Política de seguridad

 

 

1.        APROBACIÓN Y ENTRADA EN VIGOR

Texto aprobado el día 23 de junio de 2025 por la Sociedad Municipal Aguas de Burgos S.A. Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

2.        INTRODUCCIÓN

El normal funcionamiento de los servicios esenciales que la Sociedad Municipal Aguas de Burgos S.A. presta a la ciudadanía descansa sobre una serie de infraestructuras, cuyo funcionamiento es indispensable y no permite soluciones alternativas, denominadas infraestructuras críticas. Por ello, se hace necesario el diseño de una política de seguridad homogénea e integral, en la cual se definan los subsistemas de seguridad que se van a implantar para la protección de las mismas, con el objetivo de impedir su destrucción, interrupción o perturbación, con el consiguiente perjuicio de la prestación de los servicios esenciales a la población, o con consecuencias catastróficas para las vidas de las personas. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que se deben aplicar las medidas de seguridad definidas, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados. Los diferentes responsables deben cerciorarse de que la seguridad es una parte integral de cada etapa del ciclo de vida del servicio esencial, desde su concepción hasta su retirada, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.

3.        OBJETO, MISIÓN, VISIÓN Y VALORES

La gestión del abastecimiento de agua a la ciudad de Burgos y a otros municipios, así como a ciudadanos y empresas, incluye la captación, potabilización, conducción y distribución de agua potable, así como la recogida y depuración de las aguas residuales, tanto domésticas como industriales.

La gestión de dichos servicios públicos comprende todas las operaciones referidas al ciclo de aprovechamiento del agua, el control y/o ejecución de las obras referidas a los servicios prestados, así como el cobro de tasas y precios públicos que sean aplicables.

La Sociedad Municipal Aguas de Burgos S.A., es una empresa de servicios que tiene como objetivo prioritario conseguir la satisfacción de sus clientes respecto a la gestión y administración del ciclo integral del agua en la ciudad de Burgos y su término municipal, para ello ha incluido en su estrategia lo siguiente:

    • MISIÓN: Gestionar los servicios públicos que se prestan al ciudadano, relativos al ciclo integral del agua, garantizando en cada uno de ellos la máxima calidad y eficiencia, actuando dentro de un marco de sostenibilidad.
    • VISIÓN: Ser una empresa pública líder en la gestión integral del agua, mejorando cada año la satisfacción de todos los grupos de interés y contribuyendo a la conservación del medio ambiente.
    • VALORES:
        • Innovación y mejora continua en los servicios prestados.
        • Compromiso con nuestros grupos de interés.
        • Realizar una gestión sostenible, basada en el enfoque a largo plazo y la responsabilidad mutua, teniendo en cuenta la preocupación por el entorno para que las generaciones presentes y futuras disfruten de un mundo mejor.

4.        MARCO LEGAL Y REGULATORIO

La Sociedad Municipal Aguas de Burgos S.A., como Entidad Pública adscrita al Ayuntamiento de Burgos, ejerce las competencias de gestión y prestación de los servicios de abastecimiento y saneamiento de agua a la población, atribuidas por la normativa vigente y por las disposiciones que la desarrollan o complementan.

El marco regulatorio que a continuación se menciona, es fundamental para garantizar que todas las actividades de la Sociedad Municipal Aguas de Burgos S.A. se desarrollen dentro de un marco legalmente adecuado, que permitirá el alcance, la identificación y cumplimiento de todas las leyes y regulaciones aplicables al ciclo integral del agua, incluyendo la protección de datos personales, la gestión de recursos hídricos y la seguridad de la infraestructura crítica.

1. Esquema Nacional de Seguridad (ENS):

    • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
    • Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
    • Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción de Seguridad de conformidad con el Esquema Nacional de Seguridad.
    • Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
    • Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.

2. Reglamento General de Protección de Datos (RGPD):

    •  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

3. Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD):

    • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

4. Ley de Protección de Infraestructuras Críticas (LPIC):

    • Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

5. Ley de Administración Electrónica:

    • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
    • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

6. Directiva NIS2:

    • Directiva (UE) 2022/2555, relativa a medidas para un alto nivel común de ciberseguridad en toda la Unión.

7. Real Decreto de Seguridad de las Redes y Sistemas de Información:

    • Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

8. Ley de Secretos Empresariales:

    • Ley 1/2019, de 20 de febrero, de Secretos Empresariales. 

