Política de Ciberseguretat de l'ENS

1. INTRODUCCIÓ

 

El Col·legi d’Enginyers Tècnics Industrials de Girona depèn dels sistemes TIC (Tecnologies de la Informació i les Telecomunicacions) per assolir els seus objectius. Aquests sistemes han de ser administrats amb diligència, i cal prendre les mesures adequades per protegir-los davant de danys accidentals o deliberats que puguin afectar la seguretat de la informació tractada o els serveis prestats i cal que estiguin sempre protegits contra les amenaces o els incidents amb potencial per incidir en la confidencialitat, integritat, disponibilitat, traçabilitat i autenticitat de la informació tractada i els serveis prestats.

 

Per fer front a aquestes amenaces, cal una estratègia que s'adapti als canvis en les condicions de l'entorn per garantir la prestació contínua dels serveis. Això implica que els departaments han d'aplicar les mesures mínimes de seguretat exigides per l'Esquema Nacional de Seguretat (ENS), així com realitzar un seguiment continu dels nivells de prestació dels serveis, monitoritzar i analitzar les vulnerabilitats reportades, i preparar una resposta efectiva als ciberincidents per garantir la continuïtat dels serveis prestats.

 

Així, totes les unitats administratives del Col·legi tenen present que la seguretat TIC és una part integral de cada etapa del cicle de vida del sistema, des de la seva concepció fins a la seva retirada de servei, passant per les decisions de desenvolupament o adquisició i les activitats d’explotació. Els requisits de seguretat i les necessitats de finançament han de ser identificats i inclosos a la planificació, a la sol·licitud d’ofertes, i als plecs de licitació per a projectes de TIC.

 

Per tant, per al Col·legi d’Enginyers Tècnics Industrials de Girona, l’objectiu de la Seguretat de la Informació és garantir la qualitat de la informació i la prestació continuada dels serveis, actuant preventivament, supervisant l'activitat diària per detectar qualsevol incident i reaccionant amb prestesa als incidents per recuperar els serveis tan aviat com sigui possible, segons allò establert a l’article 8 de l’ENS, amb l’aplicació de les mesures que es relacionen a continuació

 

 

1. 1. Prevenció

 

Perquè la informació i/o els serveis no es vegin perjudicats per incidents de seguretat, el Col·legi d’Enginyers Tècnics Industrials de Girona implementa les mesures de seguretat establertes per l’ENS, així com qualsevol altre control addicional, que s’hagi identificat com a necessari, mitjançant una avaluació d’amenaces i riscos. Aquests controls, els rols i responsabilitats de seguretat de tot el personal, són clarament definits i documentats.

 

Per garantir el compliment de la política, el Col·legi d’Enginyers Tècnics Industrials de Girona

 

• Autoritza els sistemes abans que siguin operatius.
• Avalua regularment la seguretat, incloent l’anàlisi dels canvis de configuració realitzats de forma rutinària.
• Sol·licita la revisió periòdica per part de terceres persones, amb la finalitat d’obtenir una avaluació independent.

 

1. 2. Detecció

 

El Col·legi d’Enginyers Tècnics Industrials de Girona estableix controls d’operació dels seus sistemes d'informació amb l'objectiu de detectar anomalies en la prestació dels serveis i actuar en conseqüència segons el que disposa l'article 10 de l'ENS (vigilància contínua i reavaluació periòdica). Quan es produeix una desviació significativa dels paràmetres que s'hagin preestablert com a normals (conforme allò que indica l’article 9 de l'ENS, “Existència de línies de defensa”), s'establiran els mecanismes de detecció, anàlisi i comunicació necessaris perquè arribin als responsables regularment.

 

1. 3. Resposta

 

El Col·legi d’Enginyers Tècnics Industrials de Girona establirà les següents mesures:

 

• Mecanismes per respondre eficaçment als incidents de seguretat.
• Designar un punt de contacte per a les comunicacions en relació amb incidents detectats en altres departaments o en altres organismes.
• Establir protocols per a l'intercanvi d'informació relacionada amb l’incident. Això inclou comunicacions, en tots dos sentits, amb els Equips de Resposta a Emergències (CERT).

 

1. 4. Recuperació

 

Per garantir la disponibilitat dels serveis, el Col·legi d’Enginyers Tècnics Industrials de Girona disposa dels mitjans i tècniques necessàries que permeten garantir la recuperació dels serveis més crítics.

 

 

2. MISSIÓ

 

El Col·legi d’Enginyers Tècnics Industrials de Girona posa a disposició de les persones col·legiades, col·legiades i de la ciutadania en general,la realització de tràmits en línia i noves vies de participació que garanteixin el desenvolupament i la eficàcia de les seves funcions i comeses.

 

Amb el foment de l’ús de les noves tecnologies al Col·legi d’Enginyers Tècnics Industrials de Girona es persegueix potenciar la relació electrònica de totes les persones actores (col·legiats, col·legiades, ciutadania, personal d’administració i serveis,autoritats i administracions públiques i altres) amb el Col·legi.

