Sorry, you need to enable JavaScript to visit this website.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

 

1.  APROBACIÓN Y ENTRADA EN VIGOR

La Política de Seguridad de la Información (en adelante, PSI) fue aprobada por el Comité de Seguridad de la Información Corporativa de la Agencia Estatal de Seguridad Aérea (en adelante, AESA) en la sesión del 3 de junio de 2024 y firmada por la Dirección de la misma el 20 de junio de 2024. Esta Política es efectiva a partir de su fecha de aprobación por la Dirección de AESA.

La presente Política será revisada periódicamente para garantizar su adaptación a nuevas circunstancias técnicas, organizativas o legales que puedan surgir, según el criterio del Comité de Seguridad de la Información Corporativa. En caso de modificaciones sustanciales, se propondrá nuevamente para su firma por la Dirección.

 

2.  OBJETO Y ALCANCE

La presente PSI se aplicará a todos los sistemas de información que se hallan bajo la responsabilidad de AESA para garantizar las condiciones necesarias de confianza en los sistemas de información empleados para el tratamiento de datos, que deban ser protegidos de acuerdo con lo dispuesto en la normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubica, la cual adopta las precauciones necesarias para garantizar el nivel de seguridad exigido por el marco legal vigente en materia de seguridad de la información, especialmente lo relativo a la Administración Electrónica y a la protección de datos de carácter personal.

Igualmente, establece el compromiso que adquiere AESA con la seguridad de los sistemas de información, definiendo los objetivos y criterios básicos para el tratamiento de la información, sentando los pilares del marco normativo de seguridad de la información de AESA y la estructura organizativa y de gestión que velará por su cumplimiento.

Las principales normas que configuran el marco general del régimen jurídico de AESA se encuentran publicadas en la Web de la Agencia: https://www.seguridadaerea.gob.es, estando accesibles de manera pública a toda persona que desee conocerlas.

 

3.  PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIÓN

Los principios básicos y requisitos de la seguridad de la información desarrollados bajo el marco de esta PSI son los recogidos en el ENS regulado por el Real Decreto 311/2022, de 3 de mayo, en particular, los previstos en sus capítulos II y III, y su normativa de desarrollo.

El objeto último de la seguridad de la información es garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, en materia de seguridad de la información deberán tenerse en cuenta los siguientes principios básicos:

a)   Seguridad como proceso integral.

b)   Gestión de la seguridad basada en los riesgos.

c)   Prevención, detección, respuesta y conservación.

d)   Existencia de líneas de defensa.

e)   Vigilancia continua.

f)   Reevaluación periódica.

g)   Diferenciación de responsabilidades.

 

4.  ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

La organización de la seguridad de la información tendrá en cuenta la organización propia de AESA. En consecuencia, deberá garantizarse la actuación coordinada y eficaz, según lo establecido al respecto en el Esquema Nacional de Seguridad y guías de desarrollo del Centro Criptológico Nacional.

Los roles y responsabilidades en materia de seguridad de la información son designados por la Dirección de AESA, de forma directa, o a través del Comité de Dirección. Estos roles y responsabilidades se renuevan automáticamente de forma anual, salvo que la Dirección indique lo contrario.

Sin perjuicio de lo anterior, la estructura organizativa de la seguridad de la información en la Agencia está compuesta por los siguientes roles y funciones principales:

  • Responsable del Servicio y la Información, con la potestad de establecer los requisitos de los servicios y la información en materia de seguridad.

  • Responsable de Seguridad de la Información, para la supervisión y mantenimiento de la seguridad de la información manejada y de los servicios prestados por los sistemas de información.

  • Responsable del Sistema de Información, para el desarrollo, operación y mantenimiento del Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.

  • Delegado de Protección de Datos, para la supervisión y asesoramiento en el cumplimiento de la normativa en materia de protección de datos personales.

