La presente Política de Seguridad de la Información se formaliza con el objeto de dar cumplimiento a los preceptos legales recogidos en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS), en el ámbito de la Administración Electrónica, y constituye la piedra angular para el Marco de Gobierno y Gestión de la Seguridad de la Información formalizado en el Consorcio de Compensación de Seguros E.P.E (en adelante, CCS).

La finalidad del ENS es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de la identificación e implantación de medidas que permitan garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, otorgando a los ciudadanos y a las Administraciones Públicas, el posible ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

El ENS, en su artículo 12, establece la obligación de disponer de una Política de Seguridad, especificando los principios básicos y los requisitos mínimos que debe cumplir la misma.

Esta Política de Seguridad de la información sigue las pautas, instrucciones e indicaciones consideradas por la guía CCN-STIC-805 del Centro Criptológico Nacional, centro adscrito al Centro Nacional de Inteligencia.

El CCS hace uso de los sistemas TIC (Tecnologías de la Información y Comunicaciones) para alcanzar los objetivos estratégicos que han sido formalizados por los órganos de gobierno (en adelante, la Dirección). En consecuencia, estos sistemas deben ser administrados con diligencia, tomando las medidas de seguridad adecuadas para proteger la información frente a daños accidentales o deliberados.

La información constituye para la práctica totalidad de los servicios prestados por el CCS, el hilo conductor imprescindible para la ejecución de los mismos con garantías de eficiencia y calidad, alcanzando, con ello, el cumplimiento de los objetivos estratégicos formalmente establecidos.

Las dimensiones principales de seguridad de la información que deben ser garantizadas en la prestación de cualquier servicio son:

• Confidencialidad: Garantiza que la información solo se encuentra accesible a personas, entidades o procesos autorizados.
• Integridad: Garantiza que la información solo se genera, modifica y elimina por personas, entidades o procesos autorizados.
• Disponibilidad: Garantiza que la información se encuentra accesible cuando las personas, entidades o procesos autorizados lo precisan.

Por otro lado, se presentan otras dimensiones de seguridad, tales como la autenticación de las partes, la trazabilidad o el no repudio que, de igual forma, deben ser garantizadas cuando el valor de seguridad de la información en el contexto del servicio que esté siendo prestado, así lo precise.

Esto implica que la organización y su personal debe aplicar las medidas mínimas de seguridad exigidas por el ENS, así como realizar un seguimiento continuo de los niveles de prestación de los servicios, monitorizar las vulnerabilidades alertadas, y preparar una respuesta efectiva a los incidentes para garantizar las dimensiones de seguridad señaladas con anterioridad.

El CSS debe garantizar que la seguridad es parte integral de cada etapa del ciclo de vida de los sistemas TIC, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición, y las actividades propias de explotación.

La Política de Seguridad de la Información se basa en la adopción de principios claros y bien definidos que aseguren el cumplimiento de las directrices estratégicas, los requerimientos legales, así como los contractuales formalizados con terceros y, por tanto, se constituye como el instrumento principal en el que se apoya el CCS para la utilización segura de las tecnologías de la información y comunicaciones.

La normativa (estándares, procedimientos e instrucciones de seguridad) que emane de la Política de Seguridad de la Información del CCS pasará a formar parte de la misma una vez haya sido divulgada, siendo de obligado cumplimiento para la totalidad de los empleados y terceras partes que hagan uso de la información propiedad del CCS.

Los empleados serán responsables de la seguridad de la información del CCS que procesan en el desempeño de sus funciones, y deberán conocer, comprender y cumplir las directrices y normas relativas a la seguridad de la información, velando por la correcta aplicación de las medidas de protección habilitadas.

El acceso a la información por parte de los empleados se limitará al estrictamente necesario para el correcto desempeño de las funciones formalmente asignadas garantizando, con ello, la atención de la política de mínimo privilegio.

