III. ADMINISTRACIÓN LOCAL

AYUNTAMIENTO DE SAN AGUSTÍN DEL GUADALIX

ORGANIZACIÓN Y FUNCIONAMIENTO

Se hace público el acuerdo definitivo de aprobación del Documento de Política de Seguridad de la Información de este Ayuntamiento, que fue adoptado por la Corporación Municipal en Pleno en sesión celebrada el día 19 de diciembre de 2019, que ha resultado definitivo al no haberse presentado reclamaciones contra dicho acuerdo a partir de publicación de anuncio en el Tablón de este Ayuntamiento y BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID número 7/2020, de 9 de enero de 2020.

De conformidad con lo dispuesto en el artículo 52 de la Ley 7/1985, de 2 de abril, reguladora de las Bases de Régimen Local, contra el presente acuerdo los interesados podrán interponer recurso contencioso-administrativo en la forma y plazos que establece la Ley 29/1998, Reguladora de dicha Jurisdicción.

1. Introducción

1.1. Objeto del documento:

El Ayuntamiento de San Agustín del Guadalix considera los recursos humanos, la información, las tecnologías y los recursos materiales que los soportan como activos fundamentales, motivo por el que garantizar su seguridad se considera un bien esencial.

Por ello, se propone establecer un marco de gestión de la seguridad de la información según lo establecido por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, en adelante ENS, en el ámbito de la administración electrónica, reconociendo, así como activos estratégicos la información y los sistemas que la soportan. El marco de gestión de seguridad de la información abarca igualmente la protección de datos de carácter personal y tiene en cuenta lo dispuesto en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, en adelante RGPD, así como lo contemplado en la legislación de carácter nacional en dicha materia.

Mediante la aprobación de esta Política, el pleno manifiesta su determinación y compromiso en alcanzar un nivel de seguridad adecuado que garantice la protección de los activos del Ayuntamiento y Ciudadanía de forma homogénea.

Los objetivos de seguridad para el Ayuntamiento son los siguientes:

— Hacer patente el compromiso del Ayuntamiento con la seguridad de la información.

— Definir, desarrollar y poner en funcionamiento los controles técnicos, legales y de gestión necesarios para garantizar el cumplimiento, en todo momento, de los niveles de riesgo aprobados para el Ayuntamiento.

— Asegurar el acceso, integridad, confidencialidad, disponibilidad, autenticidad, trazabilidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

— Cumplir en todo momento la legislación vigente en materia de protección de datos y sociedad de la información, así como cualquier otra que afecte a la seguridad de los activos del Ayuntamiento.

— Crear “cultura de seguridad”, tanto internamente, a todo el personal, como externamente a los ciudadanos y proveedores.

— Tratar la seguridad de la información como un proceso de mejora continua que logre unos controles de seguridad cada vez más optimizados.

1.2. Alcance y ámbito de aplicación:

La seguridad ha de entenderse como un concepto integral que tiene por finalidad preservar sus activos y proteger sus intereses y objetivos estratégicos: (1) infraestructura y activos de red, (2) tecnologías de la información y (3) productos y servicios; garantizando, por una parte, su integridad y sustrayéndolos, por otra, a potenciales acciones que pudieran dañar su valor, mermar su eficacia o afectar a su operatividad. De igual forma, la seguridad ha de contribuir a preservar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticación de los datos de los ciudadanos en el marco de la Política de Privacidad.

La seguridad integral engloba, por lo demás, no solo la seguridad física y operativa (de personas y bienes) sino también la seguridad de la información, la ciberseguridad, la seguridad de las tecnologías de la información, la seguridad de la red, la continuidad del negocio, la prevención del fraude, así como cualquier otro ámbito o función relevante cuyo objetivo sea la protección institucional frente a potenciales daños, sean cuales fueren, o eventuales pérdidas.

Por tanto, esta Política será de aplicación y de obligado cumplimiento para todos los Departamentos Municipales del Ayuntamiento de San Agustín del Guadalix, sus Organismos Autónomos y Agencias Públicas, Sociedades Mercantiles con mayoría de capital social municipal y demás entes que decida la Junta de Gobierno Local o el Pleno; a sus recursos y a los procesos afectados por el ENS, RGPD y LOPDGDD, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.

1.3. Vigencia, distribución y revisiones:

La presente Política entrará en vigor una vez aprobada formalmente en pleno, y en la fecha en la cual se publique el mismo, derogando, lo anteriormente vigente.

La Política se revisará anualmente y siempre que se produzcan cambios significativos que lo requieran.