Adicionalmente, se han establecido los siguientes comités para el desarrollo de la seguridad de la información:

  • El Comité de Seguridad de la Información Corporativa, con la finalidad de gestionar la seguridad de la información en AESA, alineando las actividades de carácter estratégico de la organización con los aspectos de seguridad que se derivan del cumplimiento del Cuerpo Normativo de Seguridad de la Información, requisitos legales, regulatorios y contractuales.

  • Grupo de Apoyo al Comité de Seguridad de la Información Corporativa, para impulsar el desarrollo, implantación y mantenimiento del Sistema de Gestión de Seguridad de la Información (SGSI), como órgano de soporte al Responsable de Seguridad de la Información.

 

5.  GESTIÓN DE RIESGOS

El análisis y la gestión de riesgos deben realizarse de manera continua sobre los sistemas de información conforme a los principios de gestión de la seguridad según se exige en el ENS, RGPD, u otras legislaciones en el ámbito de la seguridad de la información.

El Responsable de Seguridad de la Información es el encargado de realizar los preceptivos análisis de riesgos y de seleccionar las salvaguardas a implantar.

Los Responsables del Servicio y de la Información asumen los riesgos residuales derivados del análisis, así como su seguimiento y control.

El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas y tratamientos, análisis de riesgos y selección de medidas y controles de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse cada año por parte del Responsable de Seguridad de la Información y reportar el Comité de Seguridad de la Información Corporativa.

Se realizará un análisis de riesgos: 

  • Regularmente cada año.

  • Cuando haya cambios en los servicios esenciales prestados o cambios significativos en las infraestructuras que los soportan.

  • Cuando ocurra un incidente de seguridad grave.

  • Cuando se identifiquen amenazas severas que no hubieran sido tenidas en cuenta o vulnerabilidades graves que no estén contrarrestadas por las medidas de protección implantadas.

  • Cuando haya cambios legislativos en el ámbito de la seguridad de la información.

 

6.  DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

El cuerpo normativo sobre seguridad de la información se desarrolla en normativas, procedimientos, instrucciones técnicas y guías, según el ámbito de aplicación y nivel de detalle técnico, las cuales comprenden el Sistema de Gestión de Seguridad de la Información de AESA.

 

7.  OBLIGACIONES DEL PERSONAL Y TERCERAS PARTES

Todo el personal que presta servicios en AESA tiene la obligación de conocer y cumplir la presente PSI, siendo responsabilidad del Comité de Seguridad de la Información Corporativa disponer los medios necesarios para que la información llegue a los afectados.

Todo el personal que se incorpore a AESA o vaya a tener acceso a alguno de sus sistemas de información o la información gestionada por ellos tendrá la obligación de conocer y cumplir, además de esta Política de Seguridad de la Información, todas las Normas y Procedimientos de Seguridad de la Información que puedan afectar a sus funciones.

El personal de AESA tiene la obligación de reportar cualquier comportamiento sospechoso que detecte en su entorno, a través de la notificación de una incidencia al Centro de Atención al Usuario (CAU), según lo establecido en el procedimiento de gestión de incidencias.

El incumplimiento manifiesto de la política, o normativa de seguridad de la información derivada, podrá acarrear el inicio de las medidas disciplinarias oportunas y, en su caso, las responsabilidades legales correspondientes.

Asimismo, todo el personal relacionado con la información, los servicios y los sistemas de información, deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad de la información. Para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios de AESA, se articularán los mecanismos necesarios para llevar a la práctica la concienciación y la formación específica necesaria e imprescindible en todos los niveles de la organización.

Adicionalmente, debido a los riesgos inherentes a la gestión de los servicios por parte de terceros, se establecerán las directrices de seguridad de la información a contemplar en los contratos, incorporando los requisitos de la legislación aplicable y en particular en materia de protección de datos de carácter personal.

Los requisitos de seguridad de la información que deberán cumplir los pliegos y contratos que realice AESA para la prestación de servicios se recogerán en la Normativa de Gestión de la Seguridad en las Relaciones con Terceros.

Cuando AESA preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipe de esta PSI, se establecerán canales de reporte y coordinación, y se establecerán procedimientos de actuación ante posibles eventos de seguridad que impacten sobre dichos servicios.