La Política de Seguridad de la Información queda establecida como el documento de alto nivel que formaliza las distintas directrices de actuación en materia de seguridad adoptadas por el CCS, y que serán desarrolladas en mayor detalle en la correspondiente normativa de seguridad (estándares, procedimientos e instrucciones de seguridad) elaborada a tales efectos.

Bajo esta premisa, por tanto, la Política de Seguridad de la Información contempla los siguientes objetivos principales:

• Dar cumplimiento a la normativa legal de aplicación en el ámbito de la seguridad de la información.
• Contribuir a cumplir con la misión y objetivos estratégicos formalizados.
• Alinear la seguridad de la información con los requerimientos demandados por los servicios prestados mediante la formalización y ejecución del proceso de análisis y evaluación de los riesgos a los que se encuentran expuestos los distintos activos de información, alcanzando la definición de una estrategia para la mitigación de los riesgos relacionados con el entorno de la seguridad de la información.
• Garantizar la protección adecuada de los distintos activos de información en función del grado de sensibilidad y criticidad alcanzado por los mismos (valor de seguridad de los activos de información según las distintas dimensiones consideradas).
• Facilitar el dimensionamiento de los recursos necesarios para la correcta implantación de las medidas de seguridad de índole técnica y organizativa recogidas en la normativa de seguridad documentada a tales efectos.
• Fomentar el uso de buenas prácticas en materia de seguridad de la información, así como crear una cultura de seguridad en el contexto de la estructura organizativa.
• Impulsar la definición, implantación y mantenimiento de un Plan de Continuidad de Negocio.
• Establecer los mecanismos de revisión, monitorización, auditoría y mejora continua con el objeto de mantener los niveles de seguridad oportunos demandados por los servicios prestados.

El CCS aplicará la presente Política de Seguridad de la Información sobre todos aquellos sistemas de información y de comunicaciones que se vean afectados por el ámbito de aplicación del ENS.

La formalización de la Política de Seguridad de la Información, así como la normativa de seguridad que se derive de la misma, tendrá en consideración e integrará la siguiente normativa legal aplicable a la actividad principal del CCS:

• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
• Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, en lo que se refiere a las medidas de seguridad técnicas y organizativas a implantar.
• Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
• Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, RGPD – Reglamento General de Protección de Datos), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• Ley Orgánica, 3/2018, de 5 de diciembre de 2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, Ley 3/2018).
• Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.
• Real Decreto-Ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante, LSSICE).
• Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, que adapta el ordenamiento jurídico español al Reglamento (UE) 910/2014 (también conocido como eIDAS).
• Texto Refundido de la Ley de Propiedad Intelectual, aprobado mediante el Real Decreto Legislativo 1/1996, de 12 de abril de 1996. Esta normativa ha sido modificada por varias leyes, incluyendo la Ley 21/2014, que traspone el contenido de las directivas europeas a la legislación española, y la Ley 2/2019, que incorpora la Directiva 2014/26/UE y la Directiva (UE) 2017/1564.
• Orden PCI/487/2019, DE 26 de abril, por la que se publica la Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional.

Y demás disposiciones concordantes y de desarrollo de las mencionadas anteriormente.

Con el objeto de garantizar el cumplimiento de los objetivos de seguridad identificados con anterioridad, la Política de Seguridad de la Información formaliza la aplicación de determinados principios de seguridad.

5.1. SEGURIDAD COMO PROCESO INTEGRAL

La seguridad se entiende como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con los sistemas de información utilizados como soporte para la prestación de servicios. En este sentido, por tanto, todas las actividades de seguridad serán ejecutadas bajo esta perspectiva, evitando cualquier actuación puntual o tratamiento coyuntural.

Se prestará la máxima atención a la concienciación de las personas que intervienen en la prestación de los servicios, y la de los responsables jerárquicos con el objeto de evitar que el desconocimiento, la falta de organización y de coordinación o de instrucciones adecuadas, constituyan fuentes de riesgo para la seguridad de la información.

5.2. GESTIÓN DE LA SEGURIDAD BASADA EN LOS RIESGOS

El análisis y la gestión de los riesgos es parte esencial del proceso de seguridad, debiendo constituir una actividad continua y permanentemente actualizada.

La gestión de los riesgos permitirá el mantenimiento de un entorno de información controlado, minimizando los riesgos hasta niveles aceptables.

La reducción del riesgo hasta tales niveles se alcanzará mediante la aplicación de medidas de seguridad, de forma equilibrada y proporcionada a la naturaleza de la información tratada, los servicios a prestar y los riesgos a los que estén expuestos los distintos activos de información utilizados.

5.3. PREVENCIÓN, DETECCIÓN Y RESPUESTA

La seguridad de la información debe contemplar las acciones relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar las vulnerabilidades existentes, y lograr que las amenazas no se materialicen o que, en el caso de hacerlo, no afecten gravemente a la información o los servicios prestados.

Las medidas de prevención, que podrán incorporar componentes orientados a la disuasión o a la reducción de la superficie de exposición, deben reducir la posibilidad de que las amenazas lleguen a materializarse.

Las medidas de detección estarán orientadas a la alerta temprana de cualquier escenario de materialización de amenazas.

Las medidas de respuesta, que se gestionarán en tiempo oportuno, estarán orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad.

5.4. EXISTENCIA DE LÍNEAS DE DEFENSA

Se deberá garantizar que la estrategia de protección queda conformada por múltiples capas de seguridad, dispuestas de forma que, cuando una de las capas se vea comprometida, se pueda reaccionar adecuadamente frente a los incidentes que no han podido evitarse, reduciendo la probabilidad de que puedan propagarse.

Las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.

5.5. VIGILANCIA CONTINUA Y REEVALUACIÓN PERIÓDICA

La vigilancia continua permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta.

La evaluación permanente del estado de seguridad de los activos de información permitirá medir su evolución, detectando vulnerabilidades e identificando deficiencias de configuración.

Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.

5.6. DIFERENCIACIÓN DE RESPONSABILIDADES

La responsabilidad de la seguridad de la información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información.

El desarrollo de la Política de Seguridad de la Información deberá permitir el cumplimiento de determinados requisitos de seguridad.

6.1. ORGANIZACIÓN E IMPLANTACIÓN DEL PROCESO DE SEGURIDAD

La seguridad deberá comprometer a todos los miembros de la organización.

6.2. GESTIÓN DE RIESGOS

El proceso de gestión de riesgos estará conformado por las actividades de análisis y tratamiento de los riesgos garantizando la aplicación del principio de proporcionalidad.

6.3. GESTIÓN DE PERSONAL

El personal, propio o ajeno, deberá ser formado e informado de sus deberes, obligaciones y responsabilidades en materia de seguridad.

Su actuación, que deberá ser supervisada para verificar que se siguen los procedimientos establecidos, aplicará las normas y procedimientos operativos de seguridad aprobados en el desempeño de sus cometidos.

El significado y alcance del uso seguro de los activos de información se concretará y plasmará en unas normas de seguridad específicas.

6.4. PROFESIONALIDAD

La seguridad de la información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido en todas las fases del ciclo de vida de los sistemas de información: planificación, diseño, adquisición, construcción, despliegue, explotación, mantenimiento, gestión de incidencias y baja.

Las entidades terceras que presten servicios de seguridad deberán contar con profesionales cualificados, así como niveles idóneos de gestión y madurez en los servicios prestados.

Se determinarán los requisitos de formación y experiencia necesaria del personal para el desarrollo de su puesto de trabajo.

6.5. AUTORIZACIÓN Y CONTROL DE ACCESOS

El acceso controlado a los sistemas de información deberá estar limitado a los usuarios, procesos, dispositivos u otros sistemas de información, debidamente autorizados, y exclusivamente a las funciones permitidas.