Corresponde al Responsable de Seguridad ejercitar las facultades de interpretación que fueran menester.

Este documento deberá revisarse en función de los cambios organizativos, operativos o legales que se produzcan en cada momento, con el fin de mantener su pertinencia, suficiencia y eficacia.

En tal caso, las revisiones se comunicarán y publicarán en la intranet del Ayuntamiento.

2. Marco normativo y legal

Supone un marco de referencia para tratar de forma segura los activos del Ayuntamiento. Actividad que requiere el desarrollo de un conjunto de herramientas que ayude a lograr los objetivos de seguridad definidos.

Estas herramientas consisten en controles de gestión (documentos de manuales, planes de acción, políticas, procedimientos, instrucciones de trabajo y registros, interrelacionados todos ellos entre sí), controles técnicos (implantación de dispositivos) y controles legales (cumplimientos legislativos).

Como parte de esta Política o Estrategia, se ha generado documentación que hace referencia a Normativas y Procedimientos que aplican a las distintas áreas de Seguridad de la Información. Dicha documentación es distribuida por los canales adecuados y en base a la necesidad del conocimiento, a todas las partes interesadas.

El Marco Normativo de Seguridad, que se adaptará a la Normativa de elaboración y organización regulará, entre otras, las siguientes materias:

— La organización funcional del área de seguridad del Ayuntamiento.

— Los límites de competencia inherente a la misma.

— Las disposiciones generales, principios de actuación y postulados que habrán de regular su funcionamiento.

— Los objetivos perseguidos y las metas que debieran ser alcanzadas.

— Los criterios, requisitos, procedimientos y tecnologías de seguridad que habrán de tomarse en consideración, y que deberán ser objeto de aplicación en cada una de las plataformas y entornos del Ayuntamiento con la finalidad en todo caso de asegurar que la tecnología pueda ser utilizada en un entorno de “confianza”.

— Los controles de seguridad que deberán ser implementados, supervisados, revisados y mejorados para la consecución de los objetivos y metas reseñados; el principio de proporcionalidad entre los recursos que exijan los controles de seguridad y los eventuales daños que se puedan derivar de su ausencia o insuficiencia será uno de los postulados fundamentales del citado Marco Normativo de Seguridad.

Normativa española e internacional de referencia:

Se toma como referencia, sin carácter exhaustivo, la siguiente legislación:

— Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local.

— Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

— Ley 33/2003, de 3 de noviembre, del Patrimonio de las Administraciones Públicas.

— Ley 59/2003, de 19 de diciembre, de firma electrónica.

— Real Decreto 2/2004, de 5 de marzo, por el que se aprueba el texto refundido de la Ley Reguladora de las Haciendas Locales.

— Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

— Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

— Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

— Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

— Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

— Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

— Ley 27/2013, de 27 de diciembre, de Racionalización y Sostenibilidad de la Administración Local.

— Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

— Real Decreto 8/2014, de 4 de julio, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia.

— Ley 18/2014, de 15 de octubre, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia.

— Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

— Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

— Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

— Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

— Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

— Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.

3. Directrices de la política

El Ayuntamiento considera que la consecución de los objetivos se encuentra sujeta al cumplimiento de diversos requerimientos encaminados a garantizar la Seguridad de la Información dentro del Ayuntamiento. De esta manera, se considera que la Seguridad de la Información debe ser una prioridad para nuestro organismo y para ello, la presente Política o Estrategia establece las siguientes directrices:

— La información que el Ayuntamiento es propietario y/o depositario debe ser únicamente accesible para las personas debidamente autorizadas, pertenezcan o no a dicho Ayuntamiento.

— La presente Política o Estrategia de Seguridad, así como el resto de Cuerpo Normativo de Seguridad (reglamentos, procedimientos, guías, etc.) debe ser accesible para todos los empleados del Ayuntamiento, así como por el personal ajeno al mismo que se relaciona con éste a través de alguno de sus procesos.

— El Ayuntamiento debe cumplir con todos aquellos requerimientos legales, regulatorios y estatuarios que le sean de aplicación, así como los requerimientos contractuales.

— La confidencialidad de la información debe garantizarse en todo momento.

— La integridad de la información debe asegurarse a través de todos los procesos que la gestionan, procesan y almacenan.

— La disponibilidad de la información debe garantizarse mediante las adecuadas medidas de respaldo y continuidad del negocio.

— Todo el personal con responsabilidades en materia de seguridad de la información debe disponer de la adecuada formación y concienciación.

— Todo incidente o debilidad que pueda comprometer o haya comprometido la confidencialidad, integridad y/o disponibilidad de la información debe ser registrado y analizado para aplicar las correspondientes medidas correctivas y/o preventivas.

