a la evolución de amenazas TIC.

Para hacer frente a las amenazas e incidentes, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad (en adelante, ENS), regulado en el Real Decreto 311/2022, de 3 de mayo , así como realizar un seguimiento continuo de los niveles de prestación de los servicios, monitorizar y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los ciberincidentes para garantizar la continuidad de los servicios prestados.

Por su parte, la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación, por lo que los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas y en los pliegos de licitación para proyectos de TIC.

El objetivo de la seguridad de la información es asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos y garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria para detectar cualquier incidente y reaccionando con presteza a los incidentes para recuperar los servicios lo antes posible, según lo establecido en los artículos 1.2 y 8 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el ENS, mediante la aplicación de las medidas que se relacionan en la presente Orden.

La Ley 39/2015, de 1 de octubre , del Procedimiento Administrativo Común de las Administraciones Públicas, contempla en su artículo 13, al hablar de los derechos de las personas en sus relaciones con las Administraciones Públicas, el relativo a la protección de datos de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

Por otro lado, el artículo 3.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados que recoge el ENS en su artículo 156.

El marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la administración electrónica de la Administración Pública de la Comunidad Autónoma de Canarias ha sido determinado por Orden de 31 de julio de 2013, de la Consejería de Presidencia, Justicia e Igualdad (BOC n.º 153, de 9.8.2013). En su artículo 2.1 señala que cada organismo incluido en el ámbito de la aplicación de la Orden deberá desarrollar y aprobar el documento de su política seguridad de la información en el ámbito de la administración electrónica, así como, las normas y procedimientos que adecúen, en su caso, el marco común y las directrices básicas en la Administración Pública de la Comunidad Autónoma de Canarias a sus particularidades, y determina que su aprobación se realizará mediante Orden de la persona titular de la consejería correspondiente, que deberá publicarse en el Boletín Oficial de Canarias.

En la tramitación de esta Orden se ha dado cumplimiento a los principios de buena regulación a los que se refiere el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y el artículo 66 de la Ley 4/2023, de 23 de marzo, de la Presidencia y del Gobierno de Canarias. Se han aplicado los principios de necesidad, eficacia y eficiencia, en tanto que con la norma se consigue el objetivo pretendido de dar cumplimiento a la obligación que viene impuesta por la normativa referenciada en materia de seguridad de la información y protección de datos personales, evitando remisiones innecesarias o accesorias, y mediante un instrumento conjunto que resulta el más adecuado para su consecución, abarcando ambas materias dada la íntima conexión entre ellas, con la consecuente racionalización, en su aplicación, de la gestión de los recursos públicos.

Asimismo, se da cumplimiento al principio de proporcionalidad, al no ser una norma restrictiva de derechos y recoger la regulación imprescindible para atender la necesidad a cubrir con ella, al principio de seguridad jurídica, al integrarse de forma coherente en el marco normativo autonómico en la materia, facilitando su conocimiento y comprensión por parte de sus destinatarios, así como al principio de transparencia mediante su publicación en la sede electrónica, en la página web departamental y en el Boletín Oficial de Canarias para general conocimiento, de conformidad con lo previsto en el artículo 131 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Por otro lado, se ha incorporado el enfoque de género en relación con la utilización de un lenguaje no sexista, de conformidad con la Ley Orgánica 3/2007, de 22 de marzo , para la igualdad efectiva de mujeres y hombres, y con la Ley 1/2010, de 26 de febrero , Canaria de Igualdad entre Mujeres y Hombres, en particular, con los artículos 14.11 y 4.10, respectivamente.

En el procedimiento de elaboración de la presente Orden se ha prescindido de los trámites previstos en los apartados 1 y 2 del artículo 133 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, al amparo de lo dispuesto en el apartado 4 del mismo precepto, al tratarse de una norma departamental de carácter organizativo.

La presente Orden se dicta en ejercicio de las competencias autonómicas previstas en los artículos 104 , 106 y 113 de la Ley Orgánica 1/2018, de 5 de noviembre, de reforma del Estatuto de Autonomía de Canarias, con el fin de garantizar el derecho a la privacidad y a la protección de los datos personales, reconocido en el artículo 30 de la citada Ley, en el ámbito de la Consejería de Agricultura, Ganadería, Pesca y Soberanía Alimentaria.

