Descargar Política de Seguridad (PDF)

HISTÓRICO DE REVISIONES
Edición	Modificado Por	Fecha	Motivo de la REVISIÓN
2.0	Pablo Martín Pacheco	28/03/2019	Versión actualizada tras auditoría AENOR febrero 2019
3.0	Pablo Martín Pacheco	22/12/2020	Versión aprobada por el Consejo de Administración de Metrotenerife
4.0	Pablo Martín Pacheco	07/02/2023	Adecuación a nuevo ENS según RD 311/2022. Versión aprobada por el Consejo de Administración de Metrotenerife
5.0	Comité de Seguridad	15/01/2025	Se añaden aspectos sobre los principios básicos del ENS, roles y responsabilidades, clasificación de la información y gestión dela documentación
ELABORADO:	CARGO:		FECHA: FIRMA:
Comité de Seguridad		15/01/2025
REVISADO 1:	CARGO:		FECHA: FIRMA:
REVISADO 2:	CARGO:		FECHA: FIRMA:
Aprobado:	CARGO:		FECHA: FIRMA:

¡Aviso: La vigencia de este documento sólo está garantizada en la intranet de Metrotenerife!

índice

1. APROBACIÓN Y ENTRADA EN VIGOR
2. INTRODUCCIÓN
3. ALCANCE
4. MISIÓN
5. MARCO NORMATIVO
6. PRINCIPIOS BÁSICOS
   1. SEGURIDAD INTEGRAL
   2. GESTIÓN DE LA SEGURIDAD BASADA EN LOS RIESGOS 6
   3. PREVENCIÓN
   4. DETECCIÓN
   5. RESPUESTA
   6. RECUPERACIÓN
   7. EXISTENCIA DE LÍNEAS DE DEFENSA
   8. REEVALUACIÓN PERIÓDICA Y VIGILANCIA CONTINUA
   9. DIFERENCIACIÓN DE RESPONSABILIDADES
7. ORGANIZACIÓN DE LA SEGURIDAD
   1. DEFINICIÓN DE ROLES DE SEGURIDAD
   2. PROCESO DE TOMA DE DECISIONES Y COORDINACIÓN
   3. PROCESO DE DESIGNACIÓN Y RESOLUCIÓN DE CONFLICTOS
   4. DETALLE DE LOS ROLES
      1. Dirección (Dirección General)
      2. Comité de Seguridad
      3. Responsable de Seguridad
      4. Responsable del Servicio y de la Información
      5. Responsable del Sistema
      6. Administrador de seguridad
      7. Delegado de Protección de Datos (DPD)
8. DATOS DE CARÁCTER PERSONAL
9. ANÁLISIS Y GESTIÓN DE RIESGOS. INCLUSIÓN DE LOS RIESGOS CON DATOS PERSONALES
10. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
    1. INSTRUMENTOS DE DESARROLLO Y GESTIÓN DE LA DOCUMENTACIÓN
    2. ESTRUCTURA GENERAL
    3. GESTIÓN DE LA DOCUMENTACIÓN
    4. SANCIONES PREVISTAS POR INCUMPLIMIENTO
11. SEGURIDAD DE LA INFORMACIÓN
    1. CLASIFICACIÓN DE LA INFORMACIÓN
12. OBLIGACIONES DEL PERSONAL
13. TERCERAS PARTES
    1. TERCERAS PARTES COMO SERVICIOS EXTERNALIZADOS DE SEGURIDAD
14. DESARROLLO DEL SGSI, REVISIÓN Y AUDITORÍAS

1. ‌APROBACIÓN Y ENTRADA EN VIGOR

   Esta política fue aprobada inicialmente el día 29 de Octubre de 2018, revisada posteriormente en varias ocasiones por la Dirección General de Metropolitano de Tenerife S.A., siendo la última de éstas revisiones la de fecha 19 de febrero de 2025, y siendo efectiva desde esta fecha y hasta que sea reemplazada por una nueva. La Dirección General de Metropolitano de Tenerife, S.A. se compromete a difundirla y a revisarla periódicamente con la finalidad de introducir los cambios que sean convenientes.

2. ‌INTRODUCCIÓN

   Metropolitano de Tenerife S.A. (en adelante Metrotenerife), es una empresa pública del Cabildo de Tenerife que opera y mantiene las líneas de metro ligero en Tenerife. Proporciona un servicio de transporte público de calidad y ofrece mejoras y alternativas al desarrollo de nuevas soluciones de transporte en la isla. Para lograr una gestión eficaz y eficiente de las mismas, Metrotenerife se apoya en sus sistemas de tecnologías de la información y las comunicaciones, (STIC). Estos sistemas se convierten en pilares básicos para su funcionamiento, por lo que deben ser objeto de una especial protección a fin de que cumplan los requisitos definidos en el RD 311/2022 Esquema Nacional de Seguridad (en adelante, ENS). La Política de Seguridad de la Información, que se plasma en este documento, recoge la forma en que Metrotenerife gestiona y protege la información y los servicios. En concreto, aquellos que hace uso el ciudadano por medios electrónicos para el ejercicio de derechos y el cumplimiento de deberes en su relación con Metrotenerife. El objetivo de la seguridad de la información es garantizar la calidad de la misma y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes. Los STIC deben estar protegidos contra amenazas, de rápida evolución, con potencial para incidir en la integridad, disponibilidad, autenticidad, trazabilidad, confidencialidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la continuidad de los servicios prestados. Esto implica que los diferentes departamentos en que se articula Metrotenerife deben cerciorarse de que la seguridad de los STIