III. Otras disposiciones. CORTES GENERALES. Fiscalizaciones. (BOE-A-2021-14783)
Resolución de 15 de junio de 2021, aprobada por la Comisión Mixta para las Relaciones con el Tribunal de Cuentas, en relación con el Informe Anual de la Comunidad Autónoma de Cantabria, ejercicio 2018.
197 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 217
Viernes 10 de septiembre de 2021
Sec. III. Pág. 109527
adecuadamente la seguridad de la información tratada. El RD 3/2010, de 8 de enero, por el que se
regula el ENS en el ámbito de la Administración Electrónica tiene por objeto determinar la política
de seguridad que se ha de aplicar en la utilización de los medios electrónicos.
En los informes de fiscalización precedentes se realizó un análisis del estado de aplicación del
ENS en la CA. En relación con las deficiencias o debilidades detectadas y por lo que se refiere al
ejercicio fiscalizado, cabe señalar que:
De acuerdo con el artículo 11 del RD, todos los órganos superiores de las Administraciones
públicas deberán disponer formalmente de su política de seguridad que articule la gestión
continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente.
En el caso de Cantabria, fue el Consejo de Gobierno, por Decreto 31/2015, de 14 de mayo, el que
aprobó la política de seguridad de la información de la Administración de la CA, comprendiendo el
ámbito del Decreto tanto a la AG como a los organismos públicos y entidades de derecho público
vinculadas o dependientes de la misma (excluido el SCS), cuando ejerzan funciones
administrativas y utilicen sistemas de información gestionados por el órgano directivo con
competencias en materia informática. Por tanto, la aprobación de esta política no se ha
particularizado para cada uno de los órganos superiores de la CA, entendidos estos como los
responsables directos de la ejecución de la acción del gobierno autonómico en un sector de
actividad específico, de acuerdo con lo establecido en el EA y normas de desarrollo 18, y ello pese
a los riesgos específicos que los diferentes sistemas utilizados pueden plantear.
El artículo 21 del Decreto prevé que por orden del consejero competente en materia
informática pueden crearse otras comisiones o comités para el estudio, informe y propuesta sobre
seguridad de la información en materias sectoriales concretas, al igual que responsables de
seguridad de la Información sectoriales en aquellos organismos públicos o entidades de derecho
público vinculadas o dependientes de la Administración de la CA, así como en aquellos sectores
de la Administración que necesiten un tratamiento particularizado, previsiones que solo se han
llevado a efecto mediante las Órdenes PRE/49/2016 y PRE/50/2016, ambas de 22 de julio, por la
que regula la estructura de gestión de seguridad de la información y de la continuidad de los
servicios del Organismo Pagador y del SCE, respectivamente, sin que haya alcanzado a otros
sistemas tales como el referido a la gestión de los ingresos MOURO.
El Decreto 31/2015 señala que corresponde a la Comisión General de Seguridad de la
Información la función de elaborar y revisar regularmente la Política de Seguridad de la
Información para ser aprobada por el Consejo de Gobierno, sin que desde su aprobación en 2016
haya sido objeto de revisión. Tampoco ha emitido informes sobre el grado de cumplimiento de las
normas de seguridad de carácter general, ni ha aprobado formalmente los análisis de riesgos ni
procedido a su posterior revisión. Esta Comisión, que debía reunirse con carácter ordinario una
vez al año, no lo hizo durante el periodo 2017-2019.
No ha sido hasta el ejercicio fiscalizado cuando los sistemas SIC y MOURO han contado
con la declaración de aplicabilidad prevista en el artículo 27 del RD 3/2010. Igualmente, ha sido en
este ejercicio cuando estos sistemas fueron objeto de la categorización a la que se refiere el
artículo 43 del RD.
18
Según el artículo 33 de la LRJGAC, corresponde a los titulares de las Consejerías:
- Ejecutar, en el ámbito de su Consejería, la política establecida por el Gobierno.
- Ejercer la iniciativa, dirección, gestión e inspección de todos los servicios de la Consejería respectiva, así como de las
entidades vinculadas o dependientes de la misma.
cve: BOE-A-2021-14783
Verificable en https://www.boe.es
El Comité Técnico de Ciberseguridad, previsto en el artículo 8 del Decreto y competente
para desarrollar los aspectos técnicos y procedimentales de la seguridad de la información, no fue
constituido hasta el año 2018.