9. Ley de Propiedad Intelectual:

    • Texto Refundido de la Ley de Propiedad Intelectual, aprobado por Real Decreto Legislativo 1/1996, de 12 de abril.

10. Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad:

    • Transposición al ordenamiento nacional la Directiva 2022/2555 del Parlamento Europeo y del Consejo (NIS2).

5.        OBJETIVO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

La Política de Seguridad de la Información de la Sociedad Municipal Aguas de Burgos S.A. se crea con el objetivo de prestar servicios en dicha materia a los clientes de la Sociedad Municipal Aguas de Burgos S.A. Para la prestación del servicio se maneja habitualmente información que puede ser crítica para el cliente. Por este motivo, el Consejo de Administración y la Gerencia de la Sociedad Municipal Aguas de Burgos S.A. hacen suyo el compromiso de dotar a la Sociedad Municipal Aguas de Burgos S.A. de las medidas técnicas, organizativas y los recursos humanos necesarios para garantizar:

    • La autenticidad de las conexiones desde y hacia clientes para evitar suplantaciones de identidad.
    • La confidencialidad de la información del cliente tanto en las instalaciones de Aguas de Burgos (reposo y uso) como en tránsito.
    • La integridad de la información para garantizar la veracidad de los datos obtenidos, procesados y entregados a clientes.
    • La disponibilidad de la información y los sistemas con los que se presta servicio a clientes, así como la disponibilidad de la documentación técnica y normativa que los soporta.
    • La trazabilidad y auditoría de las acciones, especialmente de las efectuadas por usuarios con privilegios especiales.
    • El cumplimiento de la legislación vigente y de las normas específicas que afecten a los clientes y empleados de la Sociedad Municipal Aguas de Burgos S.A. dada la naturaleza de los mismos.

Estos objetivos se alcanzarán a través del Sistema de Gestión de Seguridad de la Información (SGSI) basado en el análisis y tratamiento del riesgo, en un modelo de mejora continua, en un sistema de medición de su efectividad y en el establecimiento de unos objetivos de seguridad acordes con la evolución de los servicios y las necesidades de los diferentes departamentos.

6.        ALCANCE
El alcance del SGSI es el siguiente:

“El Sistema de Gestión de Seguridad de la Información que soporta las actividades de provisión de servicios asociados al Ciclo de Vida Integral del Agua de acuerdo con la Declaración de Aplicabilidad”. La ubicación física de este alcance es el espacio que ocupa la Sociedad Municipal Aguas de Burgos S.A. en la sede de la Sociedad Municipal Aguas de Burgos S.A. en la Avenida del Cid Campeador 12, Burgos, extendiéndose de igual manera a las siguientes instalaciones y a sus comunicaciones:

    • Sede central en Avenida del Cid.
    • Almacenes en C/ La Lora.
    • Captación subterránea de Villaverde-Peñahorada.
    • ETAP en Arlanzón.
    • Depósitos de “Cerro San Miguel”.
    • Depósitos de “Villalonquéjar”.
    • Depósitos de “Monte de La Abadesa”.
    • Depósitos de “Gamonal”.
    • Depósitos de “Cortes”.
    • Depósito de “Villaverde-Peñahorada”.
    • Nudo de reparto de Ibeas de Juarros.
    • Nudo de reparto de Villasur de Herreros.
    • EDAR en Villalonquéjar.

7.        PRINCIPIOS DE SEGURIDAD DE LA INFORMACIÓN

La información debe ser protegida durante todo su ciclo de vida, desde su creación o recepción, durante su procesamiento, comunicación, transporte, almacenamiento, difusión y hasta su eventual borrado o destrucción. Por ello, se establecen los siguientes principios mínimos:

Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellos usuarios, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.

Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.

Principio de disponibilidad y continuidad: se garantizará un nivel de disponibilidad en los Sistemas de Información (SSII) y se dotarán los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.

Principio de gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los SSII.

Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los SSII deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos, sin perjuicio de que se asegurará que los recursos necesarios para el sistema de gestión de seguridad de la información estén disponibles.

Principio de concienciación y formación: se articularán iniciativas que permitan a los usuarios conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.

Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad.

Principio de detección y respuesta: los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia respondiendo eficazmente, a través de los mecanismos establecidos al efecto, a los incidentes de seguridad.

Principio de mejora continua: se revisará el grado de cumplimiento de los objetivos de mejora de la seguridad planificados anualmente y el grado de eficacia de los controles de seguridad de Tecnologías de la Información y Comunicaciones implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública.

