Introducción

La Empresa Municipal Aguas de Málaga, S.A, en adelante EMASA, como muestra de compromiso con la seguridad de la información de sus sistemas, ha desarrollado la presente Política de Seguridad de la Información, en adelante Política de Seguridad, de conformidad con lo establecido en el Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS).

La Política de Seguridad es una declaración ética, responsable y de estricto cumplimiento para todo el personal de EMASA, la cual es desplegada a través de las diferentes Normativas y Procedimientos con los que se procura que los riesgos sean tratados adecuadamente.

El uso de los Activos de información debe estar en consonancia con las buenas prácticas y procedimientos de trabajo profesionales, así como con los requisitos legales, reglamentarios y contractuales, que deben garantizar la Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad de la información y los servicios.

 

Objeto

EMASA considera la información un activo esencial para el cumplimiento adecuado de sus funciones. Buena parte de la información contenida en los sistemas de información de las entidades públicas y privadas y los servicios que prestan constituyen activos nacionales estratégicos. La información y los servicios prestados están sometidos a amenazas y riesgos provenientes de acciones malintencionadas o ilícitas, errores o fallos y accidentes o desastres.

En su empeño por garantizar que los servicios disponibles a través de medios electrónicos a los usuarios se presten en unas condiciones de seguridad máxima, EMASA desarrolla y aprueba esta Política de Seguridad de la Información, aplicando los principios básicos señalados en el ENS y desarrollando los siguientes requisitos mínimos:

  1. Organización e implantación del proceso de seguridad.
  2. Análisis y gestión de los riesgos.
  3. Gestión de personal.
  4. Profesionalidad.
  5. Autorización y control de los accesos.
  6. Protección de las instalaciones.
  7. Adquisición de productos de seguridad y contratación de servicios de seguridad.
  8. Mínimo privilegio.
  9. Integridad y actualización del sistema.
  10. Protección de la información almacenada y en tránsito.
  11. Prevención ante otros sistemas de información interconectados.
  12. Registro de la actividad y detección de código dañino.
  13. Incidentes de seguridad.
  14. Continuidad de la actividad.
  15. Mejora continua del proceso de seguridad.

Las diferentes áreas de Emasa deben estar preparadas para prevenir, detectar, reaccionar y recuperarse de incidentes, garantizando así la continuidad en la prestación de los servicios con una calidad y seguridad adecuada, custodiando la información en todo su ciclo de vida (recogida, transporte, tratamiento, almacenamiento y destrucción).

Esta Política de Seguridad asegura un compromiso manifiesto de la alta dirección para la difusión, consolidación y cumplimiento de la presente Política.

 

Alcance

La presente Política de Seguridad tiene aplicación a todas las áreas, servicios, empleados internos y externos de EMASA, cualquiera que sea su clasificación jerárquica. Igualmente, aplica a todos los sistemas de la información e infraestructuras de comunicación utilizadas para la realización de las funciones propias de EMASA.

Con esta política de seguridad de la información, la organización muestra su compromiso por establecer, implementar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de acuerdo a los principios recogidos en el artículo 5 del Real Decreto 311/2022. Esto es:

  • Entender la seguridad como un proceso integral.
  • Gestionar la seguridad basándonos en los riesgos.
  • Monitorizar y vigilar continuamente los eventos de seguridad para garantizar la prevención, detección, respuesta y conservación.
  • Establecer defensas
  • Evaluar el estado de la seguridad periódicamente
  • Realizar una diferenciación clara de las responsabilidades.

 

Marco Normativo

La base normativa que afecta al desarrollo de las actividades y competencias de EMASA y que implica la implantación de forma explícita de medidas de seguridad en los sistemas de información, está regulada, principalmente, por la siguiente legislación:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD).
  • Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
  • Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información que asegura la alineación del derecho español con el marco armonizado europeo conforme a la Directiva Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva NIS 2).
  • Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
  • Política de Privacidad de EMASA.

También forman parte del marco normativo las restantes normas estatales y autonómicas que pudieran afectar a la prestación del servicio de EMASA, a la seguridad de la información y los servicios que ésta maneja, así como a la protección de datos de carácter personal.

