A presente Política de Seguridade da Información formalízase co obxecto de dar cumprimento aos preceptos legais recollidos no Real Decreto 311/2022, do 3 de maio, polo que se regula o Esquema Nacional de Seguridade (en diante, ENS), no ámbito da Administración Electrónica, e constitúe a pedra angular para o Marco de Goberno e Xestión da Seguridade da Información formalizado no Consorcio de Compensación de Seguros E.P.E (en diante, CCS).

A finalidade do ENS é a creación das condicións necesarias de confianza no uso dos medios electrónicos, a través da identificación e implantación de medidas que permitan garantir a seguridade dos sistemas, os datos, as comunicacións e os servizos electrónicos, outorgando aos cidadáns e ás Administracións Públicas, o posible exercicio de dereitos e o cumprimento de deberes a través destes medios.

O ENS, no seu artigo 12, establece a obrigación de dispoñer dunha Política de Seguridade, especificando os principios básicos e os requisitos mínimos que debe cumprir a mesma.

Esta Política de Seguridade da información segue as pautas, instrucións e indicacións consideradas pola guía CCN-STIC-805 do Centro Criptológico Nacional, centro adscrito ao Centro Nacional de Intelixencia.

O CCS fai uso dos sistemas TIC (Tecnoloxías da Información e Comunicacións) para alcanzar os obxectivos estratéxicos que foron formalizados polos órganos de goberno (en diante, a Dirección). En consecuencia, estes sistemas deben ser administrados con dilixencia, tomando as medidas de seguridade adecuadas para protexer a información fronte a danos accidentais ou deliberados.

A información constitúe para a práctica totalidade dos servizos prestados polo CCS, o fío condutor imprescindible para a execución dos mesmos con garantías de eficiencia e calidade, alcanzando, con iso, o cumprimento dos obxectivos estratéxicos formalmente establecidos.

As dimensións principais de seguridade da información que deben ser garantidas na prestación de calquera servizo son:

• Confidencialidade: Garante que a información só se atopa accesible a persoas, entidades ou procesos autorizados.
• Integridade: Garante que a información só se xera, modifica e elimina por persoas, entidades ou procesos autorizados.
• Dispoñibilidade: Garante que a información se atopa accesible cando as persoas, entidades ou procesos autorizados precísano.

Doutra banda, preséntanse outras dimensións de seguridade, tales como a autenticación das partes, a rastrexabilidade ou o non repudio que, de igual forma, deben ser garantidas cando o valor de seguridade da información no contexto do servizo que estea a ser prestado, así o precise.

Isto implica que a organización e o seu persoal debe aplicar as medidas mínimas de seguridade esixidas polo ENS, así como realizar un seguimento continuo dos niveis de prestación dos servizos, monitorizar as vulnerabilidades alertadas, e preparar unha resposta efectiva aos incidentes para garantir as dimensións de seguridade sinaladas con anterioridade.

O CSS debe garantir que a seguridade é parte integral de cada etapa do ciclo de vida dos sistemas TIC, desde a súa concepción ata a súa retirada de servizo, pasando polas decisións de desenvolvemento ou adquisición, e as actividades propias de explotación.

A Política de Seguridade da Información baséase na adopción de principios claros e ben definidos que aseguren o cumprimento das directrices estratéxicas, os requirimentos legais, así como os contractuais formalizados con terceiros e, por tanto, constitúese como o instrumento principal no que se apoia o CCS para a utilización segura das tecnoloxías da información e comunicacións.

A normativa (estándares, procedementos e instrucións de seguridade) que emane da Política de Seguridade da Información do CCS pasará a formar parte da mesma unha vez fose divulgada, sendo de obrigado cumprimento para a totalidade dos empregados e terceiras partes que fagan uso da información propiedade do CCS.

Os empregados serán responsables da seguridade da información do CCS que procesan no desempeño das súas funcións, e deberán coñecer, comprender e cumprir as directrices e normas relativas á seguridade da información, velando pola correcta aplicación das medidas de protección habilitadas.

O acceso á información por parte dos empregados limitarase ao estritamente necesario para o correcto desempeño das funcións formalmente asignadas garantindo, con iso, a atención da política de mínimo privilexio.