En caso de que la información comprometida contuviera datos de carácter personal, será necesario comunicar la brecha de seguridad al Delegado de Protección de Datos de la Administración Municipal, quien valorará la existencia de impacto en la protección de datos personales y en caso afirmativo, realizará un análisis de impacto en privacidad en relación con la brecha que permitirá tomar la decisión de notificar o no la misma a la AEPD y, en su caso, de comunicarla a los interesados (“Procedimiento de Notificación de Brechas de Seguridad”).

— Todos los contratos y/o acuerdos formalizados con empresas colaboradoras que impliquen un acceso a cualquier activo, conocimiento o información del Ayuntamiento debe incluir cláusulas relativas a la propiedad intelectual del Ayuntamiento, la confidencialidad, los requisitos de seguridad exigibles por imperativos legales o de negocio y las cláusulas necesarias en materia de privacidad y protección de datos de carácter personal.

— Todo el personal del Ayuntamiento, debe participar en procesos periódicos de formación para garantizar el cumplimiento de las Directrices y Responsabilidades recogidas en el presente documento.

— El acceso físico a los recursos a través de los cuales es mantenida y tratada la información, así como a cualquier edificio propiedad del Ayuntamiento, debe contar con las oportunas medidas de control y salvaguarda que limiten accesos indebidos o no autorizados.

— Para la consecución de los objetivos de esta Política o Estrategia, el Ayuntamiento establece una estrategia de análisis y tratamientos relativos a la seguridad y se define el nivel de riesgo aceptado por el organismo en materia de seguridad.

4. Organización de seguridad

El Responsable de Seguridad de la Información es el representante máximo del organismo de seguridad en el Ayuntamiento.

La misión del Responsable de Seguridad es la protección eficaz y eficiente de los activos del Ayuntamiento, y estará orientada en todo caso a velar por la viabilidad de sus servicios para la ciudadanía.

El Responsable de Seguridad es el encargado de impulsar la organización de seguridad definida en la presente Política.

A efectos de coordinación, existirá un Comité de Seguridad presidido por el responsable de Seguridad, en el que participarán los responsables de las concejalías que se consideren necesarias en cada momento.

Sin perjuicio de lo anterior, todo empleado del Ayuntamiento es responsable de la seguridad dentro de su ámbito funcional y orgánico de desempeño, mediante un uso correcto de los mismos, siempre de acuerdo con sus atribuciones profesionales y académicas, de forma tal que existe una corresponsabilidad compartida entre todos los empleados y la Organización de Seguridad.

Teniendo en cuenta al Comité de Seguridad como la figura que centraliza la gestión de la Seguridad de la Información, es necesario indicar específicamente sus funciones principales, dotadas por la Dirección:

El Comité de Seguridad es el máximo órgano de gestión de la seguridad dentro del ente público, por lo que debe asegurar entre otras la implantación de las normativas y procedimientos del Sistema de Gestión de la Seguridad de la Información (SGSI) dentro del organismo mediante el compromiso y la asignación de recursos adecuados y debe tener una serie de roles y funciones asignados.

El siguiente organigrama funcional muestra la composición del Comité de Seguridad, así como algunas de las diferentes responsabilidades y funciones que en materia de Seguridad de la Información se han creado dentro del Ayuntamiento.

A continuación, se describen las funciones de cada uno de estos roles:

A. Comité de Seguridad:

— Composición:

• Presidente del Comité: Será el Alcalde o Alcaldesa, quien, en caso de urgencia o extrema necesidad, podrá delegar en otro miembro del Comité la presidencia del mismo.

Será el responsable de aprobar las instrucciones de servicio y circulares que permita el cumplimiento de los Esquemas Nacionales de Seguridad e Interoperabilidad, en el ámbito de la organización municipal.

• Responsable de Seguridad de la Información: concejal de Nuevas Tecnologías o, en su defecto, la persona física (interna o externa a la administración) o jurídica apta para el puesto, que se contrate para desarrollar las funciones que este documento especifica.

Este cargo será el equivalente al “Responsable de Seguridad” enunciado en el Esquema Nacional de Seguridad (RD 3/2010). Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios usados en el Ayuntamiento de San Agustín del Guadalix. Además, tendrá la potestad de determinar los niveles de seguridad de la información.

Tiene voto decisorio en caso de empate.

• Vocales permanentes:

– Responsable de Sistemas. Será la persona física, interna o externa, o la representante de persona jurídica, encargada del mantenimiento de equipos y web.

