APROBACIÓN Y ENTRADA EN VIGOR
Texto aprobado por la Gerencia de ANCERT, el día 9 de septiembre de 2021.
Esta Política de Seguridad de la Información es efectiva desde dicha fecha y estará vigente hasta que sea reemplazada por una nueva.
La entrada en vigor de la presente Política de Seguridad de la Información supone la derogación de cualquier otra que existiera a cualquier nivel de la organización.
INTRODUCCIÓN
ANCERT depende de los sistemas de información y de las comunicaciones para alcanzar sus objetivos. Estos sistemas estarán administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la seguridad (confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad) de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a las incidencias.
Los sistemas de la información y las comunicaciones estarán protegidos contra amenazas de rápida evolución con potencial para incidir en la seguridad de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que las personas aplicarán las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad (en adelante ENS), así como realizarán un seguimiento continuo de los niveles de prestación de servicios, seguirán y analizarán las vulnerabilidades reportadas, y prepararán una respuesta efectiva a las incidencias para garantizar la continuidad de los servicios prestados.
Las personas se cerciorarán de que la seguridad de la información es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación serán identificados e incluidos en la planificación, en la solicitud de ofertas, en los pliegos y en los contratos.
Las personas estarán preparadas para prevenir, detectar, reaccionar y recuperarse de las incidencias.
Prevención
Las personas evitarán, o al menos prevendrán en la medida de lo posible, que la información o los servicios se vean perjudicados por las incidencias de seguridad. Para ello, las personas implementarán las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, estarán claramente definidos y documentados.
Para garantizar el cumplimiento de la política, las personas responsables:
• Autorizarán los sistemas antes de entrar en operación.
• Evaluarán regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
• Solicitarán la revisión periódica por parte de terceras personas con el fin de obtener una evaluación independiente.
Detección
Dado que los servicios se pueden degradar rápidamente debido a las incidencias (que van desde una simple desaceleración hasta su detención), ANCERT los monitorizará de manera continua para detectar anomalías y actuar en consecuencia.
Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
Respuesta
Las personas:
• Establecerán mecanismos para responder eficazmente a las incidencias de seguridad.
• Designarán un punto de contacto para las comunicaciones con respecto a las incidencias detectadas en otras áreas o entidades.
• Establecerán protocolos para el intercambio de información relacionada con la incidencia.
Recuperación
Para garantizar la disponibilidad de los servicios críticos, ANCERT desarrollará planes de continuidad de los sistemas de información como parte de su plan general de continuidad de negocio y actividades de recuperación.
ALCANCE
Esta Política será de aplicación y de obligado cumplimiento para las áreas y servicios de ANCERT, a sus recursos y a los procesos afectados por el ENS, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.
Todos los miembros de ANCERT, afectados por el alcance del ENS, tienen la obligación de conocer y cumplir esta “Política de Seguridad de la Información” y la normativa de seguridad correspondiente, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue al personal afectado.
MISIÓN
"Facilitar, agilizar y dotar de calidad la actividad diaria del Colectivo Notarial"
Esta misión se articula a través de los siguientes objetivos estratégicos:
Llevar a cabo procesos orientados a desarrollar, administrar y proporcionar el mejor servicio a todas las partes interesadas (clientes y usuarios), tomando la calidad como uno de los referentes.
Contar con una óptima infraestructura tecnológica y humana diseñada para cubrir y dar respuesta a las necesidades de clientes y usuarios.
Desarrollar aplicaciones electrónicas, seguras, rápidas y eficaces.
Conectar a los notarios distribuidos por todo el estado español con cualquier tipo de organismo, sea público o privado, para facilitar el asesoramiento al ciudadano en la autorización de documentos públicos, así como proceder a su posterior inscripción, tramitación y / o remisión a terceros organismos en su relación con las diferentes administraciones públicas (nacionales, autonómicas o locales).
Adaptarse a las necesidades del sector a través de una evaluación periódica de sus servicios.
