1 Introducción
La organización ha considerado la necesidad de gestionar la seguridad como un todo completo, transversal
en la entidad y en cada proceso interno, como una cuestión estratégica de la organización.
La implementación de un sistema de gestión de la seguridad de la información, está condicionada a las
necesidades de la actividad y a las líneas marcadas por los objetivos organizacionales, entre los que se
encuentran actualmente, los objetivos de seguridad de la organización. Todos los procesos internos y
externos, quedan adscritos y afectos, a la presente política de seguridad, o cuantas políticas transversales
se desarrollen para dar cumplimiento a la misma.
La seguridad, por tanto, debe ser entendida como el conjunto de principios básicos y requisitos mínimos
requeridos para una protección adecuada de la información tratada y los servicios prestados a los terceros.
Nuestra organización ya ha venido dando pasos en este sentido, y ha considerado prioritario establecer los
objetivos de seguridad con plena alineación con los objetivos de negocio que culminará en un sistema de
gestión conforme a los requisitos establecidos en el Real Decreto 311/2022, y que culminará con la
certificación en esta línea y en un sistema de gestión de seguridad de la información.
Por defecto, la Dirección ha considerado que la organización es la responsable de los activos de información
y de los recursos de su propiedad, y asume que las tareas relacionadas con la seguridad de la información
son una parte fundamental para el desarrollo de la actividad.
Se mantendrán las tres dimensiones clásicas de seguridad, integrándose además las dimensiones
referenciadas en el Real Decreto 311/2022: confidencialidad, integridad y disponibilidad, así como las
dimensiones de autenticidad y trazabilidad.
La organización considera que la seguridad de la información debe evolucionar continuamente para
adecuarse a los requerimientos de negocio, sin impactar injustificadamente en el mismo y teniendo en
cuenta la adecuada relación entre costes y beneficios.
Para soportar esta política, se establecerán políticas de seguridad, normas y procedimientos detallados, los
cuales serán publicados y comunicados a todos los usuarios, terceros y socios de negocio de Auxiliar de
Servicios de Pinto, S.A.U., (en adelante ASERPINTO) cuando los mismos se vean afectados. La presente
Política será accesible para las partes internas y externas afectadas.
1.1 Estándar de Seguridad de la Información
La Dirección ha considerado implantar un estándar de seguridad. Se considerarán todos los elementos de seguridad necesarios, y específicamente el Real Decreto 311/2022.
En base a este estándar, se ha impuesto un sistema, con los requisitos propios de un sistema de gestión de
seguridad de la información, considerando las particularidades del negocio, de la organización y del cliente
tipo.
La organización somete sus sistemas a los controles establecidos en el Anexo II de la misma, y en su caso,
cuando sea preciso, se incorporarán nuevos controles o se complementaran los mismos.
La organización puede considerar la necesidad de someterse a una certificación de un tercero externo
independiente, que permita acreditar la alineación el sistema de gestión implantado a la norma, según
descripción de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones
Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional
de Seguridad (ENS). La organización considerará otras normas de uso no obligatorio, pero de referencia, y
específicamente la serie de Guías 800 publicadas por el Centro Criptológico Nacional CCN-CERT.
La organización debe cerciorarse que la seguridad es una parte integral de cada etapa del ciclo de vida del
sistema y de la información, desde el diseño de un producto o un servicio hasta su retirada. Incluyendo las
diferentes fases de desarrollo o adquisición y la propia producción o explotación. El sistema deberá estar
diseñado para prevenir, detectar, reaccionar y recuperarse de incidentes de seguridad.
2 Estrategia Corporativa
Se implanta una estrategia corporativa para garantizar la seguridad del sistema y el adecuado servicio
prestado, lo que implica necesariamente que todos los recursos deben disponer y aplicar las medidas
mínimas de seguridad exigidas, y en concreto las que sean de aplicación de las contenidas en el Anexo II del
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
3 Objetivo de la Política de Seguridad de la Información
El objetivo de la Seguridad de la Información es garantizar la calidad de la información y la prestación
continuada de los servicios, actuando preventivamente, supervisando la actividad diaria para detectar
cualquier incidente y reaccionando con urgencia a los incidentes para recuperarse lo antes posible y
minimizar el impacto.
Este objetivo de la política de la seguridad de la información se complementa por la protección de los activos
que soportan el sistema de información de la organización y los procesos internos, implicados en los
servicios declarados en este documento, quedando afectadas las tres dimensiones de seguridad –
confidencialidad, integridad y disponibilidad-, y cuando fuera preciso, incorporando otras dimensiones – autenticidad y trazabilidad- (por requerimiento legal), quedando alineada plenamente con los objetivos de
negocio e integrándose en la estrategia de la organización.