El mantenimiento de todo este marco normativo será responsabilidad del Responsable de Seguridad de la Información de EMASA, o la persona que esta delegue, y se mantendrá de forma Anexa en los medios y/o soportes que determine el Comité de Seguridad. También se incluirán las instrucciones técnicas de seguridad de obligado cumplimiento. Asimismo, el Responsable de la Seguridad asegurará que se han identificados las guías de seguridad del CCN que serán de aplicación para mejorar el cumplimiento de lo establecido en el Esquema Nacional de Seguridad.

 

Misión y Objetivos

EMASA, con el fin de cumplir con su misión y objetivos, pone a disposición de los usuarios los servicios y actividades necesarias para satisfacer las aspiraciones e intereses de los mismos haciendo uso de las tecnologías apropiadas y poniendo en valor la relación electrónica con ellos, creando la confianza necesaria basada en un sistema de seguridad de la información integral y que alcanza a toda la organización.

Estos sistemas pretenden garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Para ello, se establecen como objetivos generales en materia de seguridad de la información los siguientes:

  1. Disponer de las medidas de control necesarias para el cumplimiento de los requisitos legales que sean de aplicación como consecuencia de la actividad desarrollada, especialmente en lo relativo a la protección de datos personales y a la prestación de servicios a través de medios electrónicos.
  2. Asegurar el acceso, integridad, confidencialidad, disponibilidad, autenticidad, trazabilidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con rapidez a los incidentes.
  3. Proteger los recursos de información de la entidad y la tecnología utilizada para su procesamiento frente a amenazas, internas o externas, deliberadas o accidentales.
  4. Proporcionar confianza a los usuarios protegiendo su información durante todo su ciclo de vida.
  5. Facilitar la mejora continua de los procesos de seguridad, procedimientos, productos y servicios.
  6. Garantizar la continuidad de la entidad estableciendo proyectos de contingencia en los servicios críticos y manteniendo en todo momento la seguridad.
  7. Concienciar, formar y motivar al personal sobre la importancia de la seguridad en el entorno del trabajo.

 

Organización de Seguridad

Para gestionar y coordinar proactivamente la seguridad de la información se constituye como órgano de gestión el COMITÉ DE SEGURIDAD DE LA INFORMACIÓN.

Cargos del Comité de Seguridad de la Información

Responsable de la Información

Determinará los requisitos de la información tratada en base a las propuestas y asesoramiento ofrecido por el resto de los integrantes del Comité. Podrá convocar las reuniones, remitir información y comunicados a los miembros del Comité.

Responsable de Servicio

Determinará los requisitos de los servicios prestados. Además, tendrá la obligación de vigilar el cumplimiento de las normas de seguridad dentro de su área e informar al Responsable de la Información del cumplimiento de la normativa de seguridad aprobada por el Comité de Seguridad.

Responsable de la Seguridad

Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.

Las dos funciones esenciales del Responsable de la Seguridad son:

  • Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en esta Política de Seguridad de la Información de la organización.
  • Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.

Si el sistema de información, dado su complejidad, distribución, separación física o número de usuarios así lo requiriera, EMASA podrá designar Responsables de Seguridad Delegados, en los que se podrá delegar funciones, pero nunca responsabilidades. Estos Responsables de Seguridad Delegados tendrán dependencia directa del Responsable de Seguridad.

El responsable de la seguridad deberá ser distinto del responsable del sistema, no debiendo existir dependencia jerárquica entre ambos. En aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que ambas funciones recaigan en la misma persona o en distintas personas entre las que exista relación jerárquica, deberán aplicarse medidas compensatorias para garantizar la finalidad del principio de diferenciación de responsabilidades.

En el caso de externalización del servicio de responsable de seguridad, salvo por causa justificada y documentada, la organización prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) para la seguridad de la información tratada y el servicio prestado.

Responsable del Sistema

Se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.

Se encarga de la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de la Seguridad.

Su responsabilidad puede estar situada dentro de la organización (utilización de sistemas propios) o estar compartimentada entre una responsabilidad mediata (de la propia organización) y una responsabilidad inmediata (de terceros, públicos o privados), cuando los sistemas de información se encuentran externalizados.

El responsable del sistema garantizará que los dispositivos permanecen bajo control y que satisfacen sus requisitos de seguridad mientras están siendo desplazados de un lugar a otro, fuera de las zonas controladas por la organización

 

Si el sistema de información, dado su complejidad, distribución, separación física o número de usuarios requiriera personal adicional para el desempeño de estas funciones, EMASA podrá designar Responsables del Sistema Delegados, en los que se podrá delegar funciones, pero nunca responsabilidades. Estos Responsables del Sistema Delegados tendrán dependencia directa del Responsable del Sistema.