 

 

3. PRINCIPIS BÀSICS

 

Els principis bàsics són directrius fonamentals de seguretat que s’han de tenir sempre presents en

qualsevol activitat relacionada amb l'ús dels actius d’informació. S’estableixen els següents:

 

• Abast estratègic:

 

La seguretat de la informació ha de comptar amb el compromís i suport de tots els nivells directius del Col·legi, de manera que pugui estar coordinada i integrada amb la resta de les iniciatives estratègiques de l’organització per conformar un tot coherent i eficaç.

 

• Responsabilitat determinada:

 

En els sistemes TIC s’identificarà el Responsable de la Informació, que determina els requisits de seguretat de la informació tractada; el Responsable del Servei, que determina els requisits de seguretat dels serveis prestats; el Responsable del Sistema, que té la responsabilitat sobre la prestació dels serveis i el Responsable de la Seguretat, que determina les decisions per satisfer els requisits de seguretat.

 

• Seguretat integral:

 

La seguretat s’entendrà com a un procés integral constituït per tots els elements tècnics, humans, materials i organitzatius, relacionats amb els sistemes TIC, que ha procurar evitar qualsevol actuació puntual o tractament conjuntural. La seguretat de la informació ha de considerar-se com a part de l’operativa habitual, i ha d’estar present i aplicar-se des del disseny inicial dels sistemes TIC.

 

• Gestió de Riscos:

 

L’anàlisi i gestió de riscos serà part essencial del procés de seguretat. La gestió de riscos permetrà mantenir un entorn controlat i minimitzar els riscos fins a nivells acceptables. La reducció d’aquests nivells es realitzarà mitjançant el desplegament de mesures de seguretat, que establirà un equilibri entre la naturalesa de les dades i els tractaments, l’impacte i la probabilitat dels riscos a què estiguin exposats i l'eficàcia i el cost de les mesures de seguretat. Per avaluar el risc en relació amb la seguretat de les dades, s'han de tenir en compte els riscos que es deriven del tractament de les dades personals.

 

• Proporcionalitat:

 

L'establiment de mesures de protecció, detecció i recuperació haurà de ser proporcional als potencials riscos i a la criticitat i valor de la informació i dels serveis afectats.

 

• Millora contínua:

 

Les mesures de seguretat es reavaluaran i actualitzaran periòdicament per adequar la seva eficàcia a la constant evolució dels riscos i sistemes de protecció. La seguretat de la informació serà atesa, revisada.

 

• Seguretat per defecte:

 

Els sistemes han de dissenyar-se i configurar-se de manera que garanteixin un grau suficient de seguretat per defecte.

 

4. OBJECTIUS DE LA SEGURETAT DE LA INFORMACIÓ

 

El Col·legi d’Enginyers Tècnics Industrials de Girona estableix com a objectius de la seguretat de la informació els següents:

 

• Garantir la qualitat i protecció de la informació.

 

• Aconseguir la plena conscienciació dels usuaris respecte a la seguretat de la informació.

 

• Gestió d’actius d’informació: Els actius d’informació del Col·legi es trobaran inventariats i categoritzats i estaran associats a un responsable.

 

• Seguretat lligada a les persones: S'implantaran els mecanismes necessaris perquè qualsevol persona que hi accedeixi, o pugui accedir als actius d’informació, conegui les seves responsabilitats i així es redueixi el risc derivat d'un ús indegut, aconseguint la plena conscienciació de les persones usuàires respecte a la seguretat de la informació.

 

• Seguretat física: Els actius d’informació seran emplaçats a àrees segures, protegides per controls d'accés físics adequats al nivell de criticitat. Els sistemes i els actius d’informació que contenen les esmentades àrees estaran prou protegits d’amenaces físiques o ambientals.

 

• Seguretat a la gestió de comunicacions i operacions: S’establiran els procediments necessaris per aconseguir una adequada gestió de la seguretat, operació i actualització de les TIC. La informació que es transmeti mitjançant xarxes de comunicacions haurà d’estar adequadament protegida, d’acord amb el seu nivell de sensibilitat i de criticitat, mitjançant mecanismes que garanteixin la seva seguretat.

 

• Control d’accés: Es limitarà l’accés als actius d’informació per part d’usuaris, processos i altres sistemes d’informació mitjançant la implantació dels mecanismes d’identificació, autenticació i autorització d’acord amb la criticitat de cada actiu. A més, quedarà registrada la utilització del sistema a fi d'assegurar la traçabilitat de l’accés i auditar el seu ús adequat, conforme a l’activitat de l’organització.

 

• Adquisició, desenvolupament i manteniment dels sistemes d'informació: Es contemplaran els aspectes de seguretat de la informació en totes les fases del cicle de vida dels sistemes d'informació, garantint-ne la seguretat per defecte.

 

• Gestió dels incidents de seguretat: S’implantaran els mecanismes apropiats per a la correcta identificació, registre i resolució dels incidents de seguretat.