– Responsable de Protección de Datos. Será aquella persona, física o jurídica, nombrada como Delegado de Protección de Datos por Decreto de Alcaldía, siguiendo los procedimientos administrativos que correspondan en el caso de contratación externa.

Participan en sesiones de comité con voz y voto:

• Vocales itinerantes:

– Responsable de Gestión de Personas: Concejal del Área o el auxiliar responsable de control de Personas.

– Responsable de Comunicación: Concejal del Área o el Auxiliar responsable de comunicación o contenidos web.

– Responsable de Seguridad Ciudadana: Concejal del Área o el Jefe de la Policía Local.

– Podrán acudir cualesquiera otros responsables departamentales según las necesidades o los grupos afectados por una brecha de seguridad.

Participan según necesidad en temas relacionados con comunicación interna/externa, tratamientos de datos personales de ciudadanos/RRHH, formación, seguridad, etc. Tienen voz y voto en las sesiones que participen y son convocados por el presidente o del Responsable de seguridad, previo requerimiento y motivación de uno de los vocales permanentes.

• Secretario: Será el habilitado nacional asignado a la Administración municipal la persona que deberá ocupar este puesto. Será la persona encargada de la convocatoria de reuniones, redacción de actas del comité y su distribución. Las actas son archivadas en el repositorio del Sistema de Gestión de la Seguridad de la Información.

En el caso de baja, vacaciones o cualquier otra causa justificada que impida su asistencia, podrá ser sustituido por el Vicesecretario o el Secretario en funciones.

• Asesores del comité:

Instruyen al consejo y su presidente en lo referente a la gestión del SGSI, asesoran sobre cuestiones de su conocimiento y realizarán un seguimiento de las cuestiones sobre las que deban asesorar. Se deberá presentar una solicitud de asistencia por parte del Presidente del Comité o por el Responsable de Seguridad, motivando la asistencia de dichos asesores.

En el caso de tratarse de temas legales, siempre y cuando exceda de las competencias del Secretario municipal, podrá realizar dichas tareas aquella persona, física o jurídica, que tenga encargadas tareas de consultoría jurídica por parte del Ayuntamiento.

En situaciones puntuales, siempre y cuando el personal técnico municipal no pueda realizar dichas tareas, serán las personas, físicas o jurídicas, contratadas por el Ayuntamiento para el caso concreto.

Contarán con voz, pero sin voto.

— Funcionamiento:

1. Reuniones:

El Comité de Seguridad se reunirá al menos con una periodicidad semestral para aprobar la gestión de la seguridad realizada en el año corriente y establecer las estrategias que en este ámbito han de desarrollarse en el año entrante.

El Comité de Seguridad podrá reunirse además por uno de los siguientes motivos:

• A petición de uno de los vocales y con la aprobación de su presidente.

• A petición de 1/3 de los vocales.

• En el supuesto de ocurrencia de una incidencia grave a iniciativa del responsable de seguridad.

• Otros motivos recogidos en los procedimientos de seguridad del Ayuntamiento.

2. Constitución:

El Comité de Seguridad quedará constituido formalmente a partir de la aprobación de su creación por parte del propio Comité de Seguridad.

La comparecencia del presidente es siempre preceptiva pudiendo delegar sus funciones en casos de ausencia y extrema urgencia. Con estos fines debe nombrar un vicepresidente de entre los miembros del comité.

Las sesiones del Comité de Seguridad quedaran conformadas mediante quórum de 2/3 de sus vocales en primera convocatoria y por la mitad + 1 de vocales en segunda convocatoria.

3. Votación: Las decisiones dentro del Comité de Seguridad se adoptan por mayoría simple de sus vocales. En caso de empate el voto del presidente, en su caso el vicepresidente, será cualificado y por tanto decisivo.

4. Actas:

El secretario se encargará de levantar acta de las reuniones mantenidas y donde se hará constar en todo caso:

– Orden del día.

– Asistentes.

– Acuerdos tomados.

– Votos particulares.

– Firma de los asistentes.

Estas actas deberán ser registradas adecuadamente por el secretario dentro del repositorio del SGSI.

4.1. Funciones y responsabilidades:

Las actividades relacionadas con la Seguridad de la Información se coordinan a través de toda la organización. Esto incluye la colaboración y cooperación de la Alcaldía, Comité de Seguridad, administradores del sistema, concejalías y/o áreas, usuarios del sistema y también del personal de seguridad, consultores, asesores externos y demás terceros.

A continuación, se describen las funciones principales de cada uno de los roles identificados.