En virtud de lo expuesto, visto el informe de la Dirección General de Transformación Digital de los Servicios Públicos, en el ejercicio de las competencias conferidas por el artículo 2.2 de la Orden de 31 de julio de 2013, de la Consejería de Presidencia, Justicia e Igualdad, que establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración electrónica de la Administración Pública de la Comunidad Autónoma de Canarias, y haciendo uso de las facultades conferidas en los artículos 58.1, letra b), y 76.3 de la Ley 4/2023, de 23 de marzo, de la Presidencia y del Gobierno de Canarias, en relación con lo dispuesto en el artículo 5.1 del Reglamento Orgánico departamental, aprobado por Decreto 212/2024, de 16 de diciembre (BOC n.º 256, de 23.12.2024),

DISPONGO:

Artículo 1.- Objeto y ámbito de aplicación.

1. La presente Orden tiene por objeto aprobar la política de seguridad de la información (en adelante, PSI) de la Consejería de Agricultura, Ganadería, Pesca y Soberanía Alimentaria (en adelante, el departamento), en el ámbito de la administración electrónica y establecer las directrices que han de regir la misma.

2. La PSI definida en la presente Orden será de aplicación por todos los órganos superiores del departamento.

Artículo 2.- Misión del departamento.

La misión del departamento es la propuesta y ejecución de las directrices generales del Gobierno de Canarias y de la gestión de los servicios y competencias en las áreas materiales que le son propias, de conformidad con la normativa de aplicación y específicamente, del Reglamento Orgánico correspondiente.

Artículo 3.- Principios básicos de la PSI.

Sin perjuicio de los principios básicos establecidos en el Esquema Nacional de Seguridad (en adelante, ENS) que son de aplicación directa y obligatoria, y en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE , la PSI del departamento en el ámbito de la administración electrónica, se desarrollará, con carácter general, aplicando los siguientes principios mínimos:

1. Alcance estratégico: la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos del departamento, de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas del departamento para conformar un todo coherente y eficaz.

2. Proporcionalidad: el establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.

3. Seguridad y privacidad desde el diseño y por defecto: los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.

4. Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.

5. Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.

6. Principio de disponibilidad y continuidad: se garantizará un alto nivel de disponibilidad en los sistemas de información y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.

7. Principio de concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad de las Tecnologías de la Información y las Comunicaciones (en adelante, TIC) de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.

Artículo 4.- Objetivos de la seguridad de la información.

Se establecen como objetivos de la seguridad de la información los siguientes:

1. Garantizar a toda la ciudadanía que sus datos serán gestionados de acuerdo a los estándares y buenas prácticas en seguridad de las TIC.

2. Aumentar el nivel de concienciación en materia de seguridad TIC de todos los organismos a los que es de aplicación la presente Orden, garantizando el conocimiento de las obligaciones y responsabilidades del personal a su servicio.

3. La confidencialidad: proteger la información sensible para que solo sea accesible a usuarios, procesos y dispositivos autorizados.

4. La integridad: asegurar que la información sea precisa y confiable protegiendo los datos contra modificaciones no autorizadas, garantizando que cualquier alteración sea registrada y auditada.

5. La disponibilidad: garantizar el acceso oportuno y confiable a la información y los servicios de información.

Artículo 5.- Alcance de la seguridad de la información.

La PSI se aplicará a los sistemas de información del departamento relacionados con el ejercicio de sus competencias y a todas las personas usuarias con acceso autorizado a los mismos, sean o no empleadas públicas y con independencia de la naturaleza de su relación jurídica con el departamento. Todas ellas tienen la obligación de conocer y cumplir esta PSI y su normativa de seguridad derivada, siendo responsabilidad del Comité para la Gestión y Coordinación de Seguridad de la Información disponer los medios necesarios para que la información llegue al personal afectado.

Artículo 6.- Definiciones.

A los efectos previstos en esta Orden, las definiciones, palabras, expresiones y términos han de ser entendidos en el siguiente sentido:

1. Gestión de riesgos: actividades coordinadas para dirigir y controlar el departamento con respecto a los riesgos.

2. Infraestructura tecnológica corporativa: aquellos recursos físicos y lógicos sobre los que se soportan los sistemas de información, los cuales gestiona el órgano superior competente en materia de telecomunicaciones y nuevas tecnologías.

3. Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios al departamento.

4. Sistema de Información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

5. Sistemas de Información corporativos: aquellos sistemas de información cuyo ámbito de aplicación y uso es general y común para toda la Administración Pública de la Comunidad Autónoma de Canarias.

6. Sistemas de Información propios: aquellos sistemas de información cuyo ámbito de aplicación es específico para un área concreta y su gestión pertenece a este departamento.