 

• Garantir la prestació continuada dels serveis: S’implantaran els mecanismes apropiats per assegurar la disponibilitat dels sistemes d’informació i mantenir la continuïtat dels seus processos de negoci, d’acord amb les necessitats de nivell de servei de les seves persones usuàries.

 

• Protecció de dades: S'adoptaran les mesures tècniques i organitzatives que correspongui implantar per atendre els riscos generats per al tractament i per complir la legislació de seguretat i privadesa.

 

• Compliment: S’adoptaran les mesures tècniques, organitzatives i procedimentals necessàries per al compliment de la normativa legal vigent en matèria de seguretat de la informació.

5. ABAST

 

Aquesta Política s’aplicarà als sistemes d’informació del Col·legi d’Enginyers Tècnics Industrials de Girona relacionats   amb l’exercici de les seves competències i a totes les persones usuàries amb accés autoritzats a aquests, siguin o no persones empleades pròpies de l’entitat i amb independència de la naturalesa de la seva relació jurídica amb el Col·legi. Totes elles tenen l’obligació de conèixer i complir aquesta Política de Seguretat de la Informació i la seva Normativa de Seguretat derivada, sent responsabilitat del Comitè de SeguretatTIC disposar els mitjans necessaris perquè la informació arribi al personal afectat.

 

6. MARC NORMATIU

 

El marc normatiu en què es desenvolupen les activitats del Col·legi d’Enginyers Tècnics Industrials de Girona i, en particular, la prestació dels seus serveis electrònics està integrat per les següents normes:

• Reial Decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat.

 

• Resolució de 13 de octubre de 2016, de la Secretaria d’Estat d’Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l’Esquema Nacional de Seguretat.

 

• Resolució de 7 d’octubre de 2016, de la Secretaria d’Estat d’Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat d'informe de l’Estat de la Seguretat.

 

• Resolució de 27 de març de 2018, de la Secretaria d'Estat de Funció Pública, per la qual s’aprova la Instrucció Tècnica de Seguretat d’Auditoria de la Seguretat dels Sistemes d’Informació.

 

• Resolució de 13 d'abril de 2018, de la Secretaria d'Estat de Funció Pública, per la qual s’aprova la Instrucció Tècnica de Seguretat de Notificació d’Incidents de Seguretat.

 

• Llei Orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals.

 

• Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en allò que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades i que deroga la Directiva 95/46/CE (Reglament general de protecció de dades).

 

• Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques.

 

• Llei 40/2015, d’1 de octubre, de règim jurídic del sector públic.

 

• Reial Decret 4/2010, de 8 de gener, pel qual es regula el Esquema Nacional d’Interoperabilitat en l’àmbit de l’Administració Electrònica.

 

• Reial Decret 1671/2009, de 6 de novembre, pel qual es desenvolupa parcialment la Llei 11/2007, de 22 de juny, d'accés electrònic dels ciutadans als serveis públics.

 

• Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i de comerç electrònic.

 

• Llei 9/2014, de 9 de maig, General de Telecomunicacions.

 

• Llei 37/2007, de 16 de novembre, sobre reutilització de la informació del sector públic.

 

• Llei 25/2007, de 18 d'octubre, de conservació de dades relatives a les comunicacions electròniques i a les xarxes públiques de comunicacions.

 

• Reial Decret Legislatiu 1/1996, de 12 d’abril, pel qual s’aprova el Text Refós de la Llei de propietat intel·lectual.

 

• Llei 56/2007, de 28 de desembre, de mesures d’impuls de la societat de la informació.

 

• Llei 19/2013, de 9 de desembre, de transparència, accés a la informació pública i bon govern.

 

• Llei 9/2017, de 8 de novembre, de contractes del sector públic, per la qual es transposen a l'ordenament jurídic espanyol les Directives del Parlament Europeu i del Consell 2014/23/UE i 2014/24/UE, de 26 de febrer de 2014.

 

• Reial decret llei 14/2019, de 31 d'octubre, pel qual s'adopten mesures urgents per raons de seguretat pública en matèria d'administració digital, contractació del sector públic i telecomunicacions.

 

• Llei 6/2020, d’11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança.

 

• Llei 2/1974, de 13 de febrer, de col·legis professionals.

 

 

• Llei 19/2014, del 29 de desembre, de transparència, accés a la informació pública i bon govern de Catalunya.

 

• Llei 7/2006, de 31 de maig, de l'exercici de professions titulades i dels col·legis professionals de Catalunya.

 

També formen part del marc normatiu les restants normes aplicables a l’administració electrònica del Col·legi d’Enginyers Tècnics Industrials de Girona, derivades de les anteriors, publicades a la seu electrònica i compreses dins l'àmbit d’aplicació d’aquesta Política.