Núm. 217
Viernes 10 de septiembre de 2021
Sec. III. Pág. 109527
adecuadamente la seguridad de la información tratada. El RD 3/2010, de 8 de enero, por el que se
regula el ENS en el ámbito de la Administración Electrónica tiene por objeto determinar la política
de seguridad que se ha de aplicar en la utilización de los medios electrónicos.
En los informes de fiscalización precedentes se realizó un análisis del estado de aplicación del
ENS en la CA. En relación con las deficiencias o debilidades detectadas y por lo que se refiere al
ejercicio fiscalizado, cabe señalar que:
De acuerdo con el artículo 11 del RD, todos los órganos superiores de las Administraciones
públicas deberán disponer formalmente de su política de seguridad que articule la gestión
continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente.
En el caso de Cantabria, fue el Consejo de Gobierno, por Decreto 31/2015, de 14 de mayo, el que
aprobó la política de seguridad de la información de la Administración de la CA, comprendiendo el
ámbito del Decreto tanto a la AG como a los organismos públicos y entidades de derecho público
vinculadas o dependientes de la misma (excluido el SCS), cuando ejerzan funciones
administrativas y utilicen sistemas de información gestionados por el órgano directivo con
competencias en materia informática. Por tanto, la aprobación de esta política no se ha
particularizado para cada uno de los órganos superiores de la CA, entendidos estos como los
responsables directos de la ejecución de la acción del gobierno autonómico en un sector de
actividad específico, de acuerdo con lo establecido en el EA y normas de desarrollo 18, y ello pese
a los riesgos específicos que los diferentes sistemas utilizados pueden plantear.
El artículo 21 del Decreto prevé que por orden del consejero competente en materia
informática pueden crearse otras comisiones o comités para el estudio, informe y propuesta sobre
seguridad de la información en materias sectoriales concretas, al igual que responsables de
seguridad de la Información sectoriales en aquellos organismos públicos o entidades de derecho
público vinculadas o dependientes de la Administración de la CA, así como en aquellos sectores
de la Administración que necesiten un tratamiento particularizado, previsiones que solo se han
llevado a efecto mediante las Órdenes PRE/49/2016 y PRE/50/2016, ambas de 22 de julio, por la
que regula la estructura de gestión de seguridad de la información y de la continuidad de los
servicios del Organismo Pagador y del SCE, respectivamente, sin que haya alcanzado a otros
sistemas tales como el referido a la gestión de los ingresos MOURO.
El Decreto 31/2015 señala que corresponde a la Comisión General de Seguridad de la
Información la función de elaborar y revisar regularmente la Política de Seguridad de la
Información para ser aprobada por el Consejo de Gobierno, sin que desde su aprobación en 2016
haya sido objeto de revisión. Tampoco ha emitido informes sobre el grado de cumplimiento de las
normas de seguridad de carácter general, ni ha aprobado formalmente los análisis de riesgos ni
procedido a su posterior revisión. Esta Comisión, que debía reunirse con carácter ordinario una
vez al año, no lo hizo durante el periodo 2017-2019.
No ha sido hasta el ejercicio fiscalizado cuando los sistemas SIC y MOURO han contado
con la declaración de aplicabilidad prevista en el artículo 27 del RD 3/2010. Igualmente, ha sido en
este ejercicio cuando estos sistemas fueron objeto de la categorización a la que se refiere el
artículo 43 del RD.
18
Según el artículo 33 de la LRJGAC, corresponde a los titulares de las Consejerías:
- Ejecutar, en el ámbito de su Consejería, la política establecida por el Gobierno.
- Ejercer la iniciativa, dirección, gestión e inspección de todos los servicios de la Consejería respectiva, así como de las
entidades vinculadas o dependientes de la misma.
cve: BOE-A-2021-14783
Verificable en https://www.boe.es
El Comité Técnico de Ciberseguridad, previsto en el artículo 8 del Decreto y competente
para desarrollar los aspectos técnicos y procedimentales de la seguridad de la información, no fue
constituido hasta el año 2018.