A. Comité de Seguridad:

El Comité de Seguridad posee las siguientes funciones:

1. Definir los objetivos y metas del organismo en materia de Seguridad de la Información y asegurar que los mismos están en conexión con los objetivos estratégicos de negocio, procesos más relevantes, así como el cumplimiento de las leyes y normativa aplicables a la actividad del organismo.

2. Formular, revisar y aprobar la Política general de Seguridad del organismo supervisando su efectiva implantación.

3. Establecer las directrices y apoyo del organismo a las iniciativas en materia de Seguridad de la Información.

4. Proveer al ente público de los recursos necesarios para acometer las actividades e implantar los controles necesarios relativos a la Seguridad de la Información.

5. Aprobar las políticas, normativas y procedimientos en materia de seguridad elaborados.

6. Aprobar las obligaciones y funciones que se establezcan dentro del organismo en materia de Seguridad de la Información.

7. Aprobar y promocionar la elaboración de planes y programas de formación en materia de Seguridad de la Información para su conocimiento por parte del personal del organismo.

8. Asegurarse que la implementación de los controles y salvaguardas está coordinada y es extensiva a toda la organización.

9. Supervisar los cambios significativos y la exposición de los activos informáticos a amenazas significativas mediante el análisis y gestión del riesgo efectivo del organismo.

10. Revisar, gestionar y resolver los incidentes de Seguridad de la Información.

11. Aprobar los Análisis de impacto, planes de estrategias y planes de continuidad del organismo.

12. Fiscalizar la gestión del SGSI mediante la aprobación de los planes de gestión de actividades, resultados de medición del SGSI y auditorias.

B. Responsable de Seguridad:

Las funciones y obligaciones del Responsable de Seguridad son las siguientes:

1. Coordinación de los técnicos de sistemas y propietarios de los activos para la implementación de las políticas y procedimientos de seguridad dentro del organismo.

2. Validación de accesos lógicos del personal interno, en modo local o remoto, a los Sistemas de información, comunicaciones y aplicaciones a petición de los responsables de área o propietarios de los activos según el caso.

3. Elaboración y administración de la relación de perfiles de usuario donde se especifiquen las opciones y privilegios de acceso permitidos a cada uno de los sistemas y aplicaciones.

4. Ostenta la propiedad de las políticas y procedimientos de seguridad IT aprobados por el Comité de Seguridad, así como de aquellos registros de auditoría, registro de eventos, incidencias, inventario, etc. generados en la gestión de los sistemas de información.

5. Coordinar y asumir la dirección de la realización de auditorías sobre los sistemas y del SGSI, plan de contingencias y adecuación al RGPD en los plazos establecidos en la política y normativa de conformidad y auditoria y gestión de la continuidad del negocio.

6. Realización, mantenimiento y gestión del análisis de riesgos sobre los activos del organismo.

7. Realización de un informe anual sobre la gestión realizada en materia de seguridad IT durante el año corriente, estrategias para el próximo ejercicio, auditorías realizadas, incidencias destacables, etc. para su aprobación por el comité de seguridad.

8. Proponer al Comité de Seguridad la implantación de cualquier control o salvaguarda que en materia de seguridad IT pudiera surgir en función de las incidencias ocurridas o necesidades detectadas.

9. Mantener contacto con grupos de interés, asesores y autoridades en materia de seguridad informática para mantener actualizados los conocimientos de la compañía en esta materia y promover posibles iniciativas.

10. Ostentará la Figura de Responsable del Plan de Contingencias y por tanto su propiedad asegurándose de su comunicación a los responsables afectados, su mantenimiento gestionar su actualización y la realización de las oportunas pruebas.

11. Se coordinará con el Responsable de Protección de Datos para actualizar los inventarios de actividades que traten datos de carácter personal por parte del Ayuntamiento, desempeñando aquellas funciones que para el mismo sean incluidas dentro del documento de seguridad del organismo.

12. Informar periódicamente al Comité de Seguridad sobre los resultados de los resultados obtenidos en los procesos de auditoría, gestión de incidencias graves, planificación y aceptación de los sistemas de información, etc.

13. Otras funciones que le sean asignadas dentro de la normativa y procedimientos que se desarrollen dentro del SGSI.

C. Técnico de sistemas y redes:

Corresponde a los técnicos de sistemas y redes del organismo, el ejercicio de las siguientes funciones:

1. Asesoramiento técnico al Responsable de Seguridad en la redacción de las políticas y procedimientos de seguridad IT.

2. Corresponderá a los técnicos de sistemas y redes la aplicación de los procedimientos de asignación, distribución y almacenamiento de las contraseñas, atribuyendo los perfiles de usuario y derechos de acceso correspondientes en función de las necesidades concretas de cada usuario.

