Organización de la seguridad

La estructura organizativa de la Organización de la Seguridad de la Información en el IDEPA se establece en la forma que se indica a continuación.

2.1. Roles de Seguridad de la Información

El IDEPA ha procedido a la designación de los siguientes roles de seguridad:

Responsables de Información y Servicios:

Proceso	Responsable
EI: PLANIFICACION ESTRATEGICA	Dirección general
E2: GESTION DE LA COMUNICACION	Responsable de área de Gestión de Conocimiento
E3: GESTIÓN DE LA EXCELENCIA	Responsable de Excelencia y Mejora Continua
E4: GESTIÓN DEL CONOCIMIENTO	Responsable de área de Gestión de Conocimiento
O1: INFORMACIÓN Y ATENCIÓN AL CLIENTE	Dirección general
O2: ATRACCIÓN DE INVERSIONES	Dirección general
O3: CRECIMIENTO Y DESARROLLO EMPRESARIAL	Responsable de área Transformación Empresarial
O4: GESTIÓN DE ESPACIOS INDUSTRIALES Y TECNOLÓGICOS	Responsable de área de Aceleración de Proyectos Estratégicos
O5: PROMOCIÓN DE LA INTERNACIONALIZACIÓN	Responsable de área Transformación Empresarial
O6: PROMOCIÓN DE LA INNOVACIÓN	Responsable de área I+D+i Empresarial
O7: CREACIÓN DE EMPRESAS	Responsable de área I+D+i Empresarial
A1: PERSONAS	Responsable de área Jurídico Administrativa
A2: GESTIÓN ECONÓMICO-FINANCIERA	Responsable de área Jurídico Administrativa
A3: GESTIÓN ADMINISTRATIVA	Responsable de área Jurídico Administrativa
A4: GESTIÓN DE INFRAESTRUCTURAS	Responsable de área Jurídico Administrativa
A5: GESTIÓN DE LA SEGURIDAD Y TECNOLOGÍAS DE LA INFORMACIÓN	Responsable de área de Gestión de Conocimiento

Delegado de Protección de Datos: Personal externo.
Responsable de Seguridad: Jefe de proyectos Informáticos.
Responsable del Sistema: Asesor Informático.

2.2. Comité de Seguridad de la Información

El Comité de Seguridad de la Información del IDEPA, como órgano colegiado que estará formado por las siguientes personas:

Presidencia: Dirección General

Vocales:

los Responsables de Proceso
el Responsable de Seguridad
el Responsable de Excelencia y Mejora Continua
Delegado de Protección de Datos

Secretaría: Responsable de Excelencia y Mejora Continua

Asimismo, y con carácter opcional, podrán incorporarse a las labores del Comité, los Responsables de la Información y los Servicios, grupos de trabajo especializados o personas consideradas necesarias en función de los temas a tratar, ya sean de carácter interno o externo.

2.3. Responsabilidades asociadas al Esquema Nacional de Seguridad

2.3.1. Responsables de la Información y los Servicios

Serán funciones de los Responsables de Información y de los Servicios:

Establecer y aprobar los requisitos de seguridad aplicables al Servicio (niveles de seguridad del servicio) y la Información (niveles de seguridad de la información), dentro del marco establecido en el anexo I del Real Decreto 3/2010, de 8 de enero. Pudiendo recabar una propuesta al Responsable de Seguridad y teniendo en cuenta la opinión del Responsable del Sistema ENS y/o Comité de Seguridad de la Información.
Dictaminar respecto a los derechos de acceso al Servicio y a la Información.
Aceptar los niveles de riesgo residual que afectan al Servicio y a la Información.
Como propietarios de la información y servicios de su responsabilidad, serán informados de los riesgos que les afectan, así como del riesgo residual a los que están sometidos, aceptándolos formalmente.
Poner en comunicación del Responsable de Seguridad, cualquier variación respecto a la Información y los Servicios de los que es responsable, especialmente la incorporación de nuevos Servicios o Información a su cargo. El cual dará traslado de dichos cambios, al Comité de Seguridad de la Información, en su próxima reunión.

2.3.2.Responsable de Seguridad.

Serán funciones del Responsable de Seguridad:

Mantener y verificar el nivel adecuado de seguridad de la Información manejada y de los Servicios electrónicos prestados por los sistemas de información.
Promover la formación y concienciación en materia de seguridad de la información.
Designar responsables de la ejecución del análisis de riesgos, de la Declaración de Aplicabilidad, identificar medidas de seguridad, determinar configuraciones necesarias, elaborar documentación del sistema.
Proporcionar asesoramiento para la determinación de la Categoría del Sistema, en colaboración con el Responsable del Sistema y/o Comité de Seguridad de la Información de la Información.
Participar en la elaboración e implantación de los planes de mejora de la seguridad y llegado el caso en los planes de continuidad, procediendo a su validación.
Gestionar las revisiones externas o internas del sistema Gestionar los procesos de certificación.
Elevar al Comité de Seguridad la aprobación de cambios y otros requisitos del sistema.

