Las Rozas de Madrid (BOCM-20240223-52)
Organización y funcionamiento. Documento política seguridad
10 páginas totales
Página
Pág. 160
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
VIERNES 23 DE FEBRERO DE 2024
B.O.C.M. Núm. 46
El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma
continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e
internacional relativos a la gestión de la seguridad de las tecnologías de la información.
5.3. Gestión de personal y profesionalidad:
Todo el persona, propio o ajeno relacionado con los sistemas de información del
Ayuntamiento de Las Rozas, dentro del ámbito del ENS, serán formados e informados de
sus deberes, obligaciones y responsabilidades en materia de seguridad. Su actuación será
supervisada para verificar que se siguen los procedimientos establecidos.
El significado y alcance del uso seguro del sistema se concretará y plasmará en unas
normas de seguridad que serán aprobadas por la dirección o el órgano superior correspondiente. De igual modo, se determinarán los requisitos de formación y experiencia necesaria
del personal para el desarrollo de su puesto de trabajo.
La seguridad de los sistemas de información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición, construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.
De manera objetiva y no discriminatoria se exigirá que las organizaciones que nos proporcionan servicios cuenten con profesionales cualificados y con unos niveles idóneos de
gestión y madurez de los servicios prestados.
5.4. Gestión de la seguridad basada en los riesgos, análisis y gestión de riesgos:
El análisis y la gestión de los riesgos será parte esencial del proceso de seguridad y será
una actividad continua y permanentemente actualizada.
La gestión de los riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos a niveles aceptables. La reducción a estos niveles se realizará mediante una apropiada aplicación de medidas de seguridad, de manera equilibrada y proporcionada a la naturaleza de la información tratada, de los servicios a prestar y de los riesgos a
los que estén expuestos.
Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que
está expuesto el sistema. Sin perjuicio de lo dispuesto en el anexo II del ENS, se empleará
alguna metodología reconocida internacionalmente. Las medidas adoptadas para mitigar o
suprimir los riesgos deberán estar justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos.
5.5. Incidentes de seguridad, prevención, detección, reacción y recuperación:
El Ayuntamiento de Las Rozas dispone de procedimientos de gestión de incidentes de
seguridad acuerdo con lo previsto en el ENS, la Instrucción Técnica de Seguridad correspondiente, y de mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como de los cauces de comunicación a las partes interesadas. La seguridad del sistema contemplará las acciones relativas a los aspectos de prevención,
detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se materialicen o que, en el caso de hacerlo, no afecten gravemente
a la información que maneja o a los servicios que presta.
Las medidas de prevención podrán incorporar componentes orientados a la disuasión
o a la reducción de la superficie de exposición, deben eliminar o reducir la posibilidad de
que las amenazas lleguen a materializarse.
Las medidas de detección irán dirigidas a descubrir la presencia de un ciberincidente.
Las medidas de respuesta se gestionarán en tiempo oportuno, estarán orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad.
El sistema de información garantizará la conservación de los datos e información en
soporte electrónico.
De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base
para la preservación del patrimonio digital.
5.6. Existencia de líneas de defensa y prevención ante otros sistemas de información
interconectados:
El Ayuntamiento de Las Rozas, ha implementado una estrategia de protección del sistema de información constituida por múltiples capas de seguridad, constituidas por medidas organizativas, físicas y lógicas, de tal forma que cuando una capa ha sido comprometida permita desarrollar una reacción adecuada frente a los incidentes que no han podido
BOCM-20240223-52
BOCM
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
VIERNES 23 DE FEBRERO DE 2024
B.O.C.M. Núm. 46
El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma
continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e
internacional relativos a la gestión de la seguridad de las tecnologías de la información.
5.3. Gestión de personal y profesionalidad:
Todo el persona, propio o ajeno relacionado con los sistemas de información del
Ayuntamiento de Las Rozas, dentro del ámbito del ENS, serán formados e informados de
sus deberes, obligaciones y responsabilidades en materia de seguridad. Su actuación será
supervisada para verificar que se siguen los procedimientos establecidos.
El significado y alcance del uso seguro del sistema se concretará y plasmará en unas
normas de seguridad que serán aprobadas por la dirección o el órgano superior correspondiente. De igual modo, se determinarán los requisitos de formación y experiencia necesaria
del personal para el desarrollo de su puesto de trabajo.
La seguridad de los sistemas de información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición, construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.
De manera objetiva y no discriminatoria se exigirá que las organizaciones que nos proporcionan servicios cuenten con profesionales cualificados y con unos niveles idóneos de
gestión y madurez de los servicios prestados.
5.4. Gestión de la seguridad basada en los riesgos, análisis y gestión de riesgos:
El análisis y la gestión de los riesgos será parte esencial del proceso de seguridad y será
una actividad continua y permanentemente actualizada.
La gestión de los riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos a niveles aceptables. La reducción a estos niveles se realizará mediante una apropiada aplicación de medidas de seguridad, de manera equilibrada y proporcionada a la naturaleza de la información tratada, de los servicios a prestar y de los riesgos a
los que estén expuestos.
Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que
está expuesto el sistema. Sin perjuicio de lo dispuesto en el anexo II del ENS, se empleará
alguna metodología reconocida internacionalmente. Las medidas adoptadas para mitigar o
suprimir los riesgos deberán estar justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos.
5.5. Incidentes de seguridad, prevención, detección, reacción y recuperación:
El Ayuntamiento de Las Rozas dispone de procedimientos de gestión de incidentes de
seguridad acuerdo con lo previsto en el ENS, la Instrucción Técnica de Seguridad correspondiente, y de mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como de los cauces de comunicación a las partes interesadas. La seguridad del sistema contemplará las acciones relativas a los aspectos de prevención,
detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se materialicen o que, en el caso de hacerlo, no afecten gravemente
a la información que maneja o a los servicios que presta.
Las medidas de prevención podrán incorporar componentes orientados a la disuasión
o a la reducción de la superficie de exposición, deben eliminar o reducir la posibilidad de
que las amenazas lleguen a materializarse.
Las medidas de detección irán dirigidas a descubrir la presencia de un ciberincidente.
Las medidas de respuesta se gestionarán en tiempo oportuno, estarán orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad.
El sistema de información garantizará la conservación de los datos e información en
soporte electrónico.
De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base
para la preservación del patrimonio digital.
5.6. Existencia de líneas de defensa y prevención ante otros sistemas de información
interconectados:
El Ayuntamiento de Las Rozas, ha implementado una estrategia de protección del sistema de información constituida por múltiples capas de seguridad, constituidas por medidas organizativas, físicas y lógicas, de tal forma que cuando una capa ha sido comprometida permita desarrollar una reacción adecuada frente a los incidentes que no han podido
BOCM-20240223-52
BOCM
