3. Otras disposiciones. . (2025/77-45)
Resolución de 16 de abril de 2025, de la Oficina Andaluza contra el Fraude y la Corrupción, por la que se da publicidad a las normas que regulan la política de seguridad de la información en la institución, prevista por el Esquema Nacional de Seguridad.
17 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 77 - Jueves, 24 de abril de 2025
página 5734/3
3. Principios básicos de seguridad.
La OAAF es consciente de que la transformación digital de los servicios y de la
información asociada a dicha prestación de servicios, implica necesariamente actividades
relacionadas con la seguridad de la información. Es por ello por lo que deben integrarse
dentro de la Organización actividades que garanticen la proactividad, vigilancia y
reactividad. Las directrices fundamentales en materia de seguridad de la información
deberán estar presentes en cualquier actividad de los sistemas de información que se
encuentran dentro del alcance la presente política. En cumplimiento de los dispuesto en
el ENS, la OAAF se guiará por los siguientes principios:
3.1. Seguridad integral. La seguridad se deberá entender como un proceso integral,
constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos
relacionados con el sistema de información. Además, se deberá prestar especial
atención respecto a la concienciación de todo el personal que intervengan en procesos
y en los responsables jerárquicos para evitar aquellos riesgos potenciales derivados del
desconocimiento, falta de organización o coordinación en materia de seguridad.
3.2. Gestión basada en los riesgos. El análisis y gestión de riesgos será parte esencial
del proceso de seguridad, siendo una actividad continua, permanentemente actualizada
dentro de la entidad. La gestión de riesgos permitirá el mantenimiento de un entorno
controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles
se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio
entre la información tratada, los servicios a prestar y los riesgos a los que se está expuesto.
3.3. Prevención, detección, respuesta y conservación. Para minimizar las vulnerabilidades
técnicas y evitar que las amenazas se materialicen, o que de hacerlo, no afecten gravemente
a la información que se gestiona o a los servicios que se prestan, se deberán implementar:
○ Medidas de prevención. Para disuadir o reducir la superficie de exposición a
vulnerabilidades. La OAAF implementará las medidas de seguridad de aplicación a nivel
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00319334
formalmente aprobada por el órgano competente. Asimismo, cada órgano o entidad con
personalidad jurídica propia comprendido en el ámbito subjetivo del artículo 2 deberá
contar con una política de seguridad formalmente aprobada por el órgano competente».
La presente PSI recoge la postura de la OAAF en cuanto a la seguridad de la
información, estableciendo los criterios generales que deben regir la actividad del
organismo en cuanto a la seguridad. Su objetivo es garantizar la calidad la calidad de
la información y la prestación continuada de los servicios, actuando preventivamente,
supervisando la actividad diaria y reaccionando con presteza ante cualquier incidente de
seguridad.
En todo caso, los sistemas de información deben estar protegidos contra amenazas
de rápida evolución con potencial para incidir en la disponibilidad, integridad,
confidencialidad, autenticidad, trazabilidad, así como sobre el uso previsto y valor de
la información y los servicios. Para hacer frente a estas amenazas, se requiere una
estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la
prestación continua de los servicios, así como para garantizar la aplicación de medidas
para proteger la privacidad de todo usuario al que se le preste servicios desde la OAAF.
Por ello, los diferentes departamentos de la OAAF deben garantizar que la seguridad
TIC debe ser una parte integral de cada etapa del ciclo de vida del sistema, desde su
concepción hasta la retirada del servicio, pasando por el desarrollo o adquisición y las
actividades de explotación. Los requisitos de seguridad y la valoración de sus costes
deberán identificarse e incluirse en la planificación, en la solicitud de ofertas y en los
pliegos de licitación para cualquier proyecto TIC, especialmente cuando los proveedores
que formen parte de sus servicios. Del mismo modo, el uso de activos de información
deberá estar en consonancia con las buenas prácticas y procedimientos de trabajo
profesional, así como con los requisitos legales y reglamentarios.
Boletín Oficial de la Junta de Andalucía
Número 77 - Jueves, 24 de abril de 2025
página 5734/3
3. Principios básicos de seguridad.
La OAAF es consciente de que la transformación digital de los servicios y de la
información asociada a dicha prestación de servicios, implica necesariamente actividades
relacionadas con la seguridad de la información. Es por ello por lo que deben integrarse
dentro de la Organización actividades que garanticen la proactividad, vigilancia y
reactividad. Las directrices fundamentales en materia de seguridad de la información
deberán estar presentes en cualquier actividad de los sistemas de información que se
encuentran dentro del alcance la presente política. En cumplimiento de los dispuesto en
el ENS, la OAAF se guiará por los siguientes principios:
3.1. Seguridad integral. La seguridad se deberá entender como un proceso integral,
constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos
relacionados con el sistema de información. Además, se deberá prestar especial
atención respecto a la concienciación de todo el personal que intervengan en procesos
y en los responsables jerárquicos para evitar aquellos riesgos potenciales derivados del
desconocimiento, falta de organización o coordinación en materia de seguridad.
3.2. Gestión basada en los riesgos. El análisis y gestión de riesgos será parte esencial
del proceso de seguridad, siendo una actividad continua, permanentemente actualizada
dentro de la entidad. La gestión de riesgos permitirá el mantenimiento de un entorno
controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles
se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio
entre la información tratada, los servicios a prestar y los riesgos a los que se está expuesto.
3.3. Prevención, detección, respuesta y conservación. Para minimizar las vulnerabilidades
técnicas y evitar que las amenazas se materialicen, o que de hacerlo, no afecten gravemente
a la información que se gestiona o a los servicios que se prestan, se deberán implementar:
○ Medidas de prevención. Para disuadir o reducir la superficie de exposición a
vulnerabilidades. La OAAF implementará las medidas de seguridad de aplicación a nivel
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00319334
formalmente aprobada por el órgano competente. Asimismo, cada órgano o entidad con
personalidad jurídica propia comprendido en el ámbito subjetivo del artículo 2 deberá
contar con una política de seguridad formalmente aprobada por el órgano competente».
La presente PSI recoge la postura de la OAAF en cuanto a la seguridad de la
información, estableciendo los criterios generales que deben regir la actividad del
organismo en cuanto a la seguridad. Su objetivo es garantizar la calidad la calidad de
la información y la prestación continuada de los servicios, actuando preventivamente,
supervisando la actividad diaria y reaccionando con presteza ante cualquier incidente de
seguridad.
En todo caso, los sistemas de información deben estar protegidos contra amenazas
de rápida evolución con potencial para incidir en la disponibilidad, integridad,
confidencialidad, autenticidad, trazabilidad, así como sobre el uso previsto y valor de
la información y los servicios. Para hacer frente a estas amenazas, se requiere una
estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la
prestación continua de los servicios, así como para garantizar la aplicación de medidas
para proteger la privacidad de todo usuario al que se le preste servicios desde la OAAF.
Por ello, los diferentes departamentos de la OAAF deben garantizar que la seguridad
TIC debe ser una parte integral de cada etapa del ciclo de vida del sistema, desde su
concepción hasta la retirada del servicio, pasando por el desarrollo o adquisición y las
actividades de explotación. Los requisitos de seguridad y la valoración de sus costes
deberán identificarse e incluirse en la planificación, en la solicitud de ofertas y en los
pliegos de licitación para cualquier proyecto TIC, especialmente cuando los proveedores
que formen parte de sus servicios. Del mismo modo, el uso de activos de información
deberá estar en consonancia con las buenas prácticas y procedimientos de trabajo
profesional, así como con los requisitos legales y reglamentarios.