 

7. ORGANITZACIÓ DE LA SEGURETAT DE LA INFORMACIÓ

 

7.1. Criteris utilitzats per a l'organització de la Seguretat de la Informació

 

El Col·legi d’Enginyers Tècnics Industrials de Girona, tenint a compte l’establert en el Reial Decret 311/2022, de 3 de maig, pel quales regula l'Esquema Nacional de Seguretat (ENS) i les pautes establertes a la Guia CCN-STIC-801 “Responsabilitats i Funcions a l'ENS”, per organitzar la seguretat de la informació emprendrà les següents accions:

 

1. 1. 1. Designarà rols de seguretat: Responsables dels Serveis, Responsables de la  Informació, Responsable de la Seguretat, Responsable del Sistema i Delegat de Protecció de Dades.

 

1. 1. 2. Constituirà un òrgan consultiu i estratègic per a la presa de decisions en matèria de Seguretat de la Informació. Aquest òrgan es constituirà com a un òrgan col·legiat i es denominarà Comitè de Seguretat de la Informació.

 

 

7.2  Rols i Òrgans de la Seguretat de la Informació

en el Col·legi d’Enginyers Tècnics Industrials de Girona, els següents:

 

, en el marc de l’ENS, els rols i òrgans de la Seguretat de la Informació, serán

 

• Responsables dels Serveis i Responsables de la Informació :  delegat a l’empresa Com-Tech la gestió de les TIC i a ADA Sistemes pel programa e-col·legi/web amb les directrius de la Junta de Govern i portada a terme per gerència

 

• Responsable de Seguretat de la Informació: Junta de Govern
• Responsable del Sistema: Junta de Govern i gerència coordina les directrius . L’empresa Com-Tech i a ADA Sistemes pel programa e-col·legi/web són qui gestionen les plataformes informàtiques i equips.
• Comitè de Seguretat TIC:

 

• • Presidència: Degà/na o delegat.
  • Vocals:Membres: Comissió TIC

 

En les les sessions del Comitè de Seguretat podran assistir en qualitat d'assessores les persones que el president en cada cas estimi pertinents.

 

        7.3  Responsabilitats dels rols associats a l'Esquema Nacional de Seguretat

 

7.3.1. Responsable de la Informació i dels Serveis

 

Seran funcions dels Responsables de la Informació i dels Serveis:

 

• • • • Establir i elevar, per a la seva aprovació al Comitè de Seguretat de la Informació, els requisits de seguretat aplicables a la informació (nivells de seguretat de la Informació) i als Serveis (nivells de seguretat dels serveis), dins del marc establerten l'Annex I del RD ENS, podent demanar una proposta al Responsable de Seguretat i tenint en compte l'opinió del Responsable del Sistema.

 

• • • • Dictaminar respecte als drets d’accés a la informació i els serveis.

 

• • • • Acceptar els nivells de risc residual que afecten a la informació i els serveis.
      • Posar en comunicació del Responsable de Seguretat qualsevol variació respecte a la Informació i els Serveis dels què és responsable, especialment la incorporació de nous serveis o informació al seu càrrec, el qual traslladarà aquests canvis, al Comitè de Seguretat de la Informació, en la seva propera reunió.

 

1. 1. 2. Responsable de la Seguretat

 

Seran funcions del Responsable de Seguretat:

 

1. 1. 1. 1. Mantenir i verificar el nivell adequat de seguretat de la Informació utilitzada i dels Serveis electrònics prestats pels sistemes d’informació.

 

1. 1. 1. 2. Promoure la formació i conscienciació en matèria de seguretat de la informació.

 

1. 1. 1. 3. Designar responsables de l’execució de l’anàlisi de riscos, de la Declaració d’Aplicabilitat, identificar mesures de seguretat, determinar configuracions necessàries, elaborar documentació del sistema.

 

1. 1. 1. 4. Proporcionar assessorament per a la determinació de la Categoria del Sistema, en col·laboració amb el Responsable del Sistema i/o Comitè de Seguretat TIC.

 

1. 1. 1. 5. Participar en l'elaboració i la implantació dels plans de millora de la seguretat i, arribat el cas, en els plans de continuïtat, procedint a la seva validació.

 

1. 1. 1. 6. Gestionar les revisions externes o internes del sistema.

 

1. 1. 1. 7. Gestionar els processos de certificació.

 

1. 1. 1. 8. Elevar al Comitè de Seguretat l’aprovació de canvis i altres requisits del sistema.

 

1. 1. 1. 9. Aprovar els procediments de seguretat que formen part del Mapa Normatiu (i no són competència del Comitè) i posar en coneixement del Comitè les modificacions que s’hagin realitzat durant el període en curs.

 

1. 1. 3. Responsable del Sistema

 

Seran funcions del Responsable del Sistema:

 

1. 1. 1. 1. Desenvolupar, operar i mantenir el sistema d’informació durant tot el seu cicle de vida, elaborant els procediments operatius necessaris.

 

1. 1. 1. 2. Definir la topologia i la gestió del sistema d'informació establint els criteris d’ús i els serveis disponibles en aquest.