MARCO NORMATIVO
El marco normativo en que se desarrollan las actividades de ANCERT, y en particular la prestación de sus servicios electrónicos a la ciudadanía está integrado por las siguientes normas:
a) Real Decreto 3/2010 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.
b) Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público cuando entre en vigor.
c) Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
d) Reglamento General de Protección de Datos (RGPD).
e) Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.
f) Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.
g) Ley 59/2003, de 19 de diciembre, de firma electrónica.
h) Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrónica.
i) Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno.
j) Ley 5/2019, de 5 de marzo, reguladora de los contratos de crédito inmobiliario.
k) Real Decreto 309/2019, de 26 de abril, por el que se desarrolla parcialmente la Ley 5/2019, de 15 de marzo, reguladora de los contratos de crédito inmobiliario y se adoptan otras medidas en materia financiera.
l) Reglamento UE 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE
m) Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. Documento de uso interno 7 de 11
n) Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
También forman parte del marco normativo las restantes normas aplicables a las actividades propias de ANCERT.
ORGANIZACIÓN DE LA SEGURIDAD
La organización de la seguridad queda establecida mediante la identificación y definición de las diferentes actividades y responsabilidades en materia de gestión de la seguridad de los sistemas y la implantación de una estructura que las soporte.
Con carácter general, todos y cada uno de los/as usuarios/as de los sistemas de información de ANCERT son responsables de la seguridad de los activos de información mediante un uso correcto de los mismos, siempre de acuerdo con sus atribuciones profesionales y académicas.
Para una mejor respuesta a incidentes de seguridad, ANCERT mantendrá relaciones de cooperación en materia de seguridad con las autoridades competentes, proveedores de servicios informáticos o de comunicación, así como organismos públicos o privados dedicados a promover la seguridad de los sistemas de información.
En particular, la gestión de la seguridad de la información es responsabilidad específica de un conjunto de personas y comités con funciones concretas, definidas y documentadas.
Comité de Seguridad
El Comité de Seguridad estará constituido por los siguientes cargos y personas:
• Presidente/a: Dirección General.
• Responsable de Seguridad.
• Asesor jurídico.
• Director de Finanzas.
• Director de Negocio.
• Director de Desarrollo.
• Director de Sistemas e Infraestructuras.
El Comité de Seguridad de la Información podrá convocar a otras personas en función de las necesidades.
Las reuniones ordinarias del Comité de Seguridad de la Información tendrán una periodicidad trimestral.
Podrán convocarse reuniones extraordinarias cada vez que las necesidades o las circunstancias así lo exijan.
El Comité de Seguridad tendrá las siguientes funciones:
• Asesorar y atender las inquietudes en materia de Seguridad de la Información, a todas las personas de ANCERT, siempre y cuando le sea requerido.
• Resolver los conflictos de responsabilidad que puedan aparecer entre los/as diferentes responsables y/o entre las diferentes áreas, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
• Recoger las funciones y obligaciones de los/as Responsables de la Información y los Servicios ENS, en aquellas acciones transversales, en las que le sea solicitado y/o se considere necesario.
• Promover la mejora continua del sistema de gestión de la Seguridad de la Información.
Para ello se encargará de:
• Coordinar los esfuerzos de los diferentes departamentos/servicios en materia de Seguridad de la Información, para asegurar que estos sean consistentes y alineados con la estrategia decidida en la materia, y evitar duplicidades.
• Proponer planes de mejora de la Seguridad de la Información de ANCERT, con su dotación presupuestaria correspondiente, priorizando las actuaciones en materia de seguridad cuando los recursos sean limitados.
• Velar porque la Seguridad de la Información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación (Privacidad por Diseño). En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
• Realizar un seguimiento de los principales riesgos residuales asumidos por ANCERT y recomendar posibles actuaciones respecto de ellos.
• Realizar un seguimiento de la gestión de los incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.