3. Control de herramientas, programas y aplicaciones que permitan determinar el acceso a los ficheros, alterar, modificar y configurar los sistemas y estructurar las bases de datos.

4. Asesoramiento a los responsables de área y propietarios de activos respecto a la implantación de los criterios de identificación e inventariado de soportes.

5. Colaborar con el Responsable de Seguridad en la gestión y resolución de las incidencias de sistemas.

6. Recepción, junto con el Responsable de Seguridad, de la notificación de la incidencia, que quedará registrada automáticamente como tal, y propuesta de contramedidas cuando se estime procedente.

7. Ejecución de los procedimientos de backup y de recuperación de datos, como consecuencia de la notificación y registro de algún tipo de incidencia.

8. Notificación al Responsable de Seguridad de la implantación de nuevas aplicaciones y sistemas para coordinar con el mismo los controles de seguridad que deben de implementar las mismas.

9. Control y supervisión de la seguridad de las comunicaciones del Ayuntamiento.

10. Otras funciones que le vengas impuestas dentro de la Política de Privacidad, Plan de contingencias u otros procedimientos de seguridad del SGSI.

D. Delegado de Protección de Datos:

El delegado de protección de datos tendrá como mínimo, siguiendo las especificaciones del Artículo 39 del Reglamento General de Protección de datos, las siguientes funciones:

1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

2. Supervisar el cumplimiento de lo dispuestos en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de proteccion de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorias correspondientes.

3. Ofrecer el asesoramiento que se le solicite acerca de la evolución de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.

4. Cooperar con la autoridad de control.

5. Actuar como punto de contacto con la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines de tratamiento.

E. Propietarios de activos:

Se constituyen como propietarios de los activos los responsables de cada departamento respecto de los recursos asignados a su cargo.

Los Propietarios de activos tendrán desde el punto de vista del organigrama de seguridad las siguientes funciones y obligaciones:

1. Son los encargados de implantar en colaboración con el Responsable de Seguridad dentro de su departamento o área los controles y salvaguardas incluidos en las políticas y procedimientos de seguridad IT aprobados por el Comité de Seguridad.

2. Deberá, en colaboración con el Responsable de Seguridad, llevar a cabo acciones de formación y concienciación del personal de su departamento/área para implantación de las políticas y procedimientos aprobados.

3. Solicitar el alta, baja o modificación del acceso lógico del personal adscrito a su concejalía/área y tramitar mediante los procesos establecidos, la solicitud ante el Departamento de Gestión de Personas y técnicos de sistemas y redes para que procedan a su validación, ejecución y registro.

4. Comunicar al Responsable de Seguridad y según el procedimiento existente las incidencias de seguridad que pudieran afectar a los SSII, comunicaciones, etc. para su registro.

5. Aquellas otras funciones que la Política de Privacidad les atribuya respecto de los tratamientos que contengan datos de carácter personal dentro de su área.

6. Ostentarán la cualidad de propietarios de los activos asignados a sus departamentos, y como tales se encargarán de:

— Asegurarse que la información y los activos que la procesan están correctamente identificados y clasificados.

— Definir y revisar regularmente, con una periodicidad semestral, los permisos de acceso a dichos activos según los procedimientos establecidos.

— Asegurar la implantación de los controles establecidos para la adquisición, tratamiento, almacenamiento y distribución de la información.

F. Usuarios:

Se consideran usuarios cualquier persona, entidad, proveedor o ciudadano que tiene acceso a los SSII del organismo.

Estos usuarios estarán obligados en mayor o menor medida al cumplimiento del manual de buen uso de los sistemas de información que se elaborará para cada uno de los tipos de usuarios mencionados y que incluirá las responsabilidades y obligaciones de cada uno de ellos respecto de la seguridad de los sistemas de información a los que tienen acceso.

4.1.1. Autorización de sistemas de procesamiento de la información.

Es necesario que la implementación de nuevos sistemas de tratamiento de la información dentro del Ayuntamiento lleve aparejado un proceso de autorización previo autorizando su uso y destino. Este proceso deberá abarcar igualmente el uso de sistemas de información de carácter privado (portátiles, Smartphones, etc.) dentro del organismo, siempre y cuando vayan a interactuar con sistemas titularidad de la información o vayan a tratar información del mismo.