6.6. PROTECCIÓN DE LAS INSTALACIONES

Los sistemas de información y su infraestructura de comunicaciones asociada deberán permanecer en áreas controladas y disponer de los mecanismos de acceso adecuados y proporcionales en función del análisis de riesgos.

6.7. MÍNIMO PRIVILEGIO

Los sistemas de información deben diseñarse y configurarse otorgando los mínimos privilegios necesarios para su correcto desempeño, lo que implica incorporar los siguientes aspectos:

1. Los sistemas de información proporcionarán la funcionalidad imprescindible para que se alcancen los objetivos competenciales o contractuales.
2. Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son desarrolladas por las personas autorizadas, desde emplazamientos o equipos asimismo autorizados, pudiendo exigirse, en su caso, restricciones de horario y puntos de acceso facultados.
3. Se eliminarán o desactivarán mediante el control de la configuración las funciones que sean innecesarias o inadecuadas al fin que se persigue. El uso ordinario de los sistemas de información ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

6.8. ADQUISICIÓN / CONTRATACIÓN DE PRODUCTOS Y SERVICIO DE SEGURIDAD

En la adquisición de productos de seguridad o contratación de servicios de seguridad de las tecnologías de la información y la comunicación que vayan a ser empleados en los sistemas de información del ámbito de aplicación del ENS, se utilizarán, de forma proporcionada a la categoría del sistema y el nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.

El Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información del Centro Criptológico Nacional (en adelante, CCN), constituido al amparo de lo dispuesto en el artículo 2.2.c) del Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional, teniendo en cuenta los criterios y metodologías de evaluación nacionales e internacionales reconocidas por este organismo y en función del uso previsto del producto o servicio concreto dentro de sus competencias, determinará los siguientes aspectos:

1. Los requisitos funcionales de seguridad y de aseguramiento de la certificación.
2. Otras certificaciones de seguridad adicionales que se requieran normativamente.
3. Excepcionalmente, el criterio a seguir en los casos en que no existan productos o servicios certificados.

Para la contratación de servicios de seguridad se estará a lo señalado en los apartados anteriores y a lo dispuesto en el requisito de profesionalidad.

6.9. INTEGRIDAD Y ACTUALIZACIÓN DEL SISTEMA

La inclusión de cualquier elemento físico o lógico en el registro de activos de información, o su modificación, requerirá autorización formal previa.

La evaluación y monitorización permanentes permitirán adecuar el estado de seguridad de los sistemas de información atendiendo a las deficiencias de configuración, las vulnerabilidades identificadas y las actualizaciones que les afecten, así como la detección temprana de cualquier incidente que tenga lugar sobre los mismos.

6.10. PROTECCIÓN DE INFORMACIÓN ALMACENADA Y EN TRÁNSITO

Se prestará especial atención a la información almacenada o en tránsito a través de los equipos o dispositivos portátiles o móviles, los dispositivos periféricos, los soportes de información y las comunicaciones sobre redes abiertas, que deberán analizarse especialmente para lograr una adecuada protección.

6.11. PREVENCIÓN ANTE OTROS SISTEMAS DE INFORMACIÓN INTERCONECTADOS

Se protegerá el perímetro de los sistemas de información, especialmente, si se conecta a redes públicas, reforzándose las tareas de prevención, detección y respuesta a incidentes de seguridad. En todo caso, se analizarán los riesgos derivados de la interconexión de los sistemas de información con otros sistemas, y se controlará su punto de unión.

6.12. REGISTRO DE ACTIVIDAD Y DETECCIÓN DE CÓDIGO DAÑINO

Se registrarán las actividades de los usuarios, reteniendo la información estrictamente necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa. Todo ello, se llevará a cabo en cumplimiento de las disposiciones legales de aplicación en este ámbito de actuación.