A Política de Seguridade da Información queda establecida como o documento de alto nivel que formaliza as distintas directrices de actuación en materia de seguridade adoptadas polo CCS, e que serán desenvoltas en maior detalle na correspondente normativa de seguridade (estándares, procedementos e instrucións de seguridade) elaborada a tales efectos.

Baixo esta premisa, por tanto, a Política de Seguridade da Información contempla os seguintes obxectivos principais:

• Dar cumprimento á normativa legal de aplicación no ámbito da seguridade da información.
• Contribuír a cumprir coa misión e obxectivos estratéxicos formalizados.
• Aliñar a seguridade da información cos requirimentos demandados polos servizos prestados mediante a formalización e execución do proceso de análise e avaliación dos riscos aos que se atopan expostos os distintos activos de información, alcanzando a definición dunha estratexia para a mitigación dos riscos relacionados coa contorna da seguridade da información.
• Garantir a protección adecuada dos distintos activos de información en función do grao de sensibilidade e criticidad alcanzado polos mesmos (valor de seguridade dos activos de información segundo as distintas dimensións consideradas).
• Facilitar o dimensionamiento dos recursos necesarios para a correcta implantación das medidas de seguridade de índole técnica e organizativa recollidas na normativa de seguridade documentada a tales efectos.
• Fomentar o uso de boas prácticas en materia de seguridade da información, así como crear unha cultura de seguridade no contexto da estrutura organizativa.
• Impulsar a definición, implantación e mantemento dun Plan de Continuidade de Negocio.
• Establecer os mecanismos de revisión, monitorización, auditoría e mellora continua co obxecto de manter os niveis de seguridade oportunos demandados polos servizos prestados.

O CCS aplicará a presente Política de Seguridade da Información sobre todos aqueles sistemas de información e de comunicacións que se vexan afectados polo ámbito de aplicación do ENS.

A formalización da Política de Seguridade da Información, así como a normativa de seguridade que se derive da mesma, terá en consideración e integrará a seguinte normativa legal aplicable á actividade principal do CCS:

• Real Decreto 311/2022, do 3 de maio, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica.
• Real Decreto 4/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Interoperabilidade no ámbito da Administración Electrónica, no que se refire ás medidas de seguridade técnicas e organizativas a implantar.
• Lei 39/2015, do 1 de outubro, do Procedemento Administrativo Común das Administracións Públicas.
• Lei 40/2015, do 1 de outubro, de Réxime Xurídico do Sector Público.
• Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016 (en diante, RGPD – Regulamento Xeral de Protección de Datos), relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos.
• Lei Orgánica, 3/2018, do 5 de decembro de 2018, de Protección de Datos Persoais e Garantía dos Dereitos Dixitais (en diante, Lei 3/2018).
• Lei 9/2017, do 8 de novembro, de Contratos do Sector Público, pola que se transponen ao ordenamento xurídico español as Directivas do Parlamento Europeo e do Consello 2014/23/UE e 2014/24/UE, do 26 de febreiro de 2014.
• Real Decreto-Lei 14/2019, do 31 de outubro, polo que se adoptan medidas urxentes por razóns de seguridade pública en materia de administración dixital, contratación do sector público e telecomunicacións.
• Lei 34/2002, do 11 de xullo, de Servizos da Sociedade da Información e de Comercio Electrónico (en diante, LSSICE).
• Lei 6/2020, do 11 de novembro, reguladora de determinados aspectos dos servizos electrónicos de confianza, que adapta o ordenamento xurídico español ao Regulamento (UE) 910/2014 (tamén coñecido como eIDAS).
• Texto Refundido da Lei de Propiedade Intelectual, aprobado mediante o Real Decreto Lexislativo 1/1996, do 12 de abril de 1996. Esta normativa foi modificada por varias leis, incluíndo a Lei 21/2014, que traspón o contido das directivas europeas á lexislación española, e a Lei 2/2019, que incorpora a Directiva 2014/26/UE e a Directiva (UE) 2017/1564.
• Orde PCI/487/2019, DO 26 de abril, pola que se publica a Estratexia Nacional de Ciberseguridade 2019, aprobada polo Consello de Seguridade Nacional.

E demais disposicións concordantes e de desenvolvemento das mencionadas anteriormente.

Co obxecto de garantir o cumprimento dos obxectivos de seguridade identificados con anterioridade, a Política de Seguridade da Información formaliza a aplicación de determinados principios de seguridade.

