III. ADMINISTRACIÓN LOCAL

AYUNTAMIENTO DE ALCORCÓN

ORGANIZACIÓN Y FUNCIONAMIENTO

La Junta de Gobierno Local, en sesión de fecha 15 de octubre de 2024, aprobó el siguiente documento:

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL AYUNTAMIENTO DE ALCORCON

1. Aprobación y entrada en vigor

Texto aprobado el día 15 de octubre de 2024 por la Junta de Gobierno Local.

Esta Política de Seguridad de la Información, es efectiva desde su publicación y hasta que sea reemplazada por una nueva Política.

2. Introducción

El Ayuntamiento de Alcorcón considera que los sistemas de Tecnologías de Información y Comunicaciones (TIC en lo sucesivo) constituyen un elemento estratégico para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad de los servicios así como a la integridad, confidencialidad, trazabilidad y autenticidad de la información tratada en los servicios prestados.

Los sistemas TIC deben estar protegidos contra amenazas en constante evolución que puedan afectar a la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información y los servicios.

Para hacer frente a estas amenazas, se requiere una estrategia que se adapte a los cambios en el entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes con el fin de garantizar la prestación de los servicios municipales.

De este modo, todas las unidades administrativas del Ayuntamiento de Alcorcón tienen presente que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio. Esto incluye las decisiones de desarrollo o adquisición, así como las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en los pliegos de licitación para proyectos de TIC.

Por tanto, para el Ayuntamiento de Alcorcón, el objetivo de la Seguridad de la Información es garantizar la información y la prestación continuada de los servicios. Esto se logra mediante un enfoque preventivo, supervisando la actividad diaria para detectar cualquier incidente y reaccionando con una respuesta ágil a los incidentes para recuperar los servicios lo antes posible, según lo establecido en el ENS, mediante la aplicación de las medidas que se relacionan a continuación.

Prevención, detección, respuesta y conservación.

La seguridad del sistema debe contemplar aspectos de prevención, detección, respuesta y recuperación, de manera que las amenazas existentes no se materialicen, o en caso de materializarse no afecten gravemente a la información que maneja, o los servicios que se prestan.

El Ayuntamiento de Alcorcón debe prevenir, y evitar, en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, el Ayuntamiento debe implementar las medidas mínimas de seguridad determinadas por la normativa de seguridad vigente en materia de seguridad de la información y protección de datos de carácter personal.

Estos controles, así como los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados, en particular:

a) Para garantizar el cumplimiento de la Política de Seguridad de la Información, el Ayuntamiento debe: autorizar los sistemas o los servicios antes de entrar en operación; evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria; y solicitar la revisión periódica del cumplimiento del ENS por parte de terceros.

b) Dado que los sistemas y servicios pueden degradarse rápidamente debido a incidentes, que pueden ir desde una simple desaceleración hasta su detención, el Ayuntamiento debe monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el ENS. En el supuesto de que la degradación sea atribuida a incidentes de seguridad, el Ayuntamiento deberá establecer mecanismos de reporte que lleguen al Responsable de Seguridad de la Información.

c) El Ayuntamiento debe establecer mecanismos para responder eficazmente a los incidentes de seguridad. Con el fin de garantizar la disponibilidad de los servicios críticos, los órganos directivos responsables deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

3. Ámbito de aplicación

Esta Política de Seguridad de la Información será de obligado cumplimiento para todos los órganos superiores y directivos del Ayuntamiento de Alcorcón, así como para todo su personal y para terceros a los que el Ayuntamiento de Alcorcón preste servicios, ceda información, o de los que utilicen servicios o maneje información y se encuentren dentro del alcance del Esquema Nacional de Seguridad (ENS).

Esta política se aplicará a los sistemas de información del Ayuntamiento de Alcorcón relacionados con el ejercicio de sus competencias y a todos los usuarios con acceso autorizado a los mismos, sean o no empleados públicos y con independencia de la naturaleza de su relación jurídica con el Ayuntamiento.

Todos ellos tienen la obligación de conocer y cumplir esta política. Es responsabilidad del Comité de Seguridad TIC disponer de los medios necesarios para que la información llegue al personal afectado.

4. Marco normativo

Según la legislación vigente, las leyes aplicables al Ayuntamiento de Alcorcón en materia de Seguridad de la Información son:

— Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95746/CE.

— Ley orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

— Ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

— Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.

— Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

— Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

— Ley 11/2022, de 28 de junio, General de Telecomunicaciones.

— Ley 56/2007, de 28 de diciembre, de Medidas de Impuso de la Sociedad de la Información.

— Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público.

— Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

— Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

— Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local.

— Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.

— Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

— Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

— Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

— Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS).

— Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la administración electrónica.

— Reglamento Orgánico Municipal del Ayuntamiento de Alcorcón, texto consolidado a 01/01/2014 según las publicaciones del BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID de 29-10-2013, nº257.

— Normas aplicables a la Administración Electrónica del Ayuntamiento de Alcorcón derivadas y de inferior rango que las citadas, comprendidas en el ámbito de aplicación de esta Política de Seguridad de la Información

5. Organización de la seguridad

El Ayuntamiento de Alcorcón teniendo en cuenta lo establecido en el ENS y pautas establecidas en la Guía CCN-STIC 801 “Responsabilidades y Funciones en el ENS”, para organizar la seguridad de la información emprenderá las siguientes acciones:

— Designará roles de seguridad: Responsables de Servicios, Responsables de Información, Responsable de Seguridad de la Información, Responsable de Sistemas y Delegado de Protección de Datos.

— Constituirá un órgano consultivo, ejecutivo y estratégico para la toma de decisiones en materia de Seguridad de la Información. Este órgano se constituirá como un órgano colegiado y se denominará Comité de Seguridad de las Tecnologías de la Información y comunicaciones, en adelante CSTIC.

5.1. Roles y órganos de Seguridad.—En el Ayuntamiento de Alcorcón los roles y órganos de seguridad de la información, serán los siguientes:

— Responsables de los Servicios y Responsables de la Información: Cada uno de los jefes y responsables de los diferentes órganos y unidades administrativas.

— Delegado de Protección de Datos: funcionario o empleado en el Ayuntamiento designado con dicho cargo. En la actualidad ostenta dicho cargo la jefe de servicio de Asesoría Jurídica.

— Responsable de Seguridad de la Información: Técnico de Seguridad del Departamento de Informática.

— Responsable de Sistemas: Técnico Superior de Sistemas del Departamento de Informática.

— Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones (CSTIC):

• Presidente: Alcalde/sa o Concejal en quien delegue.

• Secretario/a: Responsable de Seguridad de la Información.

• Vocales:

– Jefe/a de Sección de Innovación Tecnológica o cargo en quien delegue.

– Jefe/a de Servicio de Régimen Interior o cargo en quien delegue.

– Titular de la Oficina de Junta de Gobierno Local o cargo en quien delegue.

– Responsable de Sistemas.

– Delegado de Protección de Datos.

Los Responsables de los servicios y Responsables de la Información serán convocados por la presidencia en función de los asuntos a tratar.

Todos los miembros del comité tendrán voz y voto.

El Comité se reunirá con carácter ordinario, al menos una vez cada seis meses, pudiéndose reunir de manera extraordinaria, por razones de urgencia y causa justificada, en períodos inferiores.

El Secretario/a del Comité se encargará de convocar las distintas sesiones y levantará actas de las reuniones del CSTIC. A sus sesiones podrán asistir en calidad de asesores las personas que en cada caso estime pertinentes el Comité.

5.2. Responsabilidades de los roles y órganos de seguridad.

5.2.1. Responsables de la Información y los Servicios.—Los Responsables de la Información y los Servicios serán cada uno de los jefes y responsables de los diferentes órganos y unidades administrativas. Serán responsables de la información y los servicios afectados por la presente Política de Seguridad de la Información y tendrán la potestad de establecer los requisitos de la información y del servicio que gestionan en materia de seguridad en su ámbito de aplicación.

Sus responsabilidades son las siguientes:

a) Determinar los niveles de seguridad de la información tratada y de los servicios prestados, y mantener estos niveles actualizados, valorando los posibles impactos de los incidentes que afecten a la seguridad de la información, conforme con lo establecido en el ENS.

b) Realizar, contando con la participación del Responsable de Seguridad, los preceptivos análisis de riesgos, y seleccionar las salvaguardas que se deban implantar.

c) Aceptar los riesgos residuales en función de los resultados obtenidos en el análisis de riesgos.

d) Realizar el seguimiento y control de los riesgos.

e) Suspender, de acuerdo con el Responsable de Seguridad, la prestación de un servicio electrónico o el manejo de una determinada información, si es informado de deficiencias graves de seguridad.

Los Responsables de la Información y los Servicios remitirán al Responsable de Seguridad el resultado de las tareas realizadas en el ámbito de estas responsabilidades, al menos una vez al año o a petición del mismo.