Al objeto de preservar la seguridad de los sistemas de información, garantizando la rigurosa observancia de la normativa legal de aplicación, se podrá analizar las comunicaciones entrantes y salientes, y únicamente para fines de seguridad de la información, de forma que sea posible impedir el acceso no autorizado a las redes y sistemas de información, detener los ataques de denegación del servicio, evitar la distribución malintencionada de código dañino, así como otros daños.

Para corregir o, en su caso, exigir responsabilidades, cada usuario que acceda al sistema de información deberá estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado una determinada actividad.

6.13. INCIDENTES DE SEGURIDAD

Se dispondrá de procedimientos de gestión de incidentes de seguridad, así como cauces de comunicación a las partes interesadas, y el registro de las actuaciones. Este registro se empleará para la mejora continua de la seguridad de los sistemas de información.

6.14. CONTINUIDAD DE LA ACTIVIDAD

Los sistemas de información dispondrán de copias de seguridad, y se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales.

6.15. MEJORA CONTINUA

El proceso integral de seguridad de la información implantado deberá ser actualizado y mejorado de forma continua.

Los sistemas que conforman el alcance de la presente Política de Seguridad de la Información se encuentran sujetos a un análisis y evaluación de riesgos con el objeto de identificar las amenazas a las que se encuentran expuestos, evaluar el impacto asociado a la materialización de tales amenazas, y determinar las situaciones de riesgos que podrían derivarse.

El resultado de este análisis y evaluación de riesgos permitirá la identificación y proposición de las medidas de seguridad oportunas como estrategia para la mitigación de los mismos.

Este análisis de riesgos atiende a las siguientes características principales:

• Está basado en la aplicación de normas y metodologías de gestión de riesgos reconocidas como buenas prácticas a nivel nacional e internacional.
• Establece una valoración de referencia para la información y los servicios prestados, de tal forma, que se obtengan resultados homogéneos en la ejecución de las actividades inherentes al análisis de riesgos.
• Se ejecuta con periodicidad anual, o cuando se presentan los siguientes escenarios:
  • Modificación sustancial de la información gestionada, los servicios prestados, o los sistemas que actúan como soporte para la prestación de tales servicios.
  • Identificación de nuevos vectores de ataque, amenazas o vulnerabilidades asociadas al sistema.
  • Presencia de un incidente grave de seguridad.

El Comité de Seguridad de la Información liderará la ejecución periódica del análisis de riesgos, planificando los recursos técnicos, humanos y económicos necesarios a tales efectos.

La normativa de seguridad establecida por el CCS se estructura en los siguientes niveles relacionados jerárquicamente:

1. Nivel I: Política de Seguridad de la Información
2. Nivel II: Estándares de Seguridad de la Información
3. Nivel III: Procedimientos de Seguridad de la Información
4. Nivel IV: Instrucciones específicas de Seguridad de la Información

Esta estructura jerárquica permite adaptar con eficiencia los niveles inferiores a los cambios en el entorno operativo del CCS.

El personal del CCS tendrá la obligación de conocer y cumplir, además de la Política de Seguridad de la Información, todos los estándares, procedimientos e instrucciones de seguridad que puedan afectar al desempeño de sus funciones.

La normativa de seguridad estará disponible para todos los usuarios y, en particular, para aquéllos que utilicen, operen o administren los sistemas de información y de comunicaciones considerados en el alcance.

La organización de la seguridad en el CCS queda establecida mediante la identificación y definición de las diferentes funciones y responsabilidades consideradas en esta materia, así como la implantación de la estructura organizativa compuesta por:

1. Comité de Seguridad de la Información.
2. Responsable de Seguridad.
3. Responsable de Sistemas.
4. Responsable de la Información.
5. Responsable del Servicio.
6. Delegado de Protección de Datos

9.1. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN

Actúa como máximo órgano de control, supervisión y armonización en materia de seguridad de la información. El Comité de Seguridad de la Información pertenecerá a los órganos de gobierno de la organización.