 

1. 1. 1. 3. Aturar l’accés a la informació o prestació de servei si té coneixement que aquests presenten deficiències greus de seguretat.

 

1. 1. 1. 4. Comprovar que les mesures específiques de seguretat s’integrin adequadament dins del marc general de seguretat.

 

1. 1. 1. 5. Proporcionar assessorament per a la determinació de la Categoria del Sistema, en col·laboració amb el Responsable de Seguretat i/o Comitè de Seguretat de la Informació.

 

1. 1. 1. 6. Participar en l'elaboració i la implantació dels plans de millora de la seguretat i, arribat el cas, als plans de continuïtat.

 

1. 1. 1. 7. Dur a terme, si escau, les funcions de l'administrador de la seguretat del sistema:

 

1. 1. 1. 1. 1. La gestió, configuració i actualització, si escau, del maquinari i programari en què es basen els mecanismes i serveis de seguretat.

 

1. 1. 1. 1. 2. La gestió de les autoritzacions concedides a les persones usuàries del sistema, en particular els privilegis concedits, incloent-hi el monitoratge de l'activitat desenvolupada en el sistema i la seva correspondència amb allò autoritzat.

 

1. 1. 1. 1. 3. Aprovar els canvis en la configuració vigent del Sistema d’Informació.

 

1. 1. 1. 1. 4. Assegurar que els controls de seguretat establerts es compleixen estrictament.

 

1. 1. 1. 1. 5. Assegurar que són aplicats els procediments aprovats per gestionar el sistema d’Informació.

 

1. 1. 1. 1. 6. Supervisar les instal·lacions de maquinari i programari, les seves modificacions i millores per assegurar que la seguretat no està compromesa i que en tot moment s’ajusten a les autoritzacions pertinents.

 

1. 1. 1. 1. 7. Monitoritzar l’estat de seguretat proporcionat per les eines de gestió d'esdeveniments de seguretat i mecanismes d’auditoria tècnica.

 

1. 1. 1. 1. 8. Informar al Responsable de Seguretat de qualsevol anomalia, compromís o vulnerabilitat relacionada amb la seguretat.

 

1. 1. 1. 1. 9. Col·laborar en la investigació i la resolució d'incidents de seguretat, des de la seva detecció fins a la resolució.

 

Quan la complexitat del sistema ho justifiqui, el responsable del sistema podrà designar els responsables de sistema delegats que consideri necessaris, que tindran dependència funcional directa d'aquell i seran responsables en el seu àmbit de totes aquelles accions que els hi delegui. De la mateixa manera, també podrà delegar a un altre les funcions concretes i les responsabilitats que se li atribueixen.

 

1. 4.  Delegat de Protecció de Dades (DPO)

 

Seran funcions del Delegat de Protecció de Dades:

 

• Informar i assessorar al Col·legi d’Enginyers Tècnics Industrials de Girona i a les persones usuàries que s’ocupin del tractament, deles seves obligacions d’acord amb la normativa vigent en matèria de Protecció de Dades.

 

• Supervisar el compliment d’allò que disposa la normativa de seguretat i de les polítiques internes del Col·legi d’Enginyers Tècnics Industrials de Girona, en matèria de protecció de dades, inclosa l’assignació de responsabilitats, la conscienciació i formació del personal que participa en les operacions de tractament, i les auditories corresponents.

 

• Oferir l’assessorament per a l’avaluació d’impacte relativa a la protecció de dades i supervisar la seva aplicació.

 

• Cooperar amb l’Autoritat Catalana de Protecció de Dades quan aquesta ho requereixi, actuant com el seu punt de contacte per a qüestions relatives al tractament de dades.

 

• El Delegat de Protecció de Dades exercirà les seves funcions amb especial atenció als riscos associats a les operacions de tractament. Per això haurà de:

 

• • Recaptar informació per determinar les activitats de tractament.

• • Analitzar i comprovar la conformitat de les activitats de tractament.

• • Informar, assessorar i emetre recomanacions al responsable o a l’encarregat del tractament.

• • Recaptar informació per supervisar el registre de les operacions de tractament.

• • Assessorar en relació amb el principi de la protecció de dades per disseny i per defecte.

• • Assessorar sobre si es porten a terme o no les  avaluacions  d’impacte,  metodologia, salvaguardes a aplicar, etc.

• • Prioritzar activitats en base als riscos.
  • Assessorar al Responsable de Tractament en relació amb les àrees que requereixen auditories, activitats de formació i operacions de tractament en què cal dedicar més temps i recursos.