5.2.2. Delegado de Protección de Datos.—Serán funciones del Delegado de Protección de Datos:

a) Informar y asesorar al Ayuntamiento de Alcorcón y a los usuarios que se ocupen del tratamiento y de las obligaciones que les incumben en virtud de la normativa vigente en materia de Protección de Datos.

b) Supervisar el cumplimiento de lo dispuesto en normativa de seguridad y las políticas internas del Ayuntamiento de Alcorcón en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorias correspondientes.

c) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.

Cooperar con la Agencia Española de Protección de Datos cuando ésta lo requiera y actuar como punto de contacto con ésta para cuestiones relativas al tratamiento de datos.

El Delegado de Protección de datos desempeñará sus funciones prestando atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

5.2.3. Responsable de Seguridad de la Información.—Es el Técnico de Seguridad del Departamento de Informática Municipal, que será el encargado de establecer las medidas necesarias para cumplir los requisitos de seguridad establecidos por los Responsables de la información y de los servicios prestados por el sistema.

Teniendo en cuenta la complejidad organizativa y funcional de los medios electrónicos utilizados por el Ayuntamiento de Alcorcón, en ejercicio de la potestad de auto organización de la Administración municipal, el Responsable de Seguridad de la Información podrá asignar diversos cometidos a otras unidades o empleados públicos, por razones técnicas u organizativas. Esta asignación no supondrá en ningún caso una delegación de las competencias que le corresponden.

Sus responsabilidades y, en su caso, de las unidades o empleados especializados, son las siguientes:

a) Mantener y verificar el nivel adecuado de seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.

b) Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.

c) Elaborar y proponer para aprobación del CSTIC las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionales, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten al Ayuntamiento y sus servicios.

d) Desarrollar las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo auditorías periódicas de seguridad.

e) Elaborar el documento de Declaración de Aplicabilidad.

f) Ejecutar el análisis de riesgos, identificar medidas de seguridad, determinar configuraciones necesarias y elaborar la documentación de seguridad.

g) Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.

h) Constituirse como punto de contacto con los Responsables de información y servicios y el Responsable de Sistemas, así como para la coordinación con la Comisión de Seguridad TIC.

i) Realizar el seguimiento y control del estado de seguridad de los sistemas de información, verificando que las medidas de seguridad son adecuadas a través del análisis de riesgos.

j) Notificar a la Comisión de Seguridad TIC y sin dilación indebida, los incidentes que tengan efectos perturbadores en la prestación de los servicios.

k) Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución.

l) Facilitar los informes periódicos de seguridad para el CSTIC, que incluirán los incidentes más relevantes de cada período.

m) Proponer a los Responsables de la Información y los Servicios la parada de los servicios si se aprecian deficiencias graves de seguridad.

5.2.4. Responsable de Sistemas.—Es el Técnico Superior de Sistemas del Departamento de Informática, quien, dada la complejidad y especificidad técnica de algunos sistemas, podrá asignar diversos cometidos a otras unidades o empleados públicos, que funcionarán como Administradores del Sistema o especializar funciones por razones técnicas u organizativas.

Sus responsabilidades y, en su caso, de las unidades o empleados especializados, son las siguientes:

a) Desarrollar, operar y mantener los Sistemas de Información durante todo su ciclo de vida, atendiendo a sus especificaciones, instalación y verificación de su correcto funcionamiento.

b) Definir la topología y sistema de gestión de los Sistemas de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.

c) Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.

d) Paralizar o dar suspensión al acceso a la información o prestación de servicio si tiene el conocimiento de que estos presentan deficiencias graves de seguridad.

e) Proporcionar asesoramiento para la determinación de la Categoría del Sistema, en colaboración con el Responsable de Seguridad y/o CSTIC

f) Participar en la elaboración e implantación de los planes de mejora de la seguridad y llegado el caso en los planes de continuidad.

g) Llevar a cabo las funciones del administrador de la seguridad del sistema:

— Gestionar, configurar y actualizar, en su caso, el hardware y software en los que se basan los mecanismos y servicios de seguridad del Sistema de Información.

— Gestionar las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de que la actividad desarrollada en el sistema se ajusta a lo autorizado.

— Aprobar los cambios en la configuración vigente del Sistema de Información.

— Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.

— Asegurar que son aplicados los procedimientos aprobados para manejar el sistema de información.

— Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.

— Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica que deberán ser implementados en el sistema.

— Informar al Responsable de la Seguridad de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.

— Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.