9.1.1. COMPOSICIÓN

El Comité de Seguridad de la Información está conformado por los siguientes miembros permanentes:

• Presidente/a
• Secretario/a
• Vocales

En función del orden del día planteado por el Responsable de Seguridad, en la convocatoria del Comité de Seguridad de la Información se podrá solicitar la asistencia de algunos de los Responsables de Servicio identificados o el Delegado de Protección de Datos si fuese preciso para la toma de decisiones oportuna.

El Comité de Seguridad de la Información no es un comité técnico, sin embargo, recabará regularmente del personal técnico propio o externo, la información pertinente para la toma de decisiones o emisión de una opinión determinada. Este asesoramiento se determinará en cada caso pudiendo materializarse de diferentes formas:

• Apoyándose en un asesoramiento externo.
• Conformando grupos de trabajo especializados internos, externos o mixtos.
• Asistiendo a seminarios u otro tipo de entornos formativos o de intercambio de experiencias.

9.1.2. FUNCIONES

Las funciones del Comité de Seguridad de la Información serían las siguientes:

• Atender las inquietudes de la Dirección y de los Responsables de Servicios.
• Informar regularmente del estado de la seguridad de la información a la Dirección.
• Promover la mejora continua del Modelo de Gobierno y Gestión de la Seguridad.
• Promover la ejecución de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones en materia de seguridad.
• Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información para asegurar su alineamiento con los objetivos de seguridad formalizados.
• Resolver los conflictos de interés que puedan presentarse entre los diferentes responsables y/o entre diferentes unidades organizativas, elevando a Dirección aquellos casos en los que no tenga suficiente autoridad para decidir.
• Elaborar, revisar regularmente y aprobar la Política de Seguridad de la información.
• Aprobar los estándares de seguridad de la información elaborados por el Responsable de Seguridad.
• Elaborar y aprobar los requisitos de formación y cualificación de los roles identificados desde el punto de vista de seguridad de la información.
• Aprobar los planes de mejora continua de la seguridad de la información. En particular, velar por la coordinación de diferentes planes que puedan plantearse en diferentes áreas.
• Efectuar el seguimiento oportuno con relación a la estrategia de mitigación de riesgos formalizada.
• Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones a tales efectos. En particular, velar por la coordinación de las diferentes áreas en la gestión de incidentes de seguridad de la información.
• Velar por que la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación (garantías de seguridad por diseño).

9.2. FUNCIONES Y RESPONSABILIDADES

La asignación de funciones y responsabilidades en materia de seguridad se encuentra debidamente alineada con las competencias funcionales formalizadas en el contexto de la estructura organizativa del CCS.

9.2.1. RESPONSABLE DEL SERVICIO

La función de Responsable del Servicio asume las siguientes responsabilidades principales:

• Actuar como propietario de los riesgos a los que se encuentra expuesto el servicio.
• Determinar y mantener actualizados los niveles de seguridad del servicio, valorando los impactos derivados de los incidentes que afectan a la seguridad de la información conforme con lo establecido en el ENS.

Para la ejecución de esta actividad, podrá actuar de forma coordinada con el Responsable de Seguridad y el Responsable de Sistemas.

• Garantizar los niveles de seguridad del servicio.
• Ejecutar el análisis de riesgos de seguridad del servicio con la participación del Responsable de Seguridad, así como seleccionar las medidas de índole técnica y organizativa necesarias como estrategia de mitigación de los escenarios de riesgo identificados.
• Efectuar el seguimiento, monitorización y control de los escenarios de riesgo identificados.

El Responsable del Servicio remitirá al Responsable de Seguridad el resultado de las tareas ejecutadas en el ámbito de sus responsabilidades, al menos, una vez al año o a petición de este, reportando el resultado en formato adecuado para la integración de la información.