5.1. SEGURIDADE COMO PROCESO INTEGRAL

A seguridade enténdese como un proceso integral constituído por todos os elementos humanos, materiais, técnicos, xurídicos e organizativos relacionados cos sistemas de información utilizados como soporte para a prestación de servizos. Neste sentido, por tanto, todas as actividades de seguridade serán executadas baixo esta perspectiva, evitando calquera actuación puntual ou tratamento conxuntural.

Prestarase a máxima atención á concienciación das persoas que interveñen na prestación dos servizos, e a dos responsables xerárquicos co obxecto de evitar que o descoñecemento, a falta de organización e de coordinación ou de instrucións adecuadas, constitúan fontes de risco para a seguridade da información.

5.2. XESTIÓN DA SEGURIDADE BASEADA NOS RISCOS

A análise e a xestión dos riscos é parte esencial do proceso de seguridade, debendo constituír unha actividade continua e permanentemente actualizada.

A xestión dos riscos permitirá o mantemento dunha contorna de información controlado, minimizando os riscos ata niveis aceptables.

A redución do risco ata tales niveis alcanzarase mediante a aplicación de medidas de seguridade, de forma equilibrada e proporcionada á natureza da información tratada, os servizos para prestar e os riscos aos que estean expostos os distintos activos de información utilizados.

5.3. PREVENCIÓN, DETECCIÓN E RESPOSTA

A seguridade da información debe contemplar as accións relativas aos aspectos de prevención, detección e resposta, co obxecto de minimizar as vulnerabilidades existentes, e lograr que as ameazas non se materialicen ou que, no caso de facelo, non afecten gravemente a información ou os servizos prestados.

As medidas de prevención, que poderán incorporar compoñentes orientados á disuasión ou á redución da superficie de exposición, deben reducir a posibilidade de que as ameazas cheguen a materializarse.

As medidas de detección estarán orientadas á alerta temperá de calquera escenario de materialización de ameazas.

As medidas de resposta, que se xestionarán en tempo oportuno, estarán orientadas á restauración da información e os servizos que puidesen verse afectados por un incidente de seguridade.

5.4. EXISTENCIA DE LIÑAS DE DEFENSA

Deberase garantir que a estratexia de protección queda conformada por múltiples capas de seguridade, dispostas de xeito que, cando unha das capas véxase comprometida, póidase reaccionar adecuadamente fronte aos incidentes que non puideron evitarse, reducindo a probabilidade de que poidan propagarse.

As liñas de defensa han de estar constituídas por medidas de natureza organizativa, física e lóxica.

5.5. VIXILANCIA CONTINUA E REEVALUACIÓN PERIÓDICA

A vixilancia continua permitirá a detección de actividades ou comportamentos anómalos e a súa oportuna resposta.

A avaliación permanente do estado de seguridade dos activos de información permitirá medir a súa evolución, detectando vulnerabilidades e identificando deficiencias de configuración.

As medidas de seguridade se reevaluarán e actualizarán periodicamente, adecuando a súa eficacia á evolución dos riscos e os sistemas de protección, podendo chegar a un replanteamiento da seguridade, se fose necesario.

5.6. DIFERENCIACIÓN DE RESPONSABILIDADES

A responsabilidade da seguridade da información estará diferenciada da responsabilidade sobre a explotación dos sistemas de información.

O desenvolvemento da Política de Seguridade da Información deberá permitir o cumprimento de determinados requisitos de seguridade.

6.1. ORGANIZACIÓN E IMPLANTACIÓN DO PROCESO DE SEGURIDADE

A seguridade deberá comprometer a todos os membros da organización.

6.2. XESTIÓN DE RISCOS

O proceso de xestión de riscos estará conformado polas actividades de análises e tratamento dos riscos garantindo a aplicación do principio de proporcionalidade.

6.3. XESTIÓN DE PERSOAL

O persoal, propio ou alleo, deberá ser formado e informado dos seus deberes, obrigacións e responsabilidades en materia de seguridade.

A súa actuación, que deberá ser supervisada para verificar que se seguen os procedementos establecidos, aplicará as normas e procedementos operativos de seguridade aprobados no desempeño dos seus labores.

O significado e alcance do uso seguro dos activos de información concretarase e plasmará nunhas normas de seguridade específicas.