Artículo 7.- Organización de la seguridad de la información.

La estructura organizativa de la gestión de la seguridad de la información en el ámbito de la administración electrónica del departamento está compuesta por los siguientes agentes:

1. El Comité para la Gestión y Coordinación de la Seguridad de la Información.

2. La persona Responsable de la Información.

3. La persona Responsable de los Servicios Públicos prestados a la Ciudadanía.

4. La persona Responsable de Seguridad de la Información.

5. La persona Responsable del Sistema de Información.

6. La persona Responsable de la Protección de Datos.

7. La persona Administradora de Seguridad (AS).

Artículo 8.- Comité para la Gestión y Coordinación de la Seguridad de la Información.

1. El Comité para la Gestión y Coordinación de la Seguridad de la Información (en adelante, el Comité), se creará como grupo de trabajo en el seno de este departamento.

2. El Comité estará compuesto por:

a) Presidencia: la persona designada como Responsable de Seguridad.

b) Vocalías:

- La persona titular del órgano responsable del Sistema de Información.

- La persona titular del órgano con competencias en materias de sector primario.

- Las personas titulares de las Direcciones Generales de la Consejería.

- Las personas designadas por los departamentos u organismos autónomos con funciones encomendadas en la gestión de ayudas financiadas por el Fondo Europeo Agrícola de Garantía (FEAGA) y por el Fondo Europeo Agrícola de Desarrollo Rural (FEADER), que ostenten como mínimo el rango de Director General.

c) Secretaría: una persona con vínculo funcionarial, adscrita al servicio de informática de la Secretaría General Técnica de este departamento, y que tenga asignada el rol de Administrador de Seguridad (AS), que actuará con voz y sin voto.

3. Asistirá a las sesiones del Comité, con voz pero sin voto, la persona Delegada de Protección de Datos del departamento.

4. El Comité se reunirá con carácter ordinario al menos cuatro (4) veces al año, y con carácter extraordinario a propuesta de su Presidencia. Las reuniones se realizarán en horario de trabajo y, cuando proceda, por videoconferencia. No se percibirán indemnizaciones en concepto de asistencia por concurrencia al Comité.

En caso de ausencia, vacancia o enfermedad y, en general, cuando concurra alguna causa justificada, los miembros titulares del Comité serán sustituidos por quien designe la Presidencia.

5. El Comité podrá recabar del personal técnico interno la información o asesoramiento pertinente para el ejercicio de sus funciones. En caso necesario este personal podrá ser convocado por el Comité para su asistencia a las reuniones, en calidad de personal asesor, con voz pero sin voto.

Artículo 9.- Responsable de la Información.

1. Es la persona que establece las necesidades de seguridad de la información que se maneja y efectúa las valoraciones del impacto que tendría un incidente que afectara a su seguridad.

2. Esta responsabilidad recaerá en las personas titulares de los centros directivos.

3. Serán funciones de las personas Responsables de la Información:

a) Establecer y elevar para su aprobación al Comité los requisitos de seguridad aplicables a la información (niveles de seguridad de la información), dentro del marco establecido en el Anexo I del Real Decreto 311/2022, de 3 de mayo , por el que se regula el Esquema Nacional de Seguridad, pudiendo recabar una propuesta al Responsable de Seguridad, y teniendo en cuenta la opinión del Responsable del Sistema.

b) Aceptar los niveles de riesgo residual que afectan a la información.

c) Poner en comunicación de la persona Responsable de Seguridad cualquier variación respecto a la información de los que es responsable, especialmente la incorporación de nueva información a su cargo, el cual dará traslado de dichos cambios al Comité en su siguiente reunión.

Artículo 10.- Responsable de los Servicios Públicos Prestados a la Ciudadanía.

1. Es la persona que determina los requisitos de seguridad de los servicios prestados.

2. Esta responsabilidad recaerá en las personas titulares de las jefaturas de los servicios de los distintos centros directivos.

3. Serán funciones de las personas Responsables de los Servicios:

a) Determinación de los niveles de seguridad requeridos en cada dimensión.

b) Dictaminar respecto a los derechos de acceso a los servicios.

c) Aceptar los niveles de riesgo residual que afectan a los servicios.

d) Poner en comunicación de la persona Responsable de Seguridad cualquier variación respecto a los servicios de los que es responsable, especialmente la incorporación de nuevos servicios a su cargo.

Artículo 11.- Responsable de la Seguridad de la Información.