Por último, dicho objetivo deberá alinearse el requerimiento legal del Reglamento UE 2016/679, del
Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos – Reglamento
General de Protección de Datos (RGPD), por lo que se considera a todos los efectos, este documento como
el documento de alto nivel que declara la Privacidad como integrada en la Estrategia de Seguridad
corporativa y en el Objetivo General de Seguridad.
3.1 Servicios
La Empresa Municipal Auxiliar de Servicios de Pinto. en adelante ASERPINTO, es una sociedad anónima de
titularidad pública que forma parte del sector público del Ayuntamiento de Pinto que se rige por sus propios
estatutos y la normativa en materia de sociedades mercantiles, de acuerdo con el artículo 85 de la Ley
7/1985, de 2 de abril, reguladora de las bases de régimen local.
ASERPINTO es, además, un medio propio y servicio técnico por lo que podrá prestar servicios mediante
encomiendas de gestión que realice el Ayuntamiento de Pinto.
La empresa tiene como fin la gestión directa de la prestación del servicio público del Ayuntamiento de Pinto,
en lo relativo a:
- Mantenimiento General, que incluye trabajos de mantenimiento de fuentes ornamentales,
fontanería, cerrajería, carpintería, albañilería, pintura, mantenimiento de cubiertas de edificios,
mantenimiento de flota propia de vehículos, mantenimiento de red de alcantarillado público, etc. - Limpieza de Edificios, en los 6 colegios públicos de municipio, Escuela Infantil Virgen de la Asunción
y en todos los edificios municipales. - Alumbrado Público, realizando mantenimiento de alumbrado tanto en edificios municipales como en
la red pública de iluminación de Pinto. - Gestión de Piscinas Municipales, tanto de la Piscina de Verano como de la piscina climatizada. En la
piscina climatizada impartimos cursillos desde Octubre hasta Agosto dando cobertura a un número
aproximado de 2.500 usuarios al año, contribuyendo con ello de una forma muy positiva tanto al
aprendizaje como a la salud de los vecinos de Pinto. - Tareas en el Área de Educación, disponemos de 6 auxiliares asistenciales que prestan servicio de
apoyo en los 6 colegios públicos del municipio. Este servicio es prestado en el área de infantil,
ayudando a los profesores en su labor diaria con los más pequeños. - Mantenimiento en el Área de Autocaravanas, realizamos los trabajos para que éste área esté en
condiciones óptimas para que los usuarios de la misma tengan una estancia confortable en nuestro
municipio.
3.2 Objetivos particulares de Seguridad de la Información
Los objetivos de seguridad de la información definidos por ASERPINTO han sido desarrollados y aprobados por la Dirección, considerando los requerimientos identificados de las partes interesadas (internas y externas), la gestión de los riesgos y para cumplir con los requisitos de seguridad establecidos por la Alta Dirección.
La organización ha establecido como objetivos clave de la seguridad de la información, los siguientes:
- Mantener el pleno cumplimiento legal alineando los procesos y los servicios, a la normativa vigente en cada momento, y que afecta de manera indirecta o directa, al perfil de cliente (privado o administración pública), a la información implicada (pública, restringida o secreta) o en general a la seguridad de la información. Especial referencia al declarado Reglamento Europeo y en obviamente, al Real Decreto 311/2022.
- Mantener una gestión adecuada del sistema de gestión de seguridad, mediante la eficiencia y eficacia de la seguridad, de acuerdo a los estándares de seguridad y las buenas prácticas del sector.
- Alinear el requisito legal y la gestión del sistema con la privacidad y la seguridad.
- Establecer y difundir los roles y responsabilidades relacionados con la Seguridad de la Información.
- Sensibilizar y concienciar de manera estable y permanente al usuario de la organización mediante el impulso de acciones por la Gerencia y la ejemplificación de la misma, en las tareas de seguridad más críticas.
- Fomentar y mantener el buen nombre de la organización en relación a los servicios desarrollados, saber hacer y respuesta activa –reactiva y proactiva- ante incidentes de seguridad, manteniendo la imagen y reputación.
- Asegurar que los activos de la organización, sólo sean utilizados por usuarios autorizados en el ejercicio de sus funciones, según perfiles definidos o según asignaciones extraordinarias.
- Gestionar la implementación de un sistema de seguridad que proporcione ventajas competitivas en relación a otros agentes del sector, aprovechando la inercia competitiva que puede otorgar la gestión adecuada de la seguridad.