6.4. PROFESIONALIDADE

A seguridade da información estará atendida e será revisada e auditada por persoal cualificado, dedicado e instruído en todas as fases do ciclo de vida dos sistemas de información: planificación, deseño, adquisición, construción, despregamento, explotación, mantemento, xestión de incidencias e baixa.

As entidades terceiras que presten servizos de seguridade deberán contar con profesionais cualificados, así como niveis idóneos de xestión e madurez nos servizos prestados.

Determinaranse os requisitos de formación e experiencia necesaria do persoal para o desenvolvemento do seu posto de traballo.

6.5. AUTORIZACIÓN E CONTROL DE ACCESOS

O acceso controlado aos sistemas de información deberá estar limitado aos usuarios, procesos, dispositivos ou outros sistemas de información, debidamente autorizados, e exclusivamente ás funcións permitidas.

6.6. PROTECCIÓN DAS INSTALACIÓNS

Os sistemas de información e a súa infraestrutura de comunicacións asociada deberán permanecer en áreas controladas e dispoñer dos mecanismos de acceso adecuados e proporcionais en función da análise de riscos.

6.7. MÍNIMO PRIVILEXIO

Os sistemas de información deben deseñarse e configurarse outorgando os mínimos privilexios necesarios para o seu correcto desempeño, o que implica incorporar os seguintes aspectos:

1. Os sistemas de información proporcionarán a funcionalidade imprescindible para que se alcancen os obxectivos competenciais ou contractuais.
2. As funcións de operación, administración e rexistro de actividade serán as mínimas necesarias, e asegurarase que só son desenvolvidas polas persoas autorizadas, desde emprazamentos ou equipos así mesmo autorizados, podendo esixirse, no seu caso, restricións de horario e puntos de acceso facultados.
3. Eliminaranse ou desactivarán mediante o control da configuración as funcións que sexan innecesarias ou inadecuadas ao fin que se persegue. O uso ordinario dos sistemas de información ha de ser sinxelo e seguro, de forma que unha utilización insegura requira dun acto consciente por parte do usuario.

6.8. ADQUISICIÓN / CONTRATACIÓN DE PRODUTOS E SERVIZO DE SEGURIDADE

Na adquisición de produtos de seguridade ou contratación de servizos de seguridade das tecnoloxías da información e a comunicación que vaian ser empregados nos sistemas de información do ámbito de aplicación do ENS, utilizaranse, de forma proporcionada á categoría do sistema e o nivel de seguridade determinados, aqueles que teñan certificada a funcionalidade de seguridade relacionada co obxecto da súa adquisición.

O Organismo de Certificación do Esquema Nacional de Avaliación e Certificación de Seguridade das Tecnoloxías da Información do Centro Criptológico Nacional (en diante, CCN), constituído ao amparo do disposto no artigo 2.2.c) do Real Decreto 421/2004, do 12 de marzo, polo que se regula o Centro Criptológico Nacional, @teniendo en cuenta os criterios e metodoloxías de avaliación nacionais e internacionais recoñecidas por este organismo e en función do uso previsto do produto ou servizo concreto dentro das súas competencias, determinará os seguintes aspectos:

1. Os requisitos funcionais de seguridade e de aseguranza da certificación.
2. Outras certificacións de seguridade adicionais que se requiran normativamente.
3. Excepcionalmente, o criterio para seguir nos casos en que non existan produtos ou servizos certificados.

Para a contratación de servizos de seguridade estarase ao sinalado nos apartados anteriores e ao disposto no requisito de profesionalidade.

6.9. INTEGRIDADE E ACTUALIZACIÓN DO SISTEMA

A inclusión de calquera elemento físico ou lóxico no rexistro de activos de información, ou a súa modificación, requirirá autorización formal previa.

A avaliación e monitorización permanentes permitirán adecuar o estado de seguridade dos sistemas de información atendendo ás deficiencias de configuración, as vulnerabilidades identificadas e as actualizacións que lles afecten, así como a detección temperá de calquera incidente que teña lugar sobre os mesmos.

6.10. PROTECCIÓN DE INFORMACIÓN ALMACENADA E EN TRÁNSITO

Prestarase especial atención á información almacenada ou en tránsito a través dos equipos ou dispositivos portátiles ou móbiles, os dispositivos periféricos, os soportes de información e as comunicacións sobre redes abertas, que deberán analizarse especialmente para lograr unha adecuada protección.