 

Secretario/a del Comité

Podrá convocar y levantar actas de las reuniones del Comité de Seguridad de la Información. Dicho rol podrá ser asumido por el Responsable de Seguridad.

Delegado de Protección de Datos

Velará y asesorará para proteger el cumplimiento de los derechos de los interesados en materia de protección de datos.

Nombramiento

Los miembros de este Comité serán nombrados por la gerencia de EMASA, contemplando medidas transitorias con objeto de garantizar el cumplimiento de la seguridad. Además, las futuras resoluciones de nombramientos de responsables de áreas o cambios en la distribución de funciones de área deberán contemplar expresamente el nombramiento como miembro en este comité de seguridad de la información.

Los miembros del Comité, así como los roles de seguridad serán revisados cada tres años o con ocasión de vacante.

Funciones del Comité de Seguridad

Sus funciones son las siguientes:

  • Responsabilidades derivadas del tratamiento de datos personales.
  • Atender las inquietudes de la entidad y de las diferentes áreas.
  • Informar regularmente del estado de la seguridad de la información a la dirección.
  • Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información.
  • Elaborar la estrategia de evolución de EMASA en lo que respecta a la seguridad de la información.
  • Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
  • Elaborar (y revisar regularmente) la Política de Seguridad de la Información para que sea aprobada por el propio Comité de Seguridad antes de su aprobación final la dirección.
  • Aprobar la normativa de seguridad de la información.
  • Evaluar los riesgos de manera periódica para establecer las adecuadas medidas de seguridad necesarias atendiendo a los resultados.
  • Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.
  • Monitorizar los principales riesgos residuales asumidos por EMASA y recomendar posibles actuaciones respecto de ellos.
  • Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.
  • Promover la realización de auditorías periódicas que permitan verificar el cumplimiento de las obligaciones de la organización en materia de seguridad.
  • Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
  • Aprobar planes de mejora de la seguridad de la información de la Organización. En particular, velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.
  • Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
  • Establecer medidas adecuadas para la formación, información y concienciación de todo el personal en materia de seguridad de la información y protección de datos de carácter personal.
  • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la Organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
  • En caso de ocurrencia de incidentes de seguridad de la información, aprobará el Plan de Mejora de la Seguridad.

El Comité de Seguridad de la Información no es un comité técnico, pero recabará regularmente del personal técnico propio o externo, la información pertinente para tomar decisiones. El Comité de Seguridad de la Información se asesorará de los temas sobre los que tenga que decidir o emitir una opinión. Este asesoramiento se determinará en cada caso, pudiendo materializarse de diferentes formas y maneras:

  • Grupos de trabajo especializados internos, externos o mixtos.
  • Asesoría externa.
  • Asistencia a cursos u otro tipo de entornos formativos o de intercambio de experiencias

 

Desarrollo de la Política de Seguridad de la Información

El Comité de Seguridad de la Información ha aprobado el desarrollo de un sistema de gestión, que será establecido, implementado, mantenido y mejorado, conforme a los estándares de seguridad. Este sistema se adecuará y servirá de gestión de los controles del Esquema Nacional de Seguridad. El sistema será documentado y permitirá generar evidencias de los controles y del cumplimiento de los objetivos marcados por el Comité.

Se deberá comunicar la información documentada relativa a los controles de seguridad al personal que trabaja en la entidad (empleados, proveedores y subcontratistas), que tendrá la obligación de aplicarla en la realización de sus actividades laborales, comprometiéndose de ese modo, al cumplimiento de los requisitos del ENS. Esta documentación estará permanentemente accesible a través de los medios que la EMASA estime convenientes.

 

Formación y Concienciación

EMASA establecerá los mecanismos necesarios, atendiendo a las propuestas del Comité de Seguridad, para que todo el personal disponga de la información, formación y concienciación apropiada para gestionar de acuerdo a esta Política de Seguridad y su normativa interna derivada la información, tanto en materia de privacidad como de seguridad.

El Comité establecerá mecanismos adecuados de difusión de la información y registrará todas las acciones formativas que se dispongan en este sentido.