Esta autorización debe estar en conjunción con lo establecido en la normativa del objetivo de control de gestión de operaciones y comunicaciones y de adquisición, desarrollo, implementación y mantenimiento de sistemas de información. Por lo tanto, se atenderá a los especificados en toda la normativa complementaria en materia de Seguridad de la Información, como la de “Uso correcto de Equipos” o “Adquisición de Productos”, entre otros.

Así la autorización para la implementación de nuevos sistemas de tratamiento de la información podría incluirse como un paso lógico más a seguir dentro de los procedimientos a elaborar para la planificación o aceptación de los sistemas de información o dentro de los procesos de desarrollo e implementación de software exigidos a los diferentes proveedores de aplicaciones de tal manera que antes de la inclusión de un nuevo hardware o software dentro del organismo exista una autorización previa del responsable correspondiente.

4.1.2. Acuerdos de confidencialidad.

Es necesario que el Ayuntamiento identifique y revise periódicamente los requerimientos que respecto de la confidencialidad de la información deban observarse dentro de las relaciones mantenidas con terceros proveedores, consultores, etc.

Estos acuerdos de confidencialidad deberán tener fuerza legal y deberán incluir los requisitos necesarios para proteger la confidencialidad de la información titularidad del ente público y que es compartida con terceros.

Los acuerdos de confidencialidad podrán variar según las circunstancias de cada negociación o de la información o actividad que vengan a regular, si bien en todo caso incluirán una referencia a los siguientes puntos:

1. La clasificación de la información que debe ser protegida. En este caso se tendrá en cuenta los tipos de información existentes dentro del Ayuntamiento y que se incluyen en la política y normativa referente a inventario y clasificación de activos, así como los controles establecidos para la protección de cada uno de estos activos.

2. Duración en cada caso del acuerdo de confidencialidad incluyendo aquellos supuestos en que el acuerdo sea de carácter indefinido.

3. Acciones que se han de acometer para el caso de la extinción del acuerdo de confidencialidad, incluyendo el retorno y la destrucción de la información aportada.

4. Medidas establecidas por ambas partes para los procesos de desclasificación de la información¹. Medidas como el requisito de comunicación previa a la otra parte deben ser consideradas.

5. Referencias a la propiedad de los activos de información, legislación de propiedad intelectual e industrial, protección de datos de carácter personal, etc. y como ello pudiera afectar a la protección de la información sensible.

6. Usos admitidos de la información y los derechos de las partes para usar la información.

7. La facultad del organismo para establecer controles de auditoría y monitorización de las actividades que impliquen el uso de información sensible del organismo por terceros.

8. Obligación de notificar aquellas incidencias que afecten a la desclasificación no autorizada de la información o brechas en la seguridad.

9. Posibles responsabilidades derivadas del incumplimiento del acuerdo de confidencialidad.

4.1.3. Contactos con autoridades.

El Ayuntamiento mantiene contactos con diversas autoridades estatales, autonómicas y locales para el desarrollo y la adopción de medidas que ayuden a revisar, desarrollar y mejorar su SGSI. Así el ente público ha mantenido y mantiene una estrecha relación de colaboración con los poderes judiciales, las Fuerzas y Cuerpos de Seguridad del Estado y diferentes entidades públicas como la Agencia Española de Protección de Datos, Entidades de certificación, etc. Estas relaciones permiten obtener al Ayuntamiento una comunicación rápida y de primera mano para conocer los nuevos requerimientos, que mediante cuerpos normativos o comunicaciones de diverso tipo, realizan las autoridades públicas en diversas materias como son todas aquellas relacionadas con el ámbito de su SGSI.

En el marco de los servicios que el organismo presta a diferentes ciudadanos mantiene contactos con organismos de seguridad ciudadana, entre estos contactos están:

— Fuerzas y cuerpos de seguridad, estatales, autonómicas y locales.

— Protección civil y Bomberos.

Otros interlocutores como los coordinadores de emergencias para el caso de activación del plan de contingencias del organismo serán designados dentro de los respectivos procedimientos aprobados por el Ayuntamiento.

1 Dichas medidas tendrán en cuenta los procedimientos y normativa existente en materia de clasificación e inventariado de activos de información.

5. Planes estratégicos

Corresponde al Responsable de Seguridad definir y revisar, con carácter periódico, el Plan Estratégico de Seguridad del Ayuntamiento. Para ello se tendrán en cuenta las necesidades de los servicios, así como las propuestas comerciales inherentes a los productos.