• Elaborar, aprobar y revisar regularmente la Política de Seguridad.
• Elaborar la normativa de Seguridad de la Información para su aprobación y verificar la idoneidad de los procedimientos de seguridad de la información y demás documentación.
• Elaborar programas de formación destinados a formar y sensibilizar al personal en materia de Seguridad de la Información y en particular de protección de datos de carácter personal.
• Elaborar y aprobar los requisitos de formación y calificación de los roles y funciones de ANCERT desde el punto de vista de Seguridad de la Información.
• Promover la realización de las auditorías periódicas ENS que permitan verificar el cumplimiento de las obligaciones de ANCERT en materia de seguridad.
Roles, funciones y responsabilidades
Los roles fundamentales en la Seguridad de la Información definidos en el ENS son los siguientes:
• Responsable de Información del ENS: será generalmente desempeñado por el Director de Negocio y / o los directores de las diferentes áreas en las que se divide la dirección de negocio asesorados por el Delegado de Protección de Datos y el Responsable de Seguridad.
• Responsable del Servicio del ENS, en el caso de ANCERT generalmente será desempeñado por la misma figura que el Responsable de Información.
• Responsable de Seguridad del ENS, que será desempeñado el Responsable de Seguridad de la Información.
• Responsable del Sistema de Información del ENS: que será desempeñado por las personas responsables de los servicios a nivel funcional, de acuerdo con el Catálogo de Servicios afectados por el ENS.
A continuación, se detallan y se establecen las funciones y responsabilidades de cada una de las figuras:
• El/la Responsable de la Información, determina los requisitos de seguridad de la información dentro del marco establecido en el anexo I del Real Decreto 3/2010, de 8 de enero, con el asesoramiento del Responsable de Seguridad. Tiene la responsabilidad última del uso que se haga de la información y, por tanto, de su protección.
• La persona Responsable del Servicio, determina los requisitos de seguridad de los servicios prestados dentro del marco establecido en el anexo I del Real Decreto 3/2010, de 8 de enero, con el asesoramiento del Responsable de Seguridad y la opinión del Responsable del Sistema.
• El/la Responsable de Seguridad, su función es planificar lo que se ha de hacer en materia de seguridad, así como supervisar que se haya hecho.
• El/la Responsable del Sistema de Información, es el/la encargado/a de las operaciones del sistema.
Incompatibilidades
El rol de Responsable de Seguridad es incompatible con cualquiera de los roles de responsable de la información, del servicio o de responsable del sistema de información.
El rol de Delegado de Protección de Datos (DPD) es incompatible con el de Responsable de Seguridad.
Como principio básico los siguientes pares de funciones deberán de ser ejecutados por diferentes roles que no podrán recaer sobre la misma persona / equipo:
• Desarrollo de operación del sistema.
• Configuración y mantenimiento del sistema de operación.
• Auditoría o supervisión de cualquier otra función.
Procedimientos de designación
ANCERT procederá a realizar la constitución del comité y de las distintas responsabilidades. Todos los nombramientos se revisarán cada 3 años o cuando los puestos queden vacantes.
DATOS DE CARÁCTER PERSONAL
ANCERT trata datos de carácter personal. El Registro de Actividades de Tratamiento, al que tienen acceso sólo las personas autorizadas, recogerá los ficheros afectados y las personas responsables correspondientes. Todos los sistemas de información de ANCERT se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado registro. Documento de uso interno 10 de 11
GESTIÓN DE RIESGOS
Todos los sistemas de información sujetos a esta política dispondrán de su correspondiente análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
• Anualmente.
• Cuando cambie la información manejada.
• Cuando cambien los servicios prestados.
• Cuando ocurra una incidencia grave de seguridad.
• Cuando se reporten vulnerabilidades graves.
Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.
DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Esta política se desarrollará por medio de normativas y procedimientos de seguridad que afrontarán aspectos específicos de la misma. Esta documentación estará a disposición de todas las personas y entidades externas afectadas.