 

1. 5. Comitè de Seguretat TIC

 

Seran funcions del Comitè de Seguretat TIC:

 

Atribucions del Comitè de Seguretat TIC :

 

Encara que el Col·legi d’Enginyers Tècnics Industrials de Girona només requereixi d’una Declaració de Conformitat a l’ENS per disposar d’una categoria BÀSICA de sistemes (si fos el cas), el comitè ha d’estar permanentment informat de la normativa que regula la certificació de conformitat amb l’ENS, incloent les seves normes d’acreditació, certificació, guies, manuals, procediments i instruccions tècniques. Estar permanentment informat de la relació d’Entitats de Certificació acreditades i organitzacions, públiques i privades, certificades. Estar permanentment informat de la relació d’esquemes de certificació de la seguretat amb els que l’Administració Pública té establerts acords de reconeixement mutu de certificats

 

1. Proposar directrius i recomanacions, que seran recollides a les corresponents actes de les reunions del Comitè, a les quals el seu president, haurà de donar resposta.

2. Coordinar els esforços de les diferents àrees en matèria de seguretat de la informació, per assegurar que aquests siguin consistents, alineats amb l’estratègia decidida en la matèria, i evitar duplicitats.

3. Atendre les inquietuds, en matèria de Seguretat de la Informació de les diferents àrees, informant regularment de l’estat de la seguretat de la informació a la Direcció.

4. Resoldre els conflictes de responsabilitat que puguin aparèixer entre els diferents responsables i/o entre diferents Departaments, elevant aquells casos en què no tingui prou autoritat per decidir.

5. Assessorar en matèria de seguretat de la informació, sempre que li sigui requerit.

6. Revisar la Política de Seguretat de la Informació, prèvia aprovació per l’òrgan superior.

7. Aprovar la Normativa d’Ús de Mitjans electrònics per a tot el personal.

8. Aprovar el Mapa de Normativa amb la llista de Normativa i Procediments de seguretat per a la implantació de l’ENS.

 

Periodicitat de les reunions i adopció d’acords:

 

 

1. En qualsevol cas, la Presidència convocarà les reunions, per pròpia iniciativa o per majoria dels seus membres permanents.

2. Les decisions s’adoptaran per consens dels membres permanents.

 

 

1. 6. Oficina de Seguretat TIC

 

Dins l'estructura de governança de la ciberseguretat es constitueix l'Oficina de Seguretat TIC. Les seves competències estaran relacionades amb les següents àrees de treball: adequació a l'ENS, normativa i gestió de riscos, anàlisi i millora contínua, seguretat a les interconnexions i connectivitat i altres funcions connexes o concordants. Per a la seva composició es proposa:

 

• El Director de l’Oficina de seguretat TIC , nomenat pel Comitè de Seguretat TIC, que actuarà com a enllaç amb aquest, que serà el Responsable de Seguretat (RSEG) , o la persona a qui delegui.

 

• Secretari de l’Oficina de Seguretat TIC , nomenat pel Comitè de Seguretat TIC, a proposta dels membres de l’Oficina de Seguretat.

 

Tots aquells administradors especialistes de seguretat (AES) que el Responsable de Seguretat determini que siguin necessaris.

 

Les funcions de l'Oficina de Seguretat TIC seran, entre d'altres, les que li puguin ser encomanades pel Comitè de Seguretat TIC:

 

1. Gestió i operativa de la seguretat del Projecte d’Adequació, Implantació i gestió de la Conformitat a l’ENS, anàlisi i gestió de riscos, explotació, normativa i manteniment.

 

2. Redacció i presentació de propostes al Comitè de Seguretat TIC. Elaborarà els aspectes relacionats amb la ciberseguretat i els debatrà en primera instància, per ser traslladats al Comitè.

 

3. Promoure la millora contínua del sistema de gestió de la Seguretat de la Informació. Per això s'encarregarà de:

 

• • Elaborar (i revisar regularment) la Política de Seguretat de la Informació per al seu trasllat al Comitè de Seguretat TIC, per a la seva revisió i posterior aprovació de l’òrgan superior .

 

• • Elaborar la normativa de Seguretat de la Informació per a la seva aprovació pel Responsable de Seguretat, amb coneixement del Comitè.

 

O Verificar els procediments de seguretat de la informació i altra documentació per a la seva aprovació.

 

O Detectar necessitats formatives i proposar que es realitzin programes de formació destinats a formar i sensibilitzar el personal en matèria de seguretat de la informació i protecció de dades.

 

O Elaborar i aprovar els requisits de formació i qualificació de persones administradores, operadores i usuàries des del punt de vista de seguretat de la informació.

 

O Proposar plans de millora de la seguretat de la informació, amb la seva dotació pressupostària corresponent, prioritzant les actuacions en matèria de seguretat quan els recursos siguin limitats.

 

O Realitzar un seguiment dels principals riscos residuals assumits i recomanar possibles actuacions al seu respecte.

 

O Promoure la realització de les auditories periòdiques ENS i RGPD que permetin verificar el compliment de les obligacions del Col·legi en matèria de seguretat de la informació i protecció de dades.

 

 

Periodicitat de les reunions i adopció de acords:

 

1. El director de l’Oficina de Seguretat TIC convocarà les reunions de treball dels seus membres i demanarà els acords aconseguits, dels quals donarà compte al Comitè de Seguretat TIC, per a la seva aprovació, si escau.