 

Gestión del Riesgo

EMASA realizará periódicamente y cada vez que los sistemas de la información sufran una alteración significativa un Análisis de Riesgos, siguiendo las directrices expuestas por el ENS en su artículo 6, de modo que se puedan anticipar los riesgos existentes. Este Análisis de Riesgos y sus conclusiones han de ser analizadas por el Comité de Seguridad y establecer las salvaguardas adecuadas para que el nivel de riesgo sea aceptable.

Para que esto se plasme el Comité desarrollará un procedimiento de Análisis de Riesgos y Evaluación de Impacto Potencial que ha de establecer claramente los valores de riesgo aceptables, los criterios de aceptación de riesgo residual, la periodicidad del análisis y cuándo se realizará de modo excepcional.

El análisis de riesgos que realice EMASA atenderá igualmente y de manera concreta a aquellos que se deriven del tratamiento de los datos personales en el desempeño de sus funciones.

 

Protección de Datos Personales

EMASA únicamente recogerá datos personales cuando sean adecuados, pertinentes y no excesivos, y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas técnicas y organizativas pertinentes para el cumplimiento de la legislación en materia de protección de datos.

Estas medidas, tal y como se indica en la disposición adicional primera de la Ley 3/2018 de 5 de diciembre, sobre Protección de Datos y Garantía de Derechos Digitales, se corresponderán con las descritas en el Esquema Nacional de Seguridad, que estará definidas en las políticas, normativas y procedimientos que correspondan.

 

Estructura Normativa

La documentación relativa a la Seguridad de la Información estará clasificada en cuatro niveles, de manera que cada documento de un nivel se fundamenta en los de nivel superior:

  • Primer nivel: Política de Seguridad de la Información.
  • Segundo nivel: Normativas y Procedimientos de Seguridad.
  • Tercer nivel: Procedimientos Técnicos de Seguridad.
  • Cuarto nivel: Informes, registros y evidencias electrónicas.

Primer nivel: Política de Seguridad

Documento de obligado cumplimiento por todo el personal, interno y externo, de EMASA, recogido en el presente documento y aprobado mediante Decreto/Resolución/Otro.

Segundo Nivel: Normativas y Procedimientos de Seguridad

De obligado cumplimiento de acuerdo al ámbito organizativo, técnico o legal correspondiente.

La responsabilidad de aprobación de los documentos redactados en este nivel será competencia del Responsable de Seguridad bajo la supervisión del Comité de Seguridad.

Tercer Nivel: Procedimientos Técnicos de Seguridad

Documentos técnicos orientados a resolver las tareas, consideradas críticas por el perjuicio que causaría una actuación inadecuada, de seguridad, desarrollo, mantenimiento y explotación de los sistemas de información.

La responsabilidad de aprobación de estos procedimientos es del Responsable del Sistema, bajo la supervisión del Responsable de Seguridad. En el caso de que los procedimientos afectaran a varios sistemas de información, será responsabilidad del Responsable de Seguridad aprobarlos.

Cuarto Nivel: Informes, registros y evidencias electrónicas

Documentos de carácter técnico que recogen el resultado y las conclusiones de un estudio o una valoración; documentos de carácter técnico que recogen amenazas y vulnerabilidades de los sistemas de información, así como también evidencias electrónicas generadas durante todas las fases del ciclo de vida del sistema de información.

La responsabilidad de que existan este tipo de documentos es de cada uno de los Responsables de los Sistemas de Información en su ámbito.

Otra documentación

Se podrá seguir en todo momento los procedimientos, normas e instrucciones técnicas STIC, así como las guías CCN-STIC de las series 800.

Aprobación y Revisión de esta Política de Seguridad

La presente política de seguridad ha de ser un documento que refleje fielmente el compromiso de EMASA con la seguridad de la información. Por lo tanto, esta política podrá ser modificada a propuesta del Comité de Seguridad para adaptarse a cambios en el entorno legislativo, técnico u organizativo. Tanto la aprobación inicial de esta política como la revisión futura de la misma, se realizará por el Responsable de la Información tras propuesta del comité de seguridad de la información. Esta política se revisará, al menos, con una periodicidad anual por el comité de seguridad o cuando las circunstancias así lo requieran.

Juan José Denis Corrales

Director-Gerente de Emasa