ORDEN de 11 de marzo de 2019, por la que se aprueba la política de seguridad de la información del Departamento y se establecen las directrices específicas por las que se ha de regir la misma.

• Sección: I. DISPOSICIONES GENERALES
• Emisor: Consejería de Agricultura, Ganadería, Pesca y Aguas
• Rango de Ley: Orden

En los últimos años el ordenamiento jurídico, tanto estatal como autonómico, ha ido incorporando un conjunto de políticas públicas que, relacionadas intrínsecamente con el propio funcionamiento de la Administración y que por ello pueden ser calificadas de instrumentales, tienen todas ellas por finalidad conformar un nuevo modelo de relación del sector público con la ciudadanía que redunde en una prestación de servicios públicos de mayor calidad, más eficaz y eficiente, y adaptado a los nuevos entornos relacionales, como es la relación con la Administración a través de medios digitales, sirviendo mejor a los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.

Las Administraciones Públicas modernas deben afrontar así aspectos de su funcionamiento y de su relación con la ciudadanía como los relacionados con la implantación y utilización de los medios electrónicos en su ámbito, lo que supone el desarrollo e implantación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a la ciudadanía y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Para ello, el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en adelante ENS, establece los principios y requisitos de una política de seguridad en la utilización de los medios electrónicos que permita la adecuada protección de la información. Así mismo, su artículo 11 establece que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente.

En cumplimiento de dicho precepto se ha de aprobar la política de seguridad de este Departamento, adecuándose la misma a la Orden de 31 de julio de 2013, de la Consejería de Presidencia, Justicia e Igualdad, que establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma.

La Consejería de Agricultura, Ganadería, Pesca y Aguas ejerce la gestión de los servicios y competencias que le son propias, en virtud de su correspondiente Reglamento Orgánico, aprobado por el Decreto 40/2012, de 17 de mayo, y cualesquiera otras asignadas por las disposiciones vigentes.

Por lo expuesto, visto el informe de la Dirección General de Telecomunicaciones y Nuevas Tecnologías, y en el ejercicio de las competencias conferidas por el artículo 2.2 de la Orden de 31 de julio de 2013 de la Consejería de Presidencia, Justicia e Igualdad, que establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias, a propuesta de la Secretaría General Técnica del Departamento.

D I S P O N G O:

Artículo 1 Objeto y ámbito de aplicación.

1. La presente Orden tiene por objeto establecer la Política de Seguridad de la Información, en adelante, PSI, de la Consejería de Agricultura, Ganadería, Pesca y Aguas en el ámbito de la Administración electrónica y establecer las directrices que han de regir la misma.

2. La PSI será de aplicación por todos los órganos superiores del Departamento, así como por los organismos autónomos dependientes del mismo.

Artículo 2 Misión del Departamento.

Es misión de la Consejería de Agricultura, Ganadería, Pesca y Aguas, la propuesta y ejecución de las directrices del Gobierno de Canarias, y de la gestión de los servicios y competencias que le son propias, conforme a su correspondiente Reglamento Orgánico.

Artículo 3 Principios de la PSI.

Sin perjuicio de los principios básicos establecidos en el ENS, la política de seguridad del Departamento y sus organismos autónomos en el ámbito de la Administración electrónica se desarrollará, con carácter general, de acuerdo a los siguientes principios:

1. Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.

2. Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.

3. Principio de disponibilidad y continuidad: se garantizará un alto nivel de disponibilidad en los sistemas de información y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.

4. Principio de gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los sistemas de información.

5. Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los sistemas de información deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos.

6. Principio de concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad TIC de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.

7. Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC.

8. Principio de mejora continua: se revisará el grado de eficacia de los controles de seguridad TIC implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública de la Comunidad Autónoma de Canarias.

9. Principio de seguridad TIC en el ciclo de vida de los sistemas de información: las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.

10. Principio de función diferenciada: la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

Artículo 4 Acciones que regirán la PSI.

La PSI del Departamento se sustentará en las siguientes acciones:

1. La concienciación y la formación del personal adscrito a la Consejería de Agricultura Ganadería, Pesca y Aguas...