Principio de seguridad en el ciclo de vida de los SSII: las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.

Principio de función diferenciada: la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

8.        LIDERAZGO DE LA DIRECCIÓN
La Sociedad Municipal Aguas de Burgos S.A. se compromete a liderar el mantenimiento del Sistema de Gestión de Seguridad de la Información (SGSI). Para ello adopta las siguientes medidas:

    • Garantizar que esta política de seguridad de la información y los objetivos de seguridad de la información se establecen y son compatibles con la dirección estratégica de la organización.
    • Garantizar la integración de los requisitos del sistema de gestión de la seguridad de la información en los procesos de la organización.
    • Exigir que los nuevos proyectos que afronte la Sociedad Municipal Aguas de Burgos S.A. tengan desde su nacimiento una visión global de la seguridad de la información. Para ello exige que todos aquellos nuevos proyectos que sean susceptibles de suponer algún riesgo de seguridad de la información cuenten con el correspondiente informe del Responsable de Seguridad de la Información.
    • Estudiar la asignación de recursos económicos para la consecución de los objetivos del SGSI. Si por motivos presupuestarios esto no fuera posible, se estudiarán medidas alternativas tendentes a minimizar el riesgo. Así mismo se elevará a los organismos competentes las revisiones de seguridad que justifiquen la inversión necesaria.
    • Comunicar la importancia de una gestión eficaz de la seguridad de la información y de ajustarse a los requisitos del sistema de gestión de la seguridad de la información.
    • Mantener el espíritu de seguridad en la organización mediante campañas de concienciación.
    • Apoyar la labor del Responsable de Seguridad de la Información y del resto de implicados en la misma.
    • Garantizar el proceso de mejora continua mediante auditorías de cumplimiento y auditorías técnicas periódicas. Igualmente hará evaluaciones de los indicadores para establecer las líneas de acción necesarias.
    • Revisión anual del estado del SGSI para garantizar que se cumple la política de la Sociedad Municipal Aguas de Burgos S.A., sus objetivos y que éstos están alineados con la dirección estratégica de la organización.
    • Liderar el Comité de Seguridad junto con el Responsable de Seguridad.

8.1.          FUNCIONES DEL COMITÉ DE SEGURIDAD

Las funciones del Comité de Seguridad son:

    • Coordinar y supervisar la implementación de las políticas de seguridad de la información.
    • Realizar revisiones periódicas de la seguridad.
    • Gestionar la respuesta ante incidentes.
    • Asegurar la colaboración entre los diferentes roles y departamentos en la gestión de la seguridad.

8.2.          FUNCIONES DEL COMITÉ DE CAMBIOS

Las funciones del Comité de Cambios son las siguientes:

    • Evaluar y aprobar cambios en los sistemas y procesos relacionados con la seguridad de la información.
    • Asegurar que los cambios no comprometan la seguridad.
    • Coordinar con otros responsables para la implementación de los cambios.

9.        SUPERVISIÓN Y EVALUACIÓN

Con una periodicidad anual se revisará esta Política de Seguridad de la Información para adecuarla a los cambios de la Sociedad Municipal Aguas de Burgos S.A., y se analizarán las incidencias y no conformidades encontradas en el sistema, estableciendo las acciones correctivas correspondientes para subsanarlas. Esta política permitirá el cumplimiento con las regulaciones actuales a las que se ve sujeta la Sociedad Municipal Aguas de Burgos S.A., en concreto, con el Reglamento General de Protección de Datos (RGPD), el Esquema Nacional de Seguridad (ENS) y la Directiva NIS2.

Esta Política de Seguridad y la documentación del sistema, seguirán las directrices para la estructuración de la documentación de seguridad, su gestión y acceso cuyo objetivo es establecer un marco claro y organizado que garantice la protección de la información y que deberán seguir un proceso de actualización periódica teniendo en cuenta:

    • los cambios organizativos relevantes,
    • el crecimiento de la plantilla de personal,
    • los cambios en la infraestructura tecnológica,
    • el desarrollo de nuevos servicios,
    • los requisitos legales, reglamentarios o contractuales, y
    • en general por motivos que impliquen la necesidad de hacer una evaluación del riesgo.

Los roles de auditoría de seguridad serán independientes del resto de roles de la gestión IT y Seguridad, para evitar cualquier conflicto de intereses.