6.11. PREVENCIÓN ANTE OUTROS SISTEMAS DE INFORMACIÓN INTERCONECTADOS

Protexerase o perímetro dos sistemas de información, especialmente, se se conecta a redes públicas, reforzándose as tarefas de prevención, detección e resposta a incidentes de seguridade. En todo caso, analizaranse os riscos derivados da interconexión dos sistemas de información con outros sistemas, e controlarase o seu punto de unión.

6.12. REXISTRO DE ACTIVIDADE E DETECCIÓN DE CÓDIGO DANIÑO

Rexistraranse as actividades dos usuarios, retendo a información estritamente necesaria para monitorizar, analizar, investigar e documentar actividades indebidas ou non autorizadas, permitindo identificar en cada momento a persoa que actúa. Todo iso, levará a cabo en cumprimento das disposicións legais de aplicación neste ámbito de actuación.

Co obxecto de preservar a seguridade dos sistemas de información, garantindo a rigorosa observancia da normativa legal de aplicación, poderase analizar as comunicacións entrantes e saíntes, e unicamente para remates de seguridade da información, de xeito que sexa posible impedir o acceso non autorizado ás redes e sistemas de información, deter os ataques de denegación do servizo, evitar a distribución malintencionada de código daniño, así como outros danos.

Para corrixir ou, no seu caso, esixir responsabilidades, cada usuario que acceda ao sistema de información deberá estar identificado de forma única, de modo que se saiba, en todo momento, quen recibe dereitos de acceso, de que tipo son estes, e quen realizou unha determinada actividade.

6.13. INCIDENTES DE SEGURIDADE

Dispoñerase de procedementos de xestión de incidentes de seguridade, así como canles de comunicación ás partes solicitadas, e o rexistro das actuacións. Este rexistro empregarase para a mellora continua da seguridade dos sistemas de información.

6.14. CONTINUIDADE DA ACTIVIDADE

Os sistemas de información dispoñerán de copias de seguridade, e estableceranse os mecanismos necesarios para garantir a continuidade das operacións en caso de perda dos medios habituais.

6.15. MELLORA CONTINUA

O proceso integral de seguridade da información implantado deberá ser actualizado e mellorado de forma continua.

Os sistemas que conforman o alcance da presente Política de Seguridade da Información atópanse suxeitos a unha análise e avaliación de riscos co obxecto de identificar as ameazas ás que se atopan expostos, avaliar o impacto asociado á materialización de tales ameazas, e determinar as situacións de riscos que poderían derivarse.

O resultado desta análise e avaliación de riscos permitirá a identificación e proposición das medidas de seguridade oportunas como estratexia para a mitigación dos mesmos.

Esta análise de riscos atende ás seguintes características principais:

• Está baseado na aplicación de normas e metodoloxías de xestión de riscos recoñecidas como boas prácticas a nivel nacional e internacional.
• Establece unha valoración de referencia para a información e os servizos prestados, de tal forma, que se obteñan resultados homoxéneos na execución das actividades inherentes á análise de riscos.
• Execútase con periodicidade anual, ou cando se presentan os seguintes escenarios:
  • Modificación substancial da información xestionada, os servizos prestados, ou os sistemas que actúan como soporte para a prestación de tales servizos.
  • Identificación de novos vectores de ataque, ameazas ou vulnerabilidades asociadas ao sistema.
  • Presenza dun incidente grave de seguridade.

O Comité de Seguridade da Información liderará a execución periódica da análise de riscos, planificando os recursos técnicos, humanos e económicos necesarios a tales efectos.

A normativa de seguridade establecida polo CCS estrutúrase nos seguintes niveis relacionados jerárquicamente:

1. Nivel I: Política de Seguridade da Información
2. Nivel II: Estándares de Seguridade da Información
3. Nivel III: Procedementos de Seguridade da Información
4. Nivel IV: Instrucións específicas de Seguridade da Información

Esta estrutura xerárquica permite adaptar con eficiencia os niveis inferiores aos cambios na contorna operativa do CCS.

O persoal do CCS terá a obrigación de coñecer e cumprir, alén da Política de Seguridade da Información, todos os estándares, procedementos e instrucións de seguridade que poidan afectar ao desempeño das súas funcións.