 

2. L'Oficina podrà desenvolupar les seves funcions en ple o en grups de treball per a l’anàlisi i realització de propostes específiques. Les propostes plantejades a l'Oficina de Seguretat TIC seran sotmeses a anàlisi, debat i aprovació, si procedeix, per part del Comitè de Seguretat TIC.

 

3. Es reunirà periòdicament i sempre abans de les celebracions del Comitè de Seguretat TIC.

 

 

1. 7. Centre d’Operacions de Ciberseguretat / Àrea o Servei TIC.

 

Sota la responsabilitat i direcció del Director de l'Oficina de Seguretat TIC del Col·legi, o la persona que aquest designi amb coneixement del Comitè de Seguretat TIC, el Centre d’Operacions de Ciberseguretat presta serveis de ciberseguretat, desenvolupant la vigilància i detecció d'amenaces a la operació diària dels sistemes TIC, alhora que millora la capacitat de resposta del sistema davant qualsevol atac.

 

En el cas que un Col·legi, per la seva grandària o manca de recursos, no pugui disposar d’un COCS, l’Àrea/Servei TIC, l’Oficina de Seguretat TIC podrà assumir, en tot o en part, les funcions pròpies del mateix.

 

1. 1. 1. Funcions

 

El Centre d'Operacions de Ciberseguretat durà a terme les següents funcions:

 

• • • • Vigilar i monitoritzar la seguretat dels sistemes i dels dispositius de defensa.

 

• • • • Anàlisi i correlació d'esdeveniments de seguretat i registres d'activitat dels sistemes.

 

• • • • Operacions de seguretat sobre els dispositius de defensa.

 

• • • • Podrà constituir un Equip de Resposta a Incidents de Seguretat: Realitzar un seguiment de la gestió dels incidents de seguretat i recomanar possibles actuacions al seu respecte.

 

• • • • Servei d’Alerta Primerenca (SAP o SAT) d’alertes de seguretat a les xarxes corporatives i a les connexions a Internet dels sistemes.

 

• • • • Gestió de vulnerabilitats (anàlisi i determinació de les accions d’esmena/”patch”) de aplicacions i serveis.

 

• • • • Anàlisi forense digital i de seguretat.

 

• • • • Servei de cibervigilància que possibiliti la prospectiva sobre la ciberamenaça.

 

L’Àrea/Servei TIC haurà, per un costat, de coordinar-se amb l’Oficina de Seguretat TIC per a la definició i aplicació de les mesures de seguretat als sistemes i infraestructures que estiguin sota la seva responsabilitat; i per un altre, col·laborar amb el Centre d’Operacions de Ciberseguretat (COCS) per a les tasques d’operativa diària.

 

1. 8. Procediments de designació

 

La creació del Comitè de Seguretat de la Informació, el nomenament dels seus integrants i la designació dels Responsables identificats en aquesta Política, es realitzarà per la Junta de Govern del Col·legi.

El nomenament es revisarà cada 4 anys o quan el lloc quedi vacant.

 

8. DADES PERSONALS

 

El Col·legi d’enginyers Tècnics Industrials de Girona només recollirà i tractarà dades personals quan siguin adequades, pertinents i no excessives i aquestes es trobin en relació amb l’àmbit i les finalitats per a les que s’hagin obtingut. També adoptarà les mesures de caràcter tècnic i organitzatives necessàries pel compliment de la normativa de Protecció de Dades.

 

EL Col·legi d’Enginyers Tècnics Industrials de Girona publicarà a la Seu Electrònica la seva Política de Privadesa.

 

9. OBLIGACIONS DEL PERSONAL

 

Tot  el  personal del Col·legi d’Enginyers Tècnics Industrials de Girona, comprès dins de l’ àmbit de l'ENS, atendrà una o diverses

sessions de conscienciació en matèria de seguretat i protecció de dades, almenys una vegada a l'any. S'establirà un programa de conscienciació contínua per atendre tot el personal, en particular el de nova incorporació.

 

Les persones amb responsabilitat en l’ús, operació o administració de sistemes d’informació rebran formació per a la gestió segura dels sistemes quan la necessitin per fer la seva feina. La formació serà obligatòria abans d’assumir una responsabilitat, tant si és la seva primera assignació com quan es tracta d’un canvi de lloc de treball o de responsabilitats.

 

10. GESTIÓ DE RISCOS

 

Tots els sistemes afectats per aquesta Política de Seguretat de la Informació estan subjectes a un anàlisi de riscos amb l’objectiu d’avaluar les amenaces i els riscos als què estan exposats. Aquest anàlisi es repetirà:

 

• Almenys una vegada al any.
• Quan canviïn la informació i/o els serveis gestionats de manera significativa.
• Quan passi un incident greu de seguretat o es detectin vulnerabilitats greus.

 

El Responsable de la Seguretat serà l'encarregat de fer l'anàlisi de riscos, així com d'identificar mancances i debilitats i posar-les en coneixement del Comitè de Seguretat de la Informació.