Esta Política de Seguridad es difundida a todo el personal de la Sociedad Municipal Aguas de Burgos S.A. y estará disponible para las partes interesadas.

10.     OBJETIVOS DE SEGURIDAD
Anualmente, coincidiendo con la Revisión por la Dirección, el Comité de Seguridad establecerá los objetivos anuales en materia de seguridad que se caracterizaran por:

    • estar alineados con la política,
    • serán medibles,
    • basados en el análisis de riesgos,
    • comunicados a los implicados.

Los objetivos quedarán recogidos en el documento REG-6.2 OBJETIVOS DE SEGURIDAD donde se indicarán:

    • su descripción,
    • los recursos asignados,
    • el responsable de su cumplimiento,
    • las fechas de inicio y finalización de los mismos, y
    • la evaluación del resultado.

11.     SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Aguas de Burgos debe establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI), incluyendo los procesos necesarios y sus interacciones de acuerdo con sus necesidades en materia de Seguridad de la Información.

 

12.     PLANIFICACIÓN

12.1.       MEDIDAS PARA HACER FRENTE A LOS RIESGOS Y OPORTUNIDADES

Al planificar el SGSI, Aguas de Burgos debe tener en cuenta, por una parte, la comprensión de la organización su contexto y, por otra parte, la comprensión de las necesidades y expectativas de las partes interesadas para así poder determinar los riesgos y oportunidades que deben abordarse para:

  • a) Garantizar que el sistema de gestión de la seguridad de la información pueda alcanzar los resultados previstos.
  • b) Prevenir o reducir los efectos no deseados.
  • c) Lograr una mejora continua.

Aguas de Burgos debe planificar:

  • d) Acciones para hacer frente a estos riesgos y oportunidades.
  • e) Cómo:
      1. Integrar y aplicar las medidas en los procesos de su sistema de gestión de la seguridad de la información.
      2. Evaluar la eficacia de estas acciones.

12.2.       EVALUACIÓN DE RIESGOS PARA LA SEGURIDAD DE LA INFORMACIÓN

Aguas de Burgos debe definir y aplicar un proceso de evaluación de riesgos para la seguridad de la información que:

  • a) Establezca y mantenga criterios de riesgo para la seguridad de la información que incluyan:
      1. Los criterios de aceptación del riesgo.
      2. Criterios para realizar evaluaciones de riesgos para la seguridad de la información.
  • b) Garantice que las evaluaciones repetidas de los riesgos para la seguridad de la información produzcan resultados coherentes, válidos y comparables.
  • c) Identifique los riesgos para la seguridad de la información:
      1. Aplicar el proceso de evaluación de riesgos de la seguridad de la información para identificar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de la información dentro del ámbito del sistema de gestión de la seguridad de la información.
      2. Identificar a los propietarios del riesgo.
  • d) Analice los riesgos para la seguridad de la información:
      1. Evaluar las posibles consecuencias que se derivarían si los riesgos identificados se materializasen.
      2. Evaluar la probabilidad realista de que se produzcan los riesgos identificados.
      3. Determinar los niveles de riesgo.
  • e) Evalúe los riesgos para la seguridad de la información:
      1. Comparar los resultados del análisis de riesgos con los criterios de riesgo establecidos.
      2. Priorizar los riesgos analizados para su tratamiento.

Aguas de Burgos conservará información documentada sobre el proceso de evaluación de riesgos de la seguridad de la información.

 

12.3.       TRATAMIENTO DE LOS RIESGOS PARA LA SEGURIDAD DE LA INFORMACIÓN

Aguas de Burgos debe definir y aplicar un proceso de tratamiento de riesgos de seguridad de la información para:

    • a) Seleccionar las opciones adecuadas de tratamiento de los riesgos para la seguridad de la información, teniendo en cuenta los resultados de la evaluación de riesgos.
    • b) Determinar todos los controles necesarios para aplicar la(s) opción(es) de tratamiento de los riesgos para la seguridad de la información elegida(s).
    • c) Comparar los controles determinados en el punto anterior con los del Anexo A de la ISO 27001:2022 y comprobar que no se ha omitido ningún control necesario.
    • d) Elaborar una Declaración de Aplicabilidad que contenga:
      1. Los controles necesarios.
      2. Justificación de su inclusión.
      3. Si se aplican o no los controles necesarios.
      4. La justificación de la exclusión de cualquiera de los controles.
    • e) Formular un plan de tratamiento de los riesgos para la seguridad de la información.
      • Obtener la aprobación de los propietarios de los riesgos del plan de tratamiento de los riesgos para la seguridad de la información y la aceptación de los riesgos residuales para la seguridad de la información.