1. Es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

2. Esta responsabilidad recaerá en la persona titular del departamento.

3. Serán funciones de la persona Responsable de la Seguridad de la Información:

a) Mantener y verificar el nivel adecuado de seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.

b) Promover la formación y concienciación en materia de seguridad de la información.

c) Designar personas responsables de la ejecución del análisis de riesgos, de la Declaración de Aplicabilidad, identificar medidas de seguridad, determinar las configuraciones necesarias, elaborar documentación del sistema.

d) La determinación de la Categoría del Sistema, en colaboración con la persona Responsable del Sistema y/o Comité.

Artículo 12.- Responsable del Sistema de Información.

1. Es la persona que establece las necesidades de seguridad de la información que se maneja y efectúa las valoraciones del impacto que tendría un incidente que afectara a su seguridad. Conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD ), serán responsables del tratamiento los órganos que determinen los fines y medios del tratamiento de datos personales.

2. Esta responsabilidad recaerá en la persona titular de la Secretaría General Técnica del departamento.

3. Serán funciones de la persona Responsable del Sistema de Información:

a) Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, elaborando los procedimientos operativos necesarios.

b) Definir la topología y la gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.

c) Detener el acceso a información o prestación de servicio si tiene el conocimiento de que estos presentan deficiencias graves de seguridad.

d) Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.

e) Proporcionar asesoramiento para la determinación de la Categoría del Sistema, en colaboración con la persona Responsable de Seguridad y/o Comité de Seguridad de la Información.

f) Participar en la elaboración e implantación de los planes de mejora de la seguridad y llegado el caso en los planes de continuidad.

g) Llevar a cabo, en su caso, las funciones de la persona administradora de la seguridad del sistema:

1) La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad.

2) La gestión de las autorizaciones concedidas a las personas usuarias del sistema, en particular los privilegios concedidos, incluyendo la monitorización de la actividad desarrollada en el sistema y su correspondencia con lo autorizado.

3) Aprobar los cambios en la configuración vigente del Sistema de Información.

4) Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.

5) Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de Información.

6) Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.

7) Monitorizar el estado de seguridad proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica.

8) Informar a la persona Responsable de Seguridad de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.

9) Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.

4. Cuando la complejidad del sistema lo justifique, la persona Responsable del Sistema podrá designar a las personas responsables de sistema delegadas que considere necesarias, que tendrán dependencia funcional directa de ella y serán responsables en su ámbito de todas aquellas acciones que les delegue la misma. De igual modo, también podrá delegar en otras personas funciones concretas de las responsabilidades que se le atribuyen.

Artículo 13.- Responsable de la Protección de Datos (persona Delegada).

1. La persona Delegada de Protección de Datos asumirá, esencialmente, la función de asesorar y supervisar las actividades de tratamiento de los datos de carácter personal de las personas Responsables del tratamiento, que ejercerán sus responsabilidades de acuerdo con los principios establecidos, indicando su independencia en el ejercicio de dichas funciones.

2. Estas responsabilidades recaerán en la persona nombrada como Delegada de Protección de Datos en el departamento.

3. La persona Delegada de Protección de Datos ejercerá, de manera independiente, las siguientes funciones:

a) Las definidas en el RGPD y en la Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales.

b) Informar y asesorar al departamento y a las personas usuarias que se ocupen del tratamiento de las obligaciones que les incumben en virtud de la normativa vigente en materia de protección de datos.

c) Supervisar el cumplimiento de lo dispuesto en normativa de seguridad y de las políticas internas del departamento en materia de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

d) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisará su aplicación.

e) Cooperar con la Agencia Española de Protección de Datos cuando esta lo requiera, actuando como punto de contacto con esta para cuestiones relativas al tratamiento de datos.

Artículo 14.- Administrador de Seguridad (AS).

1. Es la persona que asumirá la función de implementación y el mantenimiento de las medidas de seguridad de los sistemas de información.

2. Estas responsabilidades recaerán en la persona titular del Servicio de Informática del departamento.

3. Serán funciones de la persona Administradora de Seguridad (AS):

a) La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.

b) La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del sistema de información.

c) La gestión de las autorizaciones y privilegios concedidos a las personas usuarias del sistema, incluyendo la monitorización de que la actividad desarrollada en el sistema se ajusta a lo autorizado.

d) La aplicación de los Procedimientos Operativos de Seguridad.

e) Asegurar que los controles de seguridad establecidos son adecuadamente observados.

f) Asegurar que son aplicados los procedimientos aprobados para manejar el sistema de información.

g) Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.

h) Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en

el sistema.

i) Informar a la persona Responsable de la Seguridad de la Información o a la Responsable

de los Sistemas de Información de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.

j) Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.