- Proteger la información interna y la relacionada con la prestación de los servicios / clientes, considerando las dimensiones de:
- Confidencialidad: Toda la información se protegerá de manera que no se pondrá a disposición, ni se revelará a individuos, entidades o procesos, no autorizados previamente.
- Integridad: Toda la información se protegerá de manera que se podrá asegurar que no ha sido alterado de manera no autorizada. La alteración será entendida en todos sus contextos, es decir, la creación, modificación o eliminación.
- Disponibilidad: La información será accesible a aquellos usuarios o procesos que la requieran y cuando lo requieran. Será principio básico de la organización, la restricción de accesos al mínimo necesario.
La organización podrá considerar otras dimensiones relacionadas con la seguridad, derivadas de requerimientos legales (o en su caso, de requerimientos de negocio), considerándose:
- Trazabilidad: Toda acción desarrollada en el sistema o sobre la información, puede ser imputada a su autor, en cualquier fase de ciclo de vida o en cualquier fase de proceso.
- Autenticidad: Toda información puede ser asignada a una fuente o todo autor puede ser contrastado y acreditar su identidad sin lugar a dudas.
Por defecto la organización mantendrá las tres primeras dimensiones de seguridad. Cuando sea preciso se añadirán los dos restantes.
4 Principios de Seguridad
La Dirección ha aprobado el desarrollo de un sistema de gestión, que será establecido, implementado, mantenido y mejorado, conforme a los estándares de seguridad. Este sistema se adecuará y servirá de gestión de los controles del Esquema Nacional de Seguridad.
El sistema será documentado y permitirá generar evidencias de los controles y del cumplimiento de los objetivos marcados por la Dirección. Existirá un procedimiento de gestión documental, que establecerá las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.
Todo el sistema estará enmarcado por los siguientes principios:
4.1 Seguridad por defecto
La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. La seguridad del sistema debe contemplar los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre el mismo no se materialicen, no afecten gravemente a la información que maneja, o los servicios que se prestan.
Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas, o desde localizaciones o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso.
El uso del sistema será sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.
Para mantener el proceso de seguridad integral, se realizará una calificación de la información, conforme a los principios de protección frente a pérdidas, accesos indebidos, divulgación o uso indebido, deterioro de la información o pérdida de disponibilidad. La calificación conllevará necesariamente una política de etiquetado y manipulación.
4.2 Seguridad basada en el liderazgo y en la organización
La seguridad deberá comprometer a todos los miembros de la organización, en base a sus diferentes roles, considerando diferentes responsabilidades.
La Dirección será quien lidere la organización y promueve la cultura de seguridad, asignando los roles requeridos y potenciando la transversalidad de la seguridad en cada proceso desarrollado o servicio a terceros.
La seguridad del sistema será revisada de conformidad a los requisitos, la política y los procedimientos aprobados por la Dirección. Las revisiones serán por parte de la Dirección y por revisiones internas o auditorias del sistema. Específicamente la entidad y el sistema se podrán someter a procesos de certificación externos, conforme a lo establecido por el Esquema Nacional de Seguridad y cualquier otro estándar de seguridad que le pudiera interesar.
4.3 Organización de la Seguridad
Se establece una estructura organizativa en la organización, donde se establecerán roles específicos, pero siempre considerando el principio de separación de funciones. Se designarán a las personas que ocuparán los roles, cada dos años, pudiendo ser renovados automáticamente cuando transcurra el citado plazo y la Dirección no establezca una nueva persona para ocupar el cargo.
Mediante diferentes documentos de constitución del Comité y designación de roles se nombrarán y aceptarán los cargos. Como anexo se incorporan las tareas preceptivas de cada rol establecido:
- Comité de Seguridad:
Será el órgano encargado de desarrollar las directrices y estrategia de seguridad. Estará formado como mínimo por el Responsable de la Empresa, el Responsable de Seguridad y el Responsable del Sistema.
El Comité, puede recabar regularmente del personal técnico propio o externo, la información pertinente para tomar decisiones.
Este Comité será convocado cuando, aparezcan incidentes de seguridad graves y específicamente cuando surjan nuevas necesidades de seguridad.
El Comité se reunirá al menos una vez al año de manera ordinaria y extraordinariamente cada vez que sea necesario, con una convocatoria previa, de al menos 3 días laborales, efectuada por la Dirección, mediante correo electrónico. El Comité podrá ser requerido por el Responsable de Seguridad, en cuyo caso la Dirección deberá convocarlo en un periodo máximo de 15 días laborales.