A normativa de seguridade estará dispoñible para todos os usuarios e, en particular, para aqueles que utilicen, operen ou administren os sistemas de información e de comunicacións considerados no alcance.

A organización da seguridade no CCS queda establecida mediante a identificación e definición das diferentes funcións e responsabilidades consideradas nesta materia, así como a implantación da estrutura organizativa composta por:

1. Comité de Seguridade da Información.
2. Responsable de Seguridade.
3. Responsable de Sistemas.
4. Responsable da Información.
5. Responsable do Servizo.
6. Delegado de Protección de Datos

9.1. COMITÉ DE SEGURIDADE DA INFORMACIÓN

Actúa como máximo órgano de control, supervisión e harmonización en materia de seguridade da información. O Comité de Seguridade da Información pertencerá aos órganos de goberno da organización.

9.1.1. COMPOSICIÓN

O Comité de Seguridade da Información está conformado polos seguintes membros permanentes:

• Presidente/a
• Secretario/a
• Vocais

En función do orden do día exposto polo Responsable de Seguridade, na convocatoria do Comité de Seguridade da Información poderase solicitar a asistencia dalgúns dos Responsables de Servizo identificados ou o Delegado de Protección de Datos se fose preciso para a toma de decisións oportuna.

O Comité de Seguridade da Información non é un comité técnico, con todo, solicitará regularmente do persoal técnico propio ou externo, a información pertinente para a toma de decisións ou emisión dunha opinión determinada. Este asesoramento determinarase en cada caso podendo materializarse de diferentes formas:

• Apoiándose nun asesoramento externo.
• Conformando grupos de traballo especializados internos, externos ou mixtos.
• Asistindo a seminarios ou outro tipo de contornas formativas ou de intercambio de experiencias.

9.1.2. FUNCIÓNS

As funcións do Comité de Seguridade da Información serían as seguintes:

• Atender as inquietudes da Dirección e dos Responsables de Servizos.
• Informar regularmente o estado da seguridade da información á Dirección.
• Promover a mellora continua do Modelo de Goberno e Xestión da Seguridade.
• Promover a execución das auditorías periódicas que permitan verificar o cumprimento das obrigacións en materia de seguridade.
• Coordinar os esforzos das diferentes áreas en materia de seguridade da información para asegurar o seu aliñamento cos obxectivos de seguridade formalizados.
• Resolver os conflitos de interese que poidan presentarse entre os diferentes responsables e/o entre diferentes unidades organizativas, elevando a Dirección aqueles casos nos que non teña suficiente autoridade para decidir.
•  Elaborar, revisar regularmente e aprobar a Política de Seguridade da información.
• Aprobar os estándares de seguridade da información elaborados polo Responsable de Seguridade.
• Elaborar e aprobar os requisitos de formación e cualificación dos roles identificados desde o punto de vista de seguridade da información.
• Aprobar os plans de mellora continua da seguridade da información. En particular, velar pola coordinación de diferentes plans que poidan exporse en diferentes áreas.
• Efectuar o seguimento oportuno con relación á estratexia de mitigación de riscos formalizada.
• Monitorizar o desempeño dos procesos de xestión de incidentes de seguridade e recomendar posibles actuacións a tales efectos. En particular, velar pola coordinación das diferentes áreas na xestión de incidentes de seguridade da información.
• Velar por que a seguridade da información téñase en conta en todos os proxectos TIC desde a súa especificación inicial ata a súa posta en operación (garantías de seguridade por deseño).

9.2. FUNCIÓNS E RESPONSABILIDADES

A asignación de funcións e responsabilidades en materia de seguridade atópase debidamente aliñada coas competencias funcionais formalizadas no contexto da estrutura organizativa do CCS.

9.2.1. RESPONSBLE DO SERVIZO

A función de Responsable do Servizo asume as seguintes responsabilidades principais:

• Actuar como propietario dos riscos aos que se atopa exposto o servizo.
• Determinar e manter actualizados os niveis de seguridade do servizo, valorando os impactos derivados dos incidentes que afectan a seguridade da información conforme o establecido no ENS.

Para a execución desta actividade, poderá actuar de forma coordinada co Responsable de Seguridade e o Responsable de Sistemas.

