Información general
- Entidades y organismos adscritos
Acuerdo del Comité de Seguridad de Tecnologías de la Información y la Comunicación de la Agencia Andaluza de Cooperación Internacional para el Desarrollo.
Acuerdo de la Directora de la Agencia Andaluza de Cooperación Internacional para el Desarrollo, por el que se publica la nueva Política de seguridad de las tecnologías de la información y comunicaciones y de la protección de datos de carácter personal de la Agencia Andaluza de Cooperación Internacional para el Desarrollo.
La Política de Seguridad de la AACID regula la gestión continua del proceso de seguridad. Esta Política se ha establecido de acuerdo con los principios básicos establecidos en el Capítulo II del Esquema Nacional de Seguridad (ENS) y se desarrolla teniendo en cuenta la aplicación de los siguientes requisitos mínimos de seguridad:
a) Organización e implantación del proceso de seguridad
b) Análisis y gestión de los riesgos
c) Gestión de personal
d) Profesionalidad
e) Autorización y control de los accesos
f) Protección de las instalaciones
g) Adquisición de productos de seguridad y contratación de servicios de seguridad
h) Mínimo privilegio
i) Integridad y actualización del sistema
j) Protección de la información almacenada y en tránsito
k) Prevención ante otros sistemas de información interconectados
l) Registro de la actividad y detección de código dañino
m) Incidentes de seguridad
n) Continuidad de la actividad
ñ) Mejora continua del proceso de seguridad
La AACID establece como objetivos de Seguridad los siguientes:
- Garantizar la protección de la información.
- Seguridad física: la AACID emplaza los sistemas de información en áreas seguras, protegidas por controles de acceso físico adecuados a su nivel de criticidad.
- Control de acceso: la AACID limita el acceso a los activos de información por parte de usuarios, procesos y otros sistemas de información mediante la implantación de mecanismos de identificación, autenticación y autorización adaptados a la criticidad de cada activo.
- Adquisición, desarrollo y mantenimiento de los sistemas de información: la AACID contempla los aspectos de seguridad en todas las fases del ciclo de vida de los sistemas de información.
- Garantizar la prestación continuada de los servicios: la AACID implanta los procedimientos adecuados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de los procesos de negocio.
- Protección de datos: la AACID adopta las medidas técnicas y organizativas necesarias para gestionar los riesgos derivados del tratamiento de datos personales.
- Cumplimiento: la AACID adopta las medidas técnicas y organizativas necesarias para el cumplimiento de la normativa legal vigente en materia de Seguridad de la Información.
La AACID ha constituido un Comité de Seguridad Interior y Seguridad TIC, como órgano colegiado. Además, ara garantizar el cumplimiento y la adaptación de las medidas exigidas reglamentariamente, se han creado roles o perfiles de seguridad, y se han designado los cargos u órganos que los ocuparán, del siguiente modo:
- Delegado/a de Protección de Datos (DPD).
- Responsable de la Información: Dirección de la AACID.
- Responsable del Servicio: Jefatura de Unidad.
- Responsable de Seguridad: Jefatura de Tecnología y Estrategia Digital.
- Responsable del Sistema: Jefatura de Tecnología y Estrategia Digital.
Evaluación del plan
La gestión de la Seguridad de la Información es un proceso sujeto a actualización permanente. Por ello, es necesario que la AACID implante un proceso de mejora continua que comportará entre otras acciones:
- Revisión de la Política de Seguridad.
- Revisión de los servicios e información y su categorización.
- Ejecución con periodicidad anual del análisis de riesgos.
- Realización de auditorías internas y externas.
- Revisión de las medidas de seguridad.
- Revisión y actualización de normas y procedimientos.