- Responsable del Sistema:
Será considerado el operador del sistema. Podrá incluso paralizar o dar suspensión al acceso a la información o prestación de servicio si tiene el conocimiento de que estos presentan deficiencias graves de seguridad.
- Responsable de Seguridad:
Gestionará la seguridad entendida como objetivo transversal u embebido en la estrategia corporativa. Mantendrá y verificará los requisitos de seguridad del sistema y de la información que se pudiera gestionar.
4.4 Seguridad basada en procedimientos
La seguridad del sistema se documentará mediante procedimiento de operación que serán puestos a disposición de los usuarios implicados en el mismo. Los cambios serán gestionados, las capacidades del sistema serán medidas y controladas y los entornos estarán separados. Se desarrollarán procedimientos de protección del sistema, incluyendo procedimientos de copias y restauración, y cuantas vulnerabilidades pudieran tener el sistema. Estas podrán tener forma de procedimiento general o especificaciones técnicas acordes a los operadores del sistema y de la seguridad.
Se documentarán los acuerdos con proveedores y colaboradores formando parte del sistema. La cadena de suministro será controlada con relación a los requisitos de seguridad, la prestación de servicios o los cambios de suministradores.
Las redes serán gestionadas, incluyendo cuando sea necesario, el cifrado o el control de comunicaciones.
4.5 Seguridad gestionada en base al riesgo
La gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente actualizado en el seno de la organización, bajo el liderazgo de la Dirección.
La gestión de riesgos se realizará por medio del análisis y tratamiento de los riesgos a los que está expuesto el sistema de información y la organización, basándose en una metodología detallada y documentada que permita la repetición de la medición y análisis.
4.6 Seguridad considerando incidentes
El proceso de gestión de incidentes, incluirá la detección y notificación de los incidentes de seguridad, los criterios de clasificación, los procedimientos de análisis y resolución, así como los cauces de comunicación a las partes interesadas –especialmente cuando afecta a terceros- y el registro de las actuaciones ejecutadas.
Los incidentes de seguridad permitirán la recopilación de evidencias, de manera que se podrá identificar, documentar la recogida, la adquisición y preservación de la información.
4.7 Seguridad considerando la gestión de recursos
Todo el personal relacionado con el sistema y con la información, deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad, debiendo ser controlados y sus acciones supervisadas.
Cada usuario que acceda a la información del sistema debe estar identificado de forma única, de modo que se conozca, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado determinada actividad.
El usuario con acceso concedido al sistema, pueda o no desarrollar acciones, estará sometido a secreto y reserva, aun cuando finalice su relación con la organización. Ningún usuario accederá al sistema sin estar previamente informado de este extremo.
4.8 Seguridad de áreas y entorno
La organización prevendrá los accesos físicos no autorizados, así como los daños a la información y a los recursos, mediante controles físicos de acceso y protecciones generales en áreas.
Las áreas podrán ser de control propio o derivada al propio prestador afectado.
4.9 Seguridad como requisito legal
La Gerencia ha establecido como requerimiento de seguridad, el pleno cumplimiento de las obligaciones legales y contractuales, ligadas a la información. Los requisitos serán identificados y organizados, para su correcta gestión.
Se incluirá en la presente política el anexo de detalle de normativa aplicable.
5 Alcance
La política de seguridad de la información, será de aplicación a toda la información del sistema con independencia del soporte o medio en el que se encuentre, tipología o categoría, a todo el personal de ASERPINTO y también a terceros colaboradores, que accedan al sistema y/o presten servicios a la organización, así como a cualquier activo de información propiedad de la organización, o en régimen de uso y que afecte al sistema, considerándose en cualquier momento del ciclo de vida del sistema de seguridad, de manera que cuando el sistema se encuentre en fase de actualización, el activo no registrado se vea obligado por la política.
Con respecto a los sistemas de información afectados por el Real Decreto 311/2022, la organización ha decidido, que el alcance de su sistema de SGSI-ENS, será:
“Sistemas de Información propiedad de ASERPINTO S.A.U. necesarios para la adecuada prestación de los servicios de:
- Servicios de Limpieza y Mantenimiento: Gestión general del Servicio de Limpieza y Mantenimiento, incluido el servicio de Conserjería y reparaciones de viviendas; así como tareas asistenciales a través de ordenanzas y auxiliares asistenciales a Colegios, servicios de limpieza a instituciones que acogen a grupos en riesgos de exclusión social.