El Responsable del Servicio habrá sido designado en el contexto de la dirección ejecutiva encargada de la aplicación de los procesos oportunos para alcanzar la consecución de los objetivos estratégicos definidos por los órganos de gobierno.

9.2.2. RESPONSABLE DE SEGURIDAD

La función de Responsable de Seguridad asume las siguientes responsabilidades principales:

• Participar en la elaboración de la Política de Seguridad de la Información para la revisión y aprobación por parte del Comité de Seguridad de la Información.
• Elaborar y aprobar los procedimientos e instrucciones de seguridad.
• Velar por el mantenimiento actualizado del cuerpo normativo de seguridad y los registros asociados.
• Formalizar y divulgar la normativa de seguridad que emana de la Política de Seguridad de la Información.
• Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
• Elaborar los Planes de Formación y Concienciación del personal en materia de seguridad, siendo estos aprobados por el Comité de Seguridad de la Información.
• Monitorizar el correcto cumplimiento de los objetivos de seguridad formalizados.
• Recopilar los requisitos de seguridad de los Responsables de Servicios.
• Determinar formalmente la categoría de los sistemas de información en función de los niveles de seguridad identificados por los Responsables de Servicios.
• Colaborar con los Responsables de Servicios en la ejecución del análisis de riesgos.
• Elaborar la Declaración de Aplicabilidad como resultado del análisis de riesgos.
• Elaborar el Plan de Tratamiento de Riesgos para su consideración y aprobación por el Comité de Seguridad de la Información.
• Aprobar las directrices propuestas por el Responsable de Sistemas para considerar la seguridad durante todo el ciclo de vida de los activos (principio de seguridad por defecto).
• Colaborar con el Delegado de Protección de Datos en la identificación de las medidas de seguridad precisas en materia de protección de datos personales.
• Liderar las reuniones del Comité de Seguridad de la Información.
• Facilitar periódicamente al Comité de Seguridad de la Información un reporte de actuaciones en materia de seguridad, de incidentes relevantes acaecidos y del estado de la seguridad (en particular del nivel de riesgo residual al que quedan expuestos los distintos servicios identificados).
• Exponer al Comité de Seguridad de la Información y la Dirección las necesidades y propuestas identificadas en materia de seguridad como estrategia para la mitigación de los riesgos.

Se garantizará la segregación de funciones oportuna entre la figura del Responsable de Seguridad y cualquier otra función relacionada con la prestación de servicios.

El Responsable de Seguridad habrá sido designado en el contexto de los órganos de gobierno.

9.2.3. RESPONSABLE DE SISTEMAS

La función de Responsable de Sistemas asume las siguientes responsabilidades principales:

• Desarrollar, operar y mantener los sistemas de información durante todo su ciclo de vida según especificaciones formalizadas, verificando su correcto funcionamiento.
• Garantizar que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
• Acordar la suspensión de la prestación de un servicio determinado si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con el Responsable del Servicio afectado y con el Responsable de Seguridad antes de ser ejecutada.
• Controlar la implantación de las medidas de seguridad que aplican para proveedores de TI durante las etapas de desarrollo, instalación y prueba de los sistemas.
• Determinar la configuración autorizada de hardware y software que debe ser aplicada en los sistemas.
• Delimitar las responsabilidades de las distintas funciones involucradas en el mantenimiento, explotación, implantación y supervisión de los sistemas.
• Elaborar procedimientos de seguridad de forma conjunta con el Responsable de Seguridad.
• Establecer planes de contingencia, llevando a cabo la planificación de ejercicios periódicos para que el personal se familiarice con tales planes.
• Aprobar los cambios que afecten a la seguridad del modo de operación de los sistemas.
• Aprobar toda modificación sustancial de la configuración de cualquier elemento de los sistemas.
• Monitorizar el estado de la seguridad de los sistemas, y reportarlo periódicamente o ante incidentes de seguridad relevantes al Responsable de Seguridad.