• Garantir os niveis de seguridade do servizo.
• Executar a análise de riscos de seguridade do servizo coa participación do Responsable de Seguridade, así como seleccionar as medidas de índole técnica e organizativa necesarias como estratexia de mitigación dos escenarios de risco identificados.
• Efectuar o seguimento, monitorización e control dos escenarios de risco identificados.

O Responsable do Servizo remitirá ao Responsable de Seguridade o resultado das tarefas executadas no ámbito das súas responsabilidades, polo menos, unha vez ao ano ou a petición de leste, reportando o resultado en formato adecuado para a integración da información.

O Responsable do Servizo sería designado no contexto da dirección executiva encargada da aplicación dos procesos oportunos para alcanzar a consecución dos obxectivos estratéxicos definidos polos órganos de goberno.

9.2.2. RESPONSABLE DE SEGURIDADE

A función de Responsable de Seguridade asume as seguintes responsabilidades principais:

• Participar na elaboración da Política de Seguridade da Información para a revisión e aprobación por parte do Comité de Seguridade da Información.
• Elaborar e aprobar os procedementos e instrucións de seguridade.
• Velar polo mantemento actualizado do corpo normativo de seguridade e os rexistros asociados.
• Formalizar e divulgar a normativa de seguridade que emana da Política de Seguridade da Información.
• Promover a formación e concienciación en materia de seguridade da información dentro do seu ámbito de responsabilidade.
• Elaborar os Plans de Formación e Concienciación do persoal en materia de seguridade, sendo estes aprobados polo Comité de Seguridade da Información.
• Monitorizar o correcto cumprimento dos obxectivos de seguridade formalizados.
• Recompilar os requisitos de seguridade dos Responsables de Servizos.
• Determinar formalmente a categoría dos sistemas de información en función dos niveis de seguridade identificados polos Responsables de Servizos.
• Colaborar cos Responsables de Servizos na execución da análise de riscos.
• Elaborar a Declaración de Aplicabilidade como resultado da análise de riscos.
• Elaborar o Plan de Tratamento de Riscos para a súa consideración e aprobación polo Comité de Seguridade da Información.
• Aprobar as directrices propostas polo Responsable de Sistemas para considerar a seguridade durante todo o ciclo de vida dos activos (principio de seguridade por defecto).
• Colaborar co Delegado de Protección de Datos na identificación das medidas de seguridade precisas en materia de protección de datos persoais.
• Liderar as reunións do Comité de Seguridade da Información.
• Facilitar periodicamente ao Comité de Seguridade da Información un reporte de actuacións en materia de seguridade, de incidentes relevantes acaecidos e do estado da seguridade (en particular do nivel de risco residual ao que quedan expostos os distintos servizos identificados).
• Expoñer ao Comité de Seguridade da Información e a Dirección as necesidades e propostas identificadas en materia de seguridade como estratexia para a mitigación dos riscos.

Garantirase a segregación de funcións oportuna entre a figura do Responsable de Seguridade e calquera outra función relacionada coa prestación de servizos.

O Responsable de Seguridade sería designado no contexto dos órganos de goberno.

9.2.3. RESPONSABLE DE SISTEMAS

A función de Responsable de Sistemas asume as seguintes responsabilidades principais:

• Desenvolver, operar e manter os sistemas de información durante todo o seu ciclo de vida segundo especificacións formalizadas, verificando o seu correcto funcionamento.
• Garantir que as medidas específicas de seguridade intégrense adecuadamente dentro do marco xeral de seguridade.
• Acordar a suspensión da prestación dun servizo determinado se é informado de deficiencias graves de seguridade que puidesen afectar a satisfacción dos requisitos establecidos. Esta decisión debe ser acordada co Responsable do Servizo afectado e co Responsable de Seguridade antes de ser executada.
• Controlar a implantación das medidas de seguridade que aplican para provedores de TI durante as etapas de desenvolvemento, instalación e proba dos sistemas.
• Determinar a configuración autorizada de hardware e software que debe ser aplicada nos sistemas.
• Delimitar as responsabilidades das distintas funcións involucradas no mantemento, explotación, implantación e supervisión dos sistemas.
• Elaborar procedementos de seguridade de forma conxunta co Responsable de Seguridade.
• Establecer plans de continxencia, levando a cabo a planificación de exercicios periódicos para que o persoal se familiarice con tales plans.
• Aprobar os cambios que afecten a seguridade do modo de operación dos sistemas.
• Aprobar toda modificación substancial da configuración de calquera elemento dos sistemas.
• Monitorizar o estado da seguridade dos sistemas, e reportalo periodicamente ou ante incidentes de seguridade relevantes ao Responsable de Seguridade.

