Política de seguridad de la información

Política de seguridad de la información


Introducción:

La Autoridad Portuaria de Vilagarcía de Arousa depende de los sistemas TIC (Tecnologías de Información yComunicaciones) para alcanzar sus objetivos, ejercer sus competencias y prestar los servicios que tiene atribuidos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados, para alcanzar dicho fin, buscará regirse por el marco normativo establecido por el RD 311/2022, de 3 de mayo por el que se regula el Esquema Nacional de Seguridad (ENS).

El objetivo de la seguridad de la información es garantizar la confidencialidad, integridad, autenticidad y trazabilidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC de la Autoridad Portuaria de Vilagarcía de Arousa deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere que la Autoridad Portuaria de Vilagarcía de Arousa establezca una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que en todos los ámbitos en que se organiza la Autoridad Portuaria de Vilagarcía de Arousa se apliquen las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Toda la estructura de la Autoridad Portuaria de Vilagarcía de Arousa debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y la valoración de su coste deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

El objeto último de la seguridad de la información es garantizar que la Autoridad Portuaria de Vilagarcía de Arousa pueda cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, se elabora la presente Política, sobre la base de los siguientes principios básicos:

  • a) Seguridad como un proceso integral: La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales, jurídicos y organizativos, relacionados con el sistema.
  • b) Gestión de la seguridad basada en los riesgos: El análisis y la gestión de los riesgos es parte esencial del proceso de seguridad, debiendo constituir una actividad continua y permanentemente actualizada.
  • c) Prevención, detección, respuesta y conservación: La seguridad del sistema debe contemplar las acciones relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se materialicen o que, en el caso de hacerlo, no afecten gravemente a la información que maneja o a los servicios que presta. De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, conforme a la normativa que regula al organismo público.
  • d) Existencia de líneas de defensa: El sistema de información ha de disponer de una estrategia de protección constituida por múltiples capas de seguridad, dispuesta de forma que, cuando una de las capas sea comprometida, permita desarrollar una reacción adecuada frente a los incidentes que no han podido evitarse, reduciendo la probabilidad de que el sistema sea comprometido en su conjunto y minimizar el impacto final sobre el mismo.
  • e) Vigilancia continua: Permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta. Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.
  • f) Diferenciación de responsabilidades: En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema

En todo caso, la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos.

 

 Ver documento completo