Cuando la complejidad del sistema lo justifique, el Responsable del Sistema podrá designar los responsables de sistema delegados que considere necesarios, que tendrán dependencia funcional directa de aquel y serán responsables en su ámbito de todas aquellas acciones que les delegue el mismo. De igual modo, también podrá delegar en otro/s funciones concretas de las responsabilidades que se le atribuyen.

5.2.5. Comité de Seguridad TIC del Ayuntamiento de Alcorcón (CSTIC).—El Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones, en adelante CSTIC, coordina la seguridad de la información en el Ayuntamiento de Alcorcón y reportará a la Junta de Gobierno Local.

Serán funciones del CSTIC:

a) Aprobar y coordinar las propuestas de los Responsables de Información y Servicios sobre los niveles de seguridad de la información y de los servicios y asumir las funciones de los Responsables de Información y Servicios en las actuaciones en que se considere necesario.

b) Atender las inquietudes, en materia de Seguridad de la Información, de las diferentes áreas informando regularmente del estado de la Seguridad de la Información a la Dirección.

c) Asesorar en materia de Seguridad de la Información, siempre y cuando le sea requerido.

d) Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes departamentos, elevando aquellos casos en los que no tenga suficiente autoridad para decidir

e) Informar regularmente del estado de la Seguridad de la Información a la autoridad.

f) Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información. Para ello se encargará de:

— Elaborar la estrategia de evolución del Ayuntamiento de Alcorcón en lo que respecta a Seguridad de la Información.

— Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.

— Velar porque la Seguridad de la Información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.

— Realizar un seguimiento de los principales riesgos residuales asumidos por la Administración y recomendar posibles actuaciones respecto a ellos.

— Realizar un seguimiento de la gestión de los incidentes de seguridad y recomendar posibles actuaciones respecto a ellos.

— Elaborar, y revisar regularmente, la Política de Seguridad de la Información.

— Elaborar y promover, para su aprobación, la normativa de seguridad de la información.

— Verificar los procedimientos de seguridad de la información y demás documentación para su aprobación.

— Elaborar programas de formación destinados a formar y sensibilizar al personal en materia de seguridad de la información.

— Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.

— Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.

— Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.

5.3. Procedimientos de designación.—La creación del CSTIC, el nombramiento de sus integrantes y la designación de los responsables identificados en esta política, se realizará por la Junta de Gobierno Local.

Los miembros del CSTIC desempeñarán sus funciones por razón del cargo o puesto correspondiente; serán sustituidos por las autoridades o funcionarios a los que, en el futuro, el órgano municipal competente pueda nombrar o atribuir el desempeño de estas funciones.

El CSTIC, a propuesta del Responsable del Sistema, nombrará a los Administradores de Seguridad. Estos asistirán al Comité cuando sean convocados y podrán sustituir igualmente al Responsable de Seguridad de la Información y al Responsable del Sistema, en los supuestos de ausencia, vacante o enfermedad de sus titulares.

El nombramiento de todos los cargos se revisará cada cuatro años o cuando el puesto quede vacante.

5.4. Resolución de conflictos.—En caso de conflicto entre los diferentes Responsables de información o de servicio que componen la estructura organizativa de la Política de Seguridad de la Información, éste será resuelto por el superior jerárquico de los mismos con la mediación del Responsable de Seguridad de la Información, elevándose para su resolución al CSTIC en caso de no llegar a un acuerdo.

6. Estructura de la Política de Seguridad.

La Política de Seguridad de la Información es de obligado cumplimiento y se estructura en los siguientes niveles relacionados jerárquicamente:

1. Primer nivel: Política de Seguridad de la Información.

2. Segundo nivel: Instrucciones y Normativas de Seguridad de la Información.

3. Tercer nivel: Procedimientos de Seguridad de la Información.

La estructura jerárquica permite adaptar con eficiencia los niveles inferiores a los cambios en los entornos operativos del Ayuntamiento de Alcorcón, sin necesidad de revisar su estrategia de seguridad.

La Política, las Instrucciones, Normativas y los Procedimientos de Seguridad de la información estarán disponibles en la Intranet del Ayuntamiento de Alcorcón.

6.1. Primer nivel: Política de Seguridad de la Información.—Constituye el primer nivel la Política de Seguridad de la Información.

6.2. Segundo nivel: Instrucciones de Seguridad de la Información.—El segundo nivel desarrolla la Política de Seguridad de la Información mediante una normativa general e instrucciones específicas que abarcan un área o aspecto determinado de la seguridad de la información.

Las Instrucciones/Normativas de Seguridad de la Información serán aprobadas por el titular del Área de Gobierno competente en materia de tecnologías de la información y comunicaciones municipales a propuesta del CSTIC del Ayuntamiento de Alcorcón.