- Servicios de Atención Ciudadana y Registro de Incidencias: Gestión y tramitación de quejas, sugerencias y reclamaciones realizadas por los ciudadanos, incidencias internas y externas en servicios e instalaciones”
6 Cumplimiento
La Política de Seguridad de la Información tendrá vigencia desde la aprobación por el Comité de Seguridad y mientras no se apruebe una posterior, se mantendrá vigente. La Política de Seguridad será puesta en conocimiento de todos los afectados –internos y externos-.
La Política de Seguridad será alineada con las directrices de las leyes y regulaciones existentes. Cualquier conflicto con estas regulaciones debe ser informado inmediatamente al Responsable del sistema.
Toda violación de la presente política o aquellas que la desarrollen, de las normas y procedimientos, será considerado por el procedimiento disciplinario, incluyéndose proveedores y colaboradores externos que serán tramitados por su procedimiento oportuno.
7 Aprobación de la Dirección
La Dirección de ASERPINTO asume el compromiso de proveer todos los recursos y medios para la implementación la presente Política.
La Dirección demostrará su compromiso, mediante la revisión y aprobación de la Política y otras normas que desarrollaran el sistema, revisando los riesgos y aprobando el riesgo residual, participando en el Comité de Seguridad, promoviendo la cultura de seguridad, promoviendo la seguridad y especialmente, dotando de asignación efectiva a esta política mediante recursos y medios.
8 Anexos
8.1 Anexo 1. Legislación aplicable
Quedan implicadas todas las normas del sector, normas internacionales, comunitarias, nacionales, autonómicas y locales que sean de aplicación, pero específicamente por su relevancia en el tema, se detallan:
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. (Cuando sea de aplicación)
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (Cuando sea de aplicación)
Real Decreto 311/2022, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.
Ley 2/2019, de 1 de marzo, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
Real Decreto de 24 de julio de 1889, texto de la edición del Código Civil.
Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.
8.2 Anexo 2. Organización de la Seguridad
8.2.1 Responsable de Seguridad de ENS
Su función es planificar lo que se ha de hacer en materia de seguridad, así como supervisar que lo establecido, se ha llevado a cabo.
Perfil:
Persona con visión de negocio, que pueda comprender los riesgos que afronta la organización, alineando los requisitos de seguridad con los requisitos de negocio.
Funciones:
- Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información, en su ámbito de responsabilidad.
- Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
- Designar ejecuciones de análisis de riesgos, revisiones de la Declaración de Aplicabilidad, identificar medidas de seguridad, determinar configuraciones necesarias, elaborar documentación del sistema.
- Validar los planes de continuidad.
- Gestionar las revisiones externas o internas del sistema, incluyendo la recogida de indicadores específicos.
- Gestionar los procesos de certificación.
- Elevar a la Dirección la aprobación de cambios y otros requisitos del sistema.
Delegación de funciones:
ASERPINTO podrá designar cuantos Responsables de Seguridad Delegados considere necesarios, según lo establecido en la Guía de Seguridad (CCN-STIC-801) Esquema Nacional de Seguridad – Responsabilidades y Funciones. La designación corresponde al Responsable de la Seguridad. Por medio de la designación de delegados, se delegan funciones. La responsabilidad final sigue recayendo sobre el Responsable de la Seguridad. Los delegados se harán cargo, en su ámbito, de todas aquellas acciones que delegue el Responsable de la Seguridad. Cada delegado tendrá una dependencia funcional directa del Responsable de la Seguridad, que es a quien reportan.
8.2.2 Responsable del sistema
Su función es desarrollar las operaciones sobre el sistema que mantengan la plena seguridad.
Perfil:
Persona con perfil que pueda comprender la ejecución y el desarrollo de las operaciones sobre el sistema y con capacidad de servicio, desde una parcela más práctica y operativa, que conozca la arquitectura de la organización y las tecnologías aplicadas.
Responsabilidades:
- Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
- Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
- Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
- El Responsable del Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos, previa consulta con el Comité y el Responsable de Seguridad, antes de ser ejecutada.
- Llevar a cabo las funciones del administrador de la seguridad del sistema.
Delegación de funciones:
ASERPINTO podrá designar cuantos Responsables de Sistema Delegados considere necesarios, según lo establecido en la Guía de Seguridad (CCN-STIC-801) Esquema Nacional de Seguridad – Responsabilidades y Funciones. La designación corresponde al Responsable del Sistema. Por medio de la designación de delegados, se delegan funciones. La responsabilidad final sigue recayendo sobre el Responsable del Sistema. Los delegados se harán cargo, en su ámbito, de todas aquellas acciones que delegue el Responsable del Sistema. Cada delegado tendrá una dependencia funcional directa del Responsable del Sistema, que es a quien reportan.