Los Planes Estratégicos en cuestión, que habrán de ser sometidos a la aprobación del Comité de Seguridad, identificarán y priorizarán proyectos y presupuestos de seguridad con el objeto de alcanzar los objetivos de control que se establezcan. De igual forma minimizarán los riesgos de seguridad que pudieran haber sido identificados asegurando un nivel aceptable para la organización.

6. Auditoría

Se realizarán periódicamente auditorías de carácter total o parcial, con el objeto de verificar el grado de cumplimiento del Marco Normativo de Seguridad del Ayuntamiento y, al mismo tiempo, comprobar la eficacia de las acciones que pudieran ser adoptadas al amparo del mismo. Tales auditorías incluirán, de ser necesario, propuestas de mejora.

7. Responsabilidades

El cumplimiento de la presente Política es responsabilidad de todo el personal del Ayuntamiento, así como del personal externo al mismo incluido en el ámbito de aplicación.

Para el caso del personal externo y subcontratado, habrá que estar a lo que sobre este respecto se establezca dentro de los contratos de prestación de servicios existente entre las partes y al contrato de encargado del tratamiento o al acuerdo de la cofidencialidad, en su caso.

Entre las obligaciones genéricas de todos los usuarios y que se incluyen más detalladamente dentro del manual de buen uso de los sistemas de información están las siguientes:

— Realizar un buen uso de los sistemas, dispositivos, aplicaciones y demás sistemas de información titularidad del Ayuntamiento y puestos a disposición de los diferentes usuarios.

— Comunicar cualquier incidencia de seguridad que conozca en el desempeño de sus tareas mediante los procedimientos establecidos por la organización.

— Cada usuario es responsable de sus contraseñas o dispositivos de acceso, de su salvaguarda y control, de manera que cualquier tipo de incidente (extravío, olvido, divulgación…) será responsabilidad del mismo, asumiendo las consecuencias que de ello puedan derivarse.

El Comité de Seguridad con la colaboración del Responsable de Seguridad y Propietarios de activos del organismo establecerán e implementarán las acciones que en materia de formación y concienciación sean necesarias para que todo el personal del Ayuntamiento y resto de usuarios conozca sus obligaciones en materia de seguridad de los sistemas de información.

Todas las responsabilidades hasta aquí mencionadas podrán ser más detalladas dentro de los procedimientos específicos aprobados o para la protección de determinados activos o sistemas de información cuya gestión necesite de una asignación específica de responsabilidades.

El Ayuntamiento espera que todo el personal, tanto interno como externo, esté familiarizado con la presente Política.

7.1. Penalizaciones:

El incumplimiento de esta Política puede determinar, si es necesario, la aplicación del régimen disciplinario correspondiente.

En el caso del personal externo a la Administración, su incumplimiento puede implicar la exigencia de responsabilidad civil o penal, a parte de la reclamación de indemnización por daños y perjuicios ocasionados, así como las derivadas del incumplimiento de la obligación contractual.

7.2. Concienciación y formación en materia de seguridad:

Todos los empleados del Ayuntamiento con responsabilidades en materia de seguridad de la información deben disponer de la formación adecuada para el desempeño de sus funciones. Asimismo, debe asegurarse la adecuada concienciación de todos los miembros del Ayuntamiento en términos de Seguridad de la Información y buenas prácticas.

Los empleados del Ayuntamiento deben disponer de acceso y conocimiento de las actualizaciones regulares de la presente Política y el resto del Cuerpo Normativo.

7.3. Incidentes de seguridad:

Un incidente de seguridad consiste en cualquier evento que pueda comprometer la confidencialidad, integridad y/o disponibilidad de la información, así como afectar a la consecución de los objetivos del Ayuntamiento.

La presente Política establece la obligación y responsabilidad de todos los miembros del Ayuntamiento, así como de las empresas que prestan servicio a la misma, de la identificación y notificación a los responsables de seguridad del Ayuntamiento de cualquier incidente que pudiera comprometer la seguridad de los activos de información del Ayuntamiento.

7.4. Protección de Datos de carácter personal:

1. En lo referente a los datos de carácter personal que sean objeto de tratamiento por parte del Ayuntamiento de San Agustín del Guadalix, se adoptarán las medidas técnicas y organizativas que corresponda implantar atendidos los riesgos generados por el tratamiento una vez llevada a cabo la evaluación exigida por el artículo 24.1 del Reglamento (UE) 2016/679.

2. En caso de conflicto entre los diferentes responsables, prevalecerán las mayores exigencias derivadas de la protección de datos de carácter personal.

San Agustín del Guadalix, a 9 de marzo de 2020.—El alcalde, Roberto Ronda Villegas.

(03/8.464/20)