Artículo 15.- Datos personales.

1. El departamento solo recogerá y tratará datos personales cuando sean adecuados, pertinentes y no excesivos y estos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de protección de datos.

2. El departamento publicará en la sede electrónica su política de privacidad.

3. En lo que se refiere a las operaciones de tratamiento de datos de carácter personal, estarán referenciadas en el correspondiente registro de las actividades de tratamiento donde se harán constar tanto las actividades afectadas como las personas responsables correspondientes, así como la información requerida conforme a la normativa vigente en materia de protección datos.

Artículo 16.- Formación y concienciación.

1. Todo el personal del departamento comprendido dentro del ámbito del ENS atenderá a una o varias sesiones de concienciación en materia de seguridad y protección de datos, al menos una (1) vez al año.

Se establecerá un programa de concienciación continua para atender a todo el personal, en particular al de nueva incorporación.

2. Las personas con responsabilidad en el uso, operación o administración de sistemas de información recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria para el personal que realice tareas de administración de sistemas de información antes de asumir dichas tareas, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

Artículo 17.- Obligaciones del personal.

1. Todo el personal que preste servicios en este departamento tiene la obligación de conocer y cumplir la PSI y la normativa de seguridad derivada, siendo responsabilidad del Comité disponer los medios necesarios para que la información llegue a los afectados.

2. Todo el personal que se incorpore al departamento, o vaya a tener acceso a algunos de sus sistemas de información o a la información gestionada por este, deberá ser informado de la PSI.

Artículo 18.- Gestión de riesgos.

1. Todos los sistemas afectados por la presente PSI están sujetos a un análisis de riesgos con el objetivo de evaluar las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

a) Al menos una vez al año.

b) Cuando cambien la información y/o los servicios manejados de manera significativa.

c) Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves.

d) Cuando se produzcan modificaciones en el análisis de riesgos de protección de datos o en las evaluaciones de impacto.

2. La persona Responsable de la Seguridad será la encargada de que se realice el análisis de riesgos, así como de identificar carencias y debilidades y ponerlas en conocimiento del Comité.

3. El Comité dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal y se tendrán en cuenta los riesgos en protección de datos, contando con la opinión del Delegado de Protección de Datos, además se coordinarán los planes del tratamiento del riesgo.

4. El proceso de gestión de riesgos comprenderá las siguientes fases:

a) Categorización de los sistemas.

b) Identificación de los riesgos.

c) Análisis de riesgos.

d) Evaluación de riesgos.

e) Tratamiento del riesgo: el Comité procederá a la selección de medidas de seguridad a aplicar que deberán de ser proporcionales a los riesgos y estar justificadas.

5. Cuando un sistema de información trate datos personales, además de lo previsto en los apartados anteriores, el centro directivo responsable del tratamiento realizará un análisis de riesgos conforme a lo previsto en el Reglamento General de Protección de Datos , y respecto a los supuestos allí previstos, una evaluación de impacto en la protección de datos.

Todos los sistemas de información del departamento se ajustarán a los niveles de seguridad requeridos por la normativa de protección de datos personales. En caso de conflicto de esta con la normativa de seguridad, prevalecerá la norma que presente un mayor nivel de exigencia respecto a la protección de datos personales. Igualmente, prevalecerán las medidas a implantar como consecuencia del análisis de riesgos y, en su caso, de la evaluación de impacto previstos en este apartado, en caso de resultar agravadas respecto de las previstas en virtud de los apartados anteriores.

Artículo 19.- Notificación de incidentes.

De conformidad con lo dispuesto en el artículo 33 del Real Decreto 311/2022, de 3 de mayo, el departamento notificará al Centro Criptológico Nacional aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados en relación con la categorización de sistemas recogida en el Anexo I de dicho cuerpo legal.

Artículo 20.- Desarrollo de la PSI.

1. La presente PSI se desarrollará en tres niveles, que se corresponden con los que se identifican a continuación, según el ámbito de aplicación y nivel de detalle técnico, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior será complementada por medio de diversa normativa y recomendaciones de seguridad (normativas y procedimientos de seguridad, procedimientos técnicos de seguridad, informes, registros y evidencias electrónicas):

a) Primer nivel: constituido por la presente PSI, la normativa interna del uso de los medios electrónicos y las directrices generales de seguridad aplicables a los organismos o unidades del departamento a los que sea de aplicación dichos documentos.

b) Segundo nivel: constituido por las normas de seguridad derivadas de las anteriores.

c) Tercer nivel: constituido por procedimientos, guías e instrucciones técnicas. Son documentos que, cumpliendo con lo expuesto en la política de seguridad de la información, determinan las acciones o tareas a realizar en el desempeño de un proceso.