Aguas de Burgos conservará información documentada sobre el proceso de tratamiento de los riesgos para la seguridad de la información.

13.     DEFINICIÓN DE APETITO DEL RIESGO
El apetito de riesgo se refiere a la cantidad de exposición a impactos adversos potenciales que la empresa está dispuesta a aceptar para alcanzar sus objetivos. La política de apetito del riesgo debe de abordarse siguiendo las siguientes directrices:

      1. La Gerencia y el Consejo de Administración de Aguas de Burgos deben determinar el apetito de riesgo teniendo en cuenta el nivel de exposición deseable y las interacciones entre los riesgos potenciales.
      2. El apetito de riesgo es variable, pues depende de factores internos y externos. Por lo tanto, se debe revisar anualmente y abordarse de manera flexible para responder a las necesidades cambiantes del negocio.
      3. Las decisiones en cuanto al apetito de riesgo siempre deben estar directamente relacionadas con la retribución y el valor que se espera obtener.
      4. El apetito de riesgo no debe superar el nivel de tolerancia al riesgo de la empresa.

El apetito del riesgo está definido y aprobado en NR-6.1.2 METODOLOGIA DE GESTIóN DEL RIESGO.

14.     NOMBRAMIENTOS
El Consejo de Administración y la Gerencia de la Sociedad Municipal Aguas de Burgos S.A. designa los siguientes nombramientos dentro del contexto del alcance:

Gerente de Aguas de Burgos:

Supervisar y garantizar la implementación de las políticas de seguridad de la información en la organización.

Asegurar el cumplimiento de los requisitos del Esquema Nacional de Seguridad (ENS).

Coordinar con otros responsables para la gestión del Proceso de Autorizaciones.

Responsable de Seguridad de la Información (Gestión de Riesgos y Normalización):

Definir y mantener las políticas de seguridad de la información.

Realizar evaluaciones de riesgos y asegurar el cumplimiento de las normativas de seguridad.

Coordinar la respuesta ante incidentes de seguridad.

Supervisar la implementación de controles de seguridad aplicables al Proceso de Autorizaciones.

Punto Único de Contacto (POC) o Responsable de Enlace (Compliance Officer):

Actuar como el principal punto de contacto para la gestión de actividades relacionadas con el Proceso de Autorizaciones.

Facilitar la comunicación entre diferentes departamentos.

Asegurar la coordinación en la gestión de incidentes de seguridad.

Responsable de Servicios (Responsable de Nuevas Tecnologías):

Garantizar la seguridad de los servicios tecnológicos y la infraestructura de TI.

Implementar medidas de seguridad.

Supervisar el cumplimiento de las políticas de seguridad en los servicios y sistemas tecnológicos.

Delegado de Protección de Datos (DPD) (Responsable de Cumplimiento RGPD):

Asegurar el cumplimiento de la normativa de protección de datos personales (RGPD).

Realizar evaluaciones de impacto de privacidad.

Coordinar la respuesta ante incidentes relacionados con la protección de datos.

Administrador de Seguridad (Técnico de Sistemas Informáticos):

Implementar y gestionar los controles de seguridad en los sistemas informáticos.

Realizar auditorías de seguridad.

Asegurar la integridad y disponibilidad de los sistemas y datos.

Administrador o Responsable de Sistemas (Técnico de Sistemas Informáticos):

Operar el sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de la Seguridad.

Responsable de la Información:

El Responsable de la Información es habitualmente una persona situada en el nivel Directivo o de gestión de la organización. Esta figura tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección. El Responsable de la Información es el responsable último de cualquier error o negligencia que conlleve un incidente de confidencialidad o de integridad (en materia de protección de datos) y de disponibilidad (en materia de seguridad de la información).

Comité de Seguridad:

La implantación del Comité de Seguridad de la Información en la Sociedad Municipal Aguas de Burgos S.A. permitirá una gestión integral y coordinada de la seguridad de la información, asegurando que todos los aspectos de la seguridad estén cubiertos y que las funciones de los miembros que a continuación se mencionan están claramente definidas y asignadas.

      • Gerente de Aguas de Burgos.
      • Responsable de Seguridad de la Información.
      • Compliance Officer.
      • Responsable de Nuevas Tecnologías.
      • Delegado de Protección de Datos.
      • Administrador de Seguridad.