9.2.4. USUARIOS

Os usuarios asumen as seguintes responsabilidades principais:

• Coñecer e cumprir a Política de Seguridade da Información, así como a normativa de seguridade que se deriva da mesma e que sexa de aplicación no desempeño das súas funcións.
• Colaborar na notificación ao Responsable de Seguridade de todo incidente que se detecte relativo á seguridade da información.
• Colaborar na notificación ao Delegado de Protección de Datos de toda fenda que se detecte relativa á seguridade dos datos persoais.
• Utilizar os activos de información para o propósito establecido.
• Atender os acordos de confidencialidade da información derivados da formalización da súa relación laboral coa entidade.

Todo o persoal do CCS ten a obrigación de coñecer e cumprir esta Política de Seguridade da Información e a normativa que se derive da mesma, sendo responsabilidade do Comité de Seguridade da Información dispoñer os medios necesarios para que a información chegue aos afectados.

Todo o persoal atenderá a unha acción continua de concienciación en materia de seguridade. Establecerase un programa continuo de accións de concienciación para atender a todo o persoal, en particular, aos de nova incorporación.

O persoal deberá usar o procedemento para a notificación de incidentes de seguridade habilitado para ese efecto en caso de detectar un posible incidente.

As persoas con responsabilidade na operación ou administración de sistemas recibirán a formación oportuna para a xestión segura dos mesmos.

Cando o CCS requira da participación de terceiras partes para a prestación dun servizo, faralles participes da normativa de seguridade que sexa de consideración no contexto da devandita colaboración, quedando estes suxeitos ás obrigacións establecidas en @dicha normativa e, formalmente, aos requisitos de seguridade identificados para o alcance dos servizos externalizados.

Formalizaranse os procedementos específicos de reporte e resolución de incidentes que puidesen presentarse durante a prestación do servizo.

Cando algún aspecto da normativa de seguridade non poida ser satisfeito por unha terceira parte, requirirase a autorización do Responsable de Seguridade previa identificación dos riscos en que se incorre e a forma de tratalos, non sendo posible a formalización da contratación con carácter previo á obtención da devandita autorización.

O CCS conta cun Sistema de Xestión da Privacidade ao que terá acceso só as persoas autorizadas, composto polas políticas e procedementos necesarios para dar cumprimento aos requisitos do RGPD, a Lei 3/2018, así como ao resto de normativa vixente na materia.

O CCS trata datos de carácter persoal con diferentes finalidades atopándose identificadas no Rexistro de Actividades do Tratamento publicado na páxina web www.consorseguros.es

Todos os sistemas de información do CCS axustaranse aos niveis de seguridade requiridos pola normativa para a natureza e finalidade dos datos de carácter persoal recollidos no mencionado Sistema de Xestión da Privacidade.

O CCS, asesorado polo Delegado de Protección de Datos, realizará unha análise de riscos periódico en materia de privacidade nos termos establecidos no artigo 24 RGPD, así como as avaliacións de impacto pertinentes conforme o previsto no artigo 35 RGPD.

En todo caso, prevalecerán as medidas para implantar como consecuencia da análise de riscos e, no seu caso, das avaliacións de impacto realizadas, en caso de resultar agravadas respecto a as previstas no ENS.

A Política de Seguridade da Información será revisada anualmente polo Responsable de Seguridade ou cando exista un cambio significativo (enfoque da xestión da seguridade, circunstancias da operativa, cambios legais, cambios no ambiente técnico, recomendacións realizadas por autoridades de control, tendencias relacionadas con ameazas e vulnerabilidades etc.)/ etc.) que obrigue a iso.

No caso de que se obteña unha nova versión da Política de Seguridade da Información, precisarase a aprobación formal do Comité de Seguridade da Información con carácter previo á súa divulgación.

Texto aprobado polo Comité de Seguridade da Información o día 22 de Decembro de 2025.

Esta Política de Seguridade da Información é efectiva desde o día seguinte ao da súa data de aprobación e ata que sexa substituída por unha nova política.

A súa entrada en vigor supón a derogación de calquera outra política que existise a tales efectos.