2.3.3.Responsable del Sistema.

Serán funciones del Responsable del Sistema:

Paralizar o dar suspensión al acceso a información o prestación de servicio si tiene el conocimiento de que estos presentan deficiencias graves de seguridad.
Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida. Elaborando los procedimientos operativos necesarios.
Definir la topología y la gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
Proporcionar asesoramiento para la determinación de la Categoría del Sistema, en colaboración con el Responsable de Seguridad y/o Comité de Seguridad de la Información de la Información.
Participar en la elaboración e implantación de los planes de mejora de la seguridad y llegado el caso en los planes de continuidad.
Llevar a cabo las funciones del administrador de la seguridad del sistema:
- La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad.
- La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de la actividad desarrollada en el sistema y su correspondencia con lo autorizado.
- Aprobar los cambios en la configuración vigente del Sistema de Información.
- Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
- Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de Información.
- Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
- Monitorizar el estado de seguridad proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica.
- Informar al Responsable de Seguridad de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
- Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.

2.4. Funciones del Delegado de Protección de Datos.

Las funciones del Delegado de Protección de Datos (DPD) serán, como mínimo:

Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
Supervisar el cumplimiento de lo dispuesto en el presente documento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.
Cooperar con la autoridad de control
Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

2.5. Funciones del Comité de Seguridad de la Información.

Serán funciones del Comité de Seguridad de la Información:

Atender las inquietudes, en materia de Seguridad de la Información, de la Administración y de los diferentes Responsables de área informando regularmente del estado de la Seguridad de la Información a la Dirección.
Asesorar en materia de Seguridad de la Información, siempre y cuando le sea requerido.
Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes Roles de Seguridad elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
Promover la mejora continua del sistema de gestión de la Seguridad de la Información. Para ello se encargará de:
- Coordinar los esfuerzos de los diferentes Responsables de área en materia de Seguridad de la Información, para asegurar que estos sean consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
- Proponer planes de mejora de la Seguridad de la Información, con su dotación presupuestaria correspondiente, priorizando las actuaciones en materia de seguridad cuando los recursos sean limitados.
- Velar porque la Seguridad de la Información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación (Privacy by Design). En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
- Realizar un seguimiento de los principales riesgos residuales asumidos y recomendar posibles actuaciones respecto de ellos.
- Realizar un seguimiento de la gestión de los incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.
- Elaborar y revisar, al menos anualmente, la Política de Seguridad de la Información para su aprobación por la Dirección General.
- Elaborar la normativa de Seguridad de la Información para su aprobación por la Dirección General.
- Verificar los procedimientos de seguridad de la información y demás documentación para su aprobación.
- Elaborar programas de formación destinados a formar y sensibilizar al personal en materia de Seguridad de la Información y en particular en materia de protección de datos de carácter personal.
- Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de Seguridad de la Información.
- Promover la realización de las auditorías periódicas ENS y LOPD que permitan verificar el cumplimiento de las obligaciones de la Administración en materia de seguridad de la Información.

2.6. Procedimiento de designación

Los nombramientos se revisarán con ocasión de vacante.

El IDEPA es un organismo dependiente de la Consejería de Industria, Empleo y Promoción Económica del Gobierno del Principado de Asturias, motivo por el cual la designación tanto del Comité de Seguridad de la Información como del Delegado de Protección de Datos, tiene carácter provisional, a la espera de que el Gobierno del Principado de Asturias determine la ubicación funcional de esta figura dentro de su estructura. De igual modo, ya que esta designación supone ir en contra del principio de independencia recogido en el informe jurídico AEPD (2018-0170) para garantizar la imparcialidad de las decisiones, el Comité de seguridad contará con asesoramiento externo especializado en la materia.

Nombre	Duración	Tipología	Descripción
COOKIE_SUPPORT	1 año	Técnica	Esta cookie determina si el navegador acepta cookies.
JSESSIONID	Sesión	Técnica	Conserva los estados de los usuarios en todas las peticiones de la página.
GUEST_LANGUAGE_ID	1 año	Técnica	Determina el idioma preferido por el visitante. Permite a la web establecer el idioma preferido en el reingreso del visitante.
LFR_SESSION_STATE	Sesión	Técnica	Conserva los estados de los usuarios en todas las peticiones de la página.
LFR_COOKIES_ACCEPT	1 año	Técnica	Guarda el estado de la aprobación de las cookies necesarias.

Nombre	Duración	Tipología	Proveedor	Descripción
_ga	2 años	Análisis	Google Analytics	Registra una identificación única que se utiliza para generar datos estadísticos acerca de cómo utiliza el visitante el sitio web.
_gat	1 día	Análisis	Google Analytics	Utilizado por Google Analytics para controlar la tasa de peticiones
_gid	1 día	Análisis	Google Analytics	Registra una identificación única que se utiliza para generar datos estadísticos acerca de cómo utiliza el visitante el sitio web.

Organización de la seguridad