Comité de Cambios:

Este Comité estará formado por:

      • Responsable de Servicio.
      • Responsable de la Información.
      • Responsable de Sistema y Administrador de Seguridad.
      • Y en caso de que sea necesario el Responsable de Seguridad de la Información, Responsable de Seguridad Física y/o el Delegado de Protección de Datos.

Auditoría:

Desempeñar sus funciones de forma externa.

Preparar la auditoría externa mediante acciones previas de auditoría interna.

Las auditorías internas pueden ser llevadas a cabo por un tercero ajeno al SGSI y el ENS o por un suministrador externo de auditorías de certificación.

Las responsabilidades de cada cargo se detallan en el documento PR-PROCESO DE AUTORIZACIÓN [org.4], que establece el mecanismo, para que las responsabilidades y autoridades para los roles pertinentes a la seguridad de la información se asignen y comuniquen dentro de la Sociedad Municipal Aguas de Burgos S.A. conforme a lo establecido en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

Responsable de Sistema de Gestión de Seguridad de la Información (SGSI): El Responsable de Seguridad de la Información ejerce el rol de Responsable del SGSI.

Estructurar la documentación de seguridad del sistema, su gestión y acceso.

15.     TRATAMIENTO DE DATOS PERSONALES

Cuando el sistema trate datos personales, el Responsable de Seguridad recogerá los requisitos de protección de datos que sean fijados por el Responsable del Tratamiento por el Encargado del Tratamiento, contando con el asesoramiento del DPD, y que sean necesarios implementar en los sistemas de acuerdo a la naturaleza, alcance, contexto y fines del mismo, así como de los riesgos para los derechos y libertades de acuerdo a lo establecido en los artículos 24 y 32 del RGPD, y de acuerdo a la evaluación de impacto en la protección de datos, si se ha llevado a cabo.

Aguas de Burgos debe identificar y cumplir los requisitos relativos a la preservación de la privacidad y la protección de la Información de Identificación Personal (IIP) de acuerdo con las leyes y reglamentos aplicables y los requisitos contractuales con el propósito de garantizar el cumplimiento de los requisitos legales, estatutarios, reglamentarios y contractuales relacionados con los aspectos de seguridad de la información de la protección de la IIP.

Aguas de Burgos debe establecer y comunicar una política específica sobre privacidad y protección de la IIP a todas las partes interesadas pertinentes.

Además, Aguas de Burgos debe desarrollar y aplicar procedimientos para la preservación de la privacidad y la protección de la IIP. Dichos procedimientos deberán comunicarse a todas las partes interesadas que intervengan en el tratamiento de la información de identificación personal.

16.     APROBACION

La presente Política de Seguridad y toda la documentación asociada han sido aprobadas por la Gerencia de Aguas y Burgos y con vigencia a partir de la fecha de su firma por parte del Consejo de Administración de Aguas de Burgos.

Todos los firmantes asumen y aceptan plenamente el contenido de esta Política y se comprometen a aplicarla en sus respectivas áreas para conseguir el correcto funcionamiento del Sistema de Gestión de la Seguridad de la  Información (SGSI).

17.     USO DE APLICACIONES

El personal de la Sociedad Municipal Aguas de Burgos S.A. debe cumplir las siguientes directrices:

         ■ No se permite el uso de aplicaciones que no dispongan de licencia.
         ■ El borrado de aplicaciones software sólo lo podrá realizar el administrador de sistemas o en su defecto el responsable tecnológico.
         ■ No se permite la instalación de programas software sin la previa autorización del responsable. El administrador de los sistemas es el encargado de la instalación.
         ■ En caso de instalación de software con licencia pública, siempre se tendrán en cuenta los derechos de propiedad intelectual.
         ■ Se restringe el acceso a redes sociales, aplicaciones de almacenamiento en la «nube» y aplicaciones de intercambio de ficheros «Punto a Punto».
         ■ La Gerencia de Aguas de Burgos exigirá el uso de software propietario o, en su defecto, utilización de software de licencia pública adquirido en lugares seguros cuyas páginas web sean oficiales.
         ■ Es obligatorio realizar las actualizaciones de software que se reciban de forma automática.
         ■ Todos los datos informáticos deberán tener una copia de seguridad que se realizará de forma diaria incremental.

18.     EXENCIONES
Incumplimientos justificados por razones de negocio.

19.     EXCEPCIONES
Incumplimientos no justificados.