2. Corresponde al Comité la revisión anual y el mantenimiento de la PSI, proponiendo en caso de que sea necesario mejoras a la misma.

3. La normativa de seguridad, y muy especialmente la PSI y la normativa interna del uso de los medios electrónicos, será conocida y estará a disposición de todas las personas miembros del departamento, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones. Estará disponible para su consulta en la intranet, en soporte papel; esta documentación será custodiada por el Servicio de Informática.

Artículo 21.- Terceras partes.

1. Cuando el departamento preste servicios a otros organismos o maneje información de estos, se les hará partícipe de esta PSI. Se establecerán canales para el reporte y la coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

2. En el caso de que el departamento utilice servicios de terceros o ceda información a terceros, se les hará participe de esta PSI y de la normativa de seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta PSI.

3. Cuando algún aspecto de esta PSI no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe de la persona Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por las personas responsables de la información y los servicios afectados antes de seguir adelante.

Artículo 22.- Mejora continua.

1. Al objeto de adecuar la PSI a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública de la Comunidad Autónoma de Canaria, se establece un proceso de mejora permanente que comportará, entre otras acciones:

a) Revisión de la PSI.

b) Revisión de los servicios e información y su categorización.

c) Ejecución con periodicidad anual del análisis de riesgos.

d) Realización de auditorías internas o, cuando procedan, externas.

e) Revisión de las medidas de seguridad.

f) Revisión y actualización de las normas y procedimientos.

2. Cuando del proceso de mejora resulten cambios que supongan modificaciones sustanciales del contenido de la presente Orden, se procederá a su modificación aplicando el mismo procedimiento que se siguió para su aprobación.

Artículo 23.- Auditoría.

1. Los sistemas de información propios de este departamento serán objeto, al menos cada dos (2) años, de una auditoría regular ordinaria interna o externa que verifique el cumplimiento de los requerimientos del ENS. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas.

2. Los informes de auditoría quedarán a disposición del Comité.

Artículo 24.- Resolución de conflictos.

1. En caso de conflicto entre las diferentes personas responsables que componen la estructura organizativa de la PSI, este será resuelto por el superior jerárquico de los mismos. En su defecto, será resuelto por la persona titular del departamento previo informe del Comité.

2. En caso de conflicto entre las personas responsables que componen la estructura organizativa de la PSI y los definidos en seguimiento de la normativa de protección de datos de carácter personal, prevalecerá la decisión que determine la persona responsable del tratamiento que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.

Disposición adicional primera.- Financiación de medidas de cumplimiento de políticas de seguridad.

La aplicación de las previsiones contenidas en esta Orden no supondrá incremento del gasto público. Por tanto, los órganos y entidades afectadas deberán desarrollar las medidas derivadas de su cumplimiento ateniéndose a sus disponibilidades presupuestarias ordinarias, no dando lugar, en ningún caso, a planteamientos de necesidades adicionales de financiación.

Disposición adicional segunda.- Facultad para dictar instrucciones de interpretación y aplicación.

Se faculta a la persona titular de la Secretaría General Técnica de este departamento para dictar las instrucciones que sean necesarias para la correcta interpretación y aplicación de la presente Orden.

Disposición adicional tercera.- Marco normativo.

La presente Orden se entenderá sin perjuicio de lo dispuesto en la normativa nacional o europea en materia de protección de datos personales y aquella que tenga por objeto establecer la política de seguridad en la utilización de medios electrónicos de las Administraciones Públicas o cualesquiera otras disposiciones legales que resulten de aplicación.

Disposición derogatoria única.- Derogación normativa.

1. Quedan derogadas las normas de igual o inferior rango en lo que contradigan o se opongan a lo dispuesto en la presente Orden.

2. Específicamente, queda derogada la Orden de 11 de marzo de 2019, de la Consejería de Agricultura, Ganadería, Pesca y Aguas, por la que se aprueba la política de seguridad de la información del Departamento y se establecen las directrices específicas por las que se ha de regir la misma (BOC n.º 57, de 22.3.2019).

Disposición final única.- Entrada en vigor.

La presente Orden entrará en vigor a los veinte (20) días de su publicación en el Boletín Oficial de Canarias.