 

El Comitè de Seguretat de la Informació dinamitzarà la disponibilitat de recursos per atendre les necessitats de seguretat dels diferents sistemes, promovent inversions de caràcter horitzontal.

 

El procés de gestió de riscos comprendrà les següents fases:

 

• Categorització dels sistemes.
• Anàlisi de riscos.
• El Comitè de Seguretat de la Informació procedirà a la selecció de mesures de seguretat a aplicar que hauran de ser proporcionals als riscos i estar justificades.

 

Les fases d’aquest procés es realitzaran segons allò disposat als Annexos I i II del Reial Decret 311/2022, de 8 de gener, i seguint les normes, instruccions, Guies CCN-STIC i recomanacions per aplicar-lo elaborades pel Centre Criptològic Nacional (CCN).

 

En particular, per realitzar l’anàlisi de riscos, com a norma general s’utilitzarà una metodologia reconeguda d’anàlisi i gestió de riscos (per exemple MAGERIT).

 

11. NOTIFICACIÓ D’INCIDENTS

 

De  conformitat  amb allò que disposa l’article  33 del RD 311/2022, el Col·legi notificarà al Centre Criptològic Nacional (CCN) aquells incidents que tinguin un impacte significatiu en la seguretat de la informació gestionada i dels serveis prestats en relació amb la categorització de sistemes segons l'Annex I del RD ENS.

 

 

12. DESENVOLUPAMENT DE LA POLÍTICA DE SEGURETAT DE LA INFORMACIÓ

 

El cos normatiu sobre seguretat de la informació es desenvoluparà  amb un primer nivell normatiu constituït per aquesta Política de Seguretat de la Informació, la Normativa Interna de l'Ús dels Mitjans Electrònics i les directrius generals de seguretat aplicables als organismes o unitats del Col·legi als què sigui d’aplicació aquests documents.

Posteriorment  e spodran constituïr les normes de seguretat derivades de l’anteriors.

 

Correspon a l’òrgan superior del Col·legi l’aprovació de la Política de Seguretat de la Informació i la Normativa Interna de l'Ús dels Mitjans Electrònics del Col·legi, sent el Comitè de Seguretat de la Informació l'òrgan responsable de l'aprovació dels restants documents i de la seva difusió perquè la coneguin les parts afectades.

 

De la mateixa manera, la Política de Seguretat de la Informació complementa la Política de

Privadesa del Col·legi en matèria de protecció de dades de caràcter personal.

 

La normativa de seguretat i, molt especialment, la Política de seguretat de la Informació i la Normativa Interna de l'Ús dels Mitjans Electrònics, serà coneguda i estarà a disposició de tots els membres del Col·legi, en particular per aquells que utilitzin, operin o administrin els sistemes d’informació i comunicacions. Estarà disponible per consultar a la Intranet i en suport paper i serà custodiada pel Servei d’Informàtica.

 

13. TERCERES PARTS

 

Quan el Col·legi presti serveis a altres organismes o gestioni informació d'altres organismes, se'ls farà partícips d'aquesta Política de Seguretat de la informació. S’establiran canals de comunicació i la coordinació dels respectius Comitès de Seguretat de la Informació  i s’establiran procediments d’actuació per a la reacció davant incidents de seguretat.

 

Quan el Col·legi utilitzi serveis de tercers o cedeixi informació a tercers, se'ls farà partícips d'aquesta Política de Seguretat i de la normativa de seguretat que afecti a aquests serveis o informació. Aquesta tercera part quedarà subjecta a les obligacions establertes en aquesta normativa, podent desenvolupar els seus propis procediments operatius per satisfer-la. S’establiran procediments específics de comunicació i resolució d’incidències. Es garantirà que el personal de tercers està adequadament conscienciat en matèria de seguretat, almenys al mateix nivell que l'establert en aquesta Política de Seguretat.

 

Quan algun aspecte d'aquesta Política de Seguretat de la Informació no pugui ser satisfet per una tercera part segons es requereix en els paràgrafs anteriors, es requerirà un informe del Responsable de Seguretat que determini amb precisió els riscos en què es pot incórrer i la manera de tractar- los. Es requerirà l'aprovació d'aquest informe pels responsables de la informació i els serveis afectats abans de seguir endavant.

 

14. MILLORA CONTINUA

 

La gestió de la seguretat de la informació és un procés subjecte a permanent actualització. Els canvis en l'organització, les amenaces, les tecnologies i/o la legislació fan necessària una millora continua dels sistemes. Per això, cal implantar un procés permanent que comportarà, entre d'altres accions:

 

1. Revisió de la Política de Seguretat de la Informació.

2. Revisió dels serveis i informació i la seva categorització.

3. Execució de l’anàlisi de riscos.

4. Realització d’auditories.

5. Revisió de les mesures de seguretat.

6. Revisió i actualització de les normes i procediments.