9.2.4. USUARIOS

Los usuarios asumen las siguientes responsabilidades principales:

• Conocer y cumplir la Política de Seguridad de la Información, así como la normativa de seguridad que se deriva de la misma y que sea de aplicación en el desempeño de sus funciones.
• Colaborar en la notificación al Responsable de Seguridad de todo incidente que se detecte relativo a la seguridad de la información.
• Colaborar en la notificación al Delegado de Protección de Datos de toda brecha que se detecte relativa a la seguridad de los datos personales.
• Utilizar los activos de información para el propósito establecido.
• Atender los acuerdos de confidencialidad de la información derivados de la formalización de su relación laboral con la entidad.

Todo el personal del CCS tiene la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa que se derive de la misma, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.

Todo el personal atenderá a una acción continua de concienciación en materia de seguridad. Se establecerá un programa continuo de acciones de concienciación para atender a todo el personal, en particular, a los de nueva incorporación.

El personal deberá usar el procedimiento para la notificación de incidentes de seguridad habilitado a tal efecto en caso de detectar un posible incidente.

Las personas con responsabilidad en la operación o administración de sistemas recibirán la formación oportuna para la gestión segura de los mismos.

Cuando el CCS requiera de la participación de terceras partes para la prestación de un servicio, les hará participes de la normativa de seguridad que sea de consideración en el contexto de dicha colaboración, quedando estos sujetos a las obligaciones establecidas en dicha normativa y, formalmente, a los requisitos de seguridad identificados para el alcance de los servicios externalizados.

Se formalizarán los procedimientos específicos de reporte y resolución de incidentes que pudieran presentarse durante la prestación del servicio.

Cuando algún aspecto de la normativa de seguridad no pueda ser satisfecho por una tercera parte, se requerirá la autorización del Responsable de Seguridad previa identificación de los riesgos en que se incurre y la forma de tratarlos, no siendo posible la formalización de la contratación con carácter previo a la obtención de dicha autorización.

El CCS cuenta con un Sistema de Gestión de la Privacidad al que tendrá acceso sólo las personas autorizadas, compuesto por las políticas y procedimientos necesarios para dar cumplimiento a los requisitos del RGPD, la Ley 3/2018, así como al resto de normativa vigente en la materia.

El CCS trata datos de carácter personal con diferentes finalidades encontrándose identificadas en el Registro de Actividades del Tratamiento publicado en la página web www.consorseguros.es

Todos los sistemas de información del CCS se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Sistema de Gestión de la Privacidad.

El CCS, asesorado por el Delegado de Protección de Datos, realizará un análisis de riesgos periódico en materia de privacidad en los términos establecidos en el artículo 24 RGPD, así como las evaluaciones de impacto pertinentes conforme a lo previsto en el artículo 35 RGPD.

En todo caso, prevalecerán las medidas a implantar como consecuencia del análisis de riesgos y, en su caso, de las evaluaciones de impacto realizadas, en caso de resultar agravadas respecto a las previstas en el ENS.

La Política de Seguridad de la Información será revisada anualmente por el Responsable de Seguridad o cuando exista un cambio significativo (enfoque de la gestión de la seguridad, circunstancias de la operativa, cambios legales, cambios en el ambiente técnico, recomendaciones realizadas por autoridades de control, tendencias relacionadas con amenazas y vulnerabilidades, etc.) que obligue a ello.

En el caso de que se obtenga una nueva versión de la Política de Seguridad de la Información, se precisará la aprobación formal del Comité de Seguridad de la Información con carácter previo a su divulgación.

Texto aprobado por el Comité de Seguridad de la Información el día 22 de diciembre de 2025.

Esta Política de Seguridad de la Información es efectiva desde el día siguiente al de su fecha de aprobación y hasta que sea reemplazada por una nueva política.

Su entrada en vigor supone la derogación de cualquier otra política que existiera a tales efectos.