6.3. Tercer nivel: Procedimientos de Seguridad de la Información.—El tercer nivel está constituido por directrices de carácter técnico o procedimental que se deben observar en tareas o actividades relacionadas con la seguridad de la información y la protección de la información y de los servicios, y que serán aprobados por el Responsable de Seguridad de la Información o por los Responsables de la Información o los de los Servicios, según su ámbito de competencia.

Dependiendo del aspecto tratado, se aplicarán a un ámbito específico o a un sistema determinado.

7. Protección de Datos de Carácter Personal.

Cuando un sistema de información trate datos personales le será de aplicación lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, o, en su caso, la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, el resto de normativa de aplicación, así como los criterios que se establezcan por la Agencia Española de Protección de Datos o en su ámbito competencial, por las autoridades autonómicas de protección de datos, sin perjuicio de los requisitos establecidos en el presente real decreto.

En estos supuestos, el responsable o el encargado del tratamiento, asesorado por el delegado de protección de datos, realizarán un análisis de riesgos conforme al artículo 24 del Reglamento General de Protección de Datos y, en los supuestos de su artículo 35, una evaluación de impacto en la protección de datos.

8. Gestión de Riesgos.

Se deberá realizar un análisis de riesgos de los sistemas sujetos a esta Política deberán, evaluando las amenazas y los riesgos a los que está expuesto el Ayuntamiento de Alcorcón.

Al menos una vez al año se evaluará la necesidad de la repetición de dicho análisis y se repetirá dicho análisis:

a) Cuando cambie la información manejada.

b) Cuando se modifiquen o amplíen los servicios prestados.

c) Cuando concurra un incidente de seguridad que ocasione un perjuicio grave de seguridad, de acuerdo a lo establecido en el Anexo I ENS.

d) Cuando se reporten vulnerabilidades que pudieran ocasionar perjuicios graves, entendiéndose como tal lo especificado en el Anexo I del ENS.

e) En aquellos casos en los que el CSTIC estime necesario.

El Responsable de Seguridad de la Información será el encargado de que se realice el análisis de riesgos, así como de identificar carencias y debilidades y ponerlas en conocimiento del CSTIC.

El CSTIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

El proceso de gestión de riesgos se realizará según lo dispuesto en el ENS y siguiendo las normas, instrucciones y guías CCN-STIC.

La gestión de riesgos quedará documentada en el informe de Análisis y Gestión de Riesgos.

9. Obligaciones del personal.

Todo el personal del Ayuntamiento de Alcorcón tiene la obligación de conocer y cumplir esta Política de Seguridad de la Información, todas las instrucciones, normativas y procedimientos de la Información que puedan afectar a sus funciones, siendo responsabilidad del CSTIC disponer los medios necesarios para que la información llegue a los afectados.

10. Concienciación y Formación.

Las personas con responsabilidad en el uso, operación y administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para el desempeño de su trabajo.

11. Terceras partes.

Cuando el Ayuntamiento de Alcorcón utilice servicios, maneje información o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios de información, para lo cual se establecerán canales para informar y coordinarse con los respetivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los Responsables de la Información y de los Servicios afectados antes de seguir adelante.

12. Desarrollo de la Política de Seguridad de la Información.

Esta Política de Seguridad de la Información complementa otras políticas relacionadas con la seguridad del Ayuntamiento de Alcorcón y en materia de protección de datos de carácter personal.

Corresponde a la Junta de Gobierno Local la aprobación de las políticas.

Corresponde al CSTIC, su revisión y mantenimiento, proponiendo, en caso de que sea necesario mejoras a la misma, siendo además este órgano él responsable de la aprobación de los restantes documentos, y de su difusión.

Esta Política se desarrollará por medio de la Normativa de Seguridad que afronta aspectos específicos.

La Normativa de Seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

13. Revisión de la Política de Seguridad de la Información.

Será misión del CSTIC la revisión anual de esta Política de Seguridad de la Información y la propuesta de modificación o mantenimiento de la misma. La Política será aprobada por la Junta de Gobierno Local y difundida para que la conozcan todas las partes afectadas.

Durante la revisión se realizará una actualización del marco regulatorio que afecte a la presente Política de Seguridad.

Lo que se hace público en cumplimiento de lo dispuesto en la normativa vigente.

En Alcorcón, a 25 de noviembre de 2024.—El titular de la Oficina de Apoyo a la Junta de Gobierno Local, Emilio Antonio Larrosa Hergueta.

(03/19.372/24)