Toda la normativa de seguridad estará publicada en la intranet corporativa, en particular, dentro de la página “Normativa de Seguridad” del espacio “Oficina de Seguridad” en del gestor de conocimiento Confluence. En esta página se enlazarán las normativa y procedimientos, cuyos contenidos mínimos cubrirán los siguientes puntos:
• Normativa general que complementa o desarrolla el marco organizativo de la Seguridad (apartado 6.1 de la página “Normativa de Seguridad”): en el que se definen áreas o aspectos de la seguridad a tener en cuenta, caso del Teletrabajo, Firma electrónica, gestión de Recursos Humanos, gestión de soportes, entre otros.
• Gestión de Activos (apartado 6.2 de la página “Normativa de Seguridad”): que define como identificar los activos de la organización y definir las responsabilidades de protección adecuadas
• Control de Accesos (apartado 6.3 de la página “Normativa de Seguridad”): que define cómo limitar el acceso a los recursos de tratamiento para prevenir el acceso no autorizado, garantiza el acceso de usuarios autorizados y evitar el acceso no autorizado a los sistemas y servicios
• Cifrado (apartado 6.4 de la página “Normativa de Seguridad”): para garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información
• Protección de las Instalaciones (apartado 6.5 de la página “Normativa de Seguridad”): que establece las directrices para prevenir el acceso físico no autorizado, los daños e interferencia a la información de la organización y a los recursos de tratamiento de la información.
• Seguridad de las Operaciones (apartado 6.6 de la página “Normativa de Seguridad”): para asegurar el funcionamiento correcto de las instalaciones de tratamientos de información, están protegidos contra el malware, evitar la pérdida de datos, registrar eventos y generar evidencias, asegurar la integridad Documento de uso interno 11 de 11 del software en producción, reducir riesgos resultantes de la explotación de las vulnerabilidades técnicas y minimizar el impacto de las actividades de auditoría en los sistemas operativos.
• Comunicaciones (apartado 6.7 de la página “Normativa de Seguridad”): para asegurar la protección de la información en las redes y los recursos de tratamiento de la información
• Adquisición, desarrollo y Mantenimiento de Productos (apartado 6.8 de la página “Normativa de Seguridad”): para garantizar que la seguridad de la información sea parte integral de los sistemas de información a través de todo el ciclo de vida
• Gestión de proveedores (apartado 6.9 de la página “Normativa de Seguridad”): para asegurar la protección de los activos de la organización que sean accesibles a los proveedores y mantener un nivel acordado de seguridad y de provisión de servicios en línea con acuerdos con proveedores.
• Gestión de Incidencias de seguridad (apartado 6.10 de la página “Normativa de Seguridad”): para asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad.
• Cumplimiento regulatorio (apartado 6.12 de la página “Normativa de Seguridad”): para evitar incumplimientos de las obligaciones legales, estatutarias, reglamentarias o contractuales relativas a la seguridad de la información o de los requisitos de seguridad.
OBLIGACIONES DEL PERSONAL
Todas las personas de ANCERT tienen la obligación de conocer y cumplir esta política de seguridad de la información, así como de la documentación que la desarrolla en la medida que les afecte, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información les llegue. Todas las personas de ANCERT atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año.
Las personas con responsabilidad en el uso, operación o administración de sistemas de información recibirán formación complementaria para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.
TERCERAS PARTES
Cuando ANCERT preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipe de esta Política de Seguridad de la Información. Se establecerán canales para el reporte y la coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Para los servicios prestados por proveedores, ANCERT les hará partícipes de esta política y normativa de seguridad de la información que atañe a dichos servicios o información. Dichos proveedores estarán sujetos a las obligaciones establecidas en esta política, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Cuando algún aspecto de esta Política de Seguridad no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe de el/la Responsable de Seguridad ENS que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los/as responsables de la información y los servicios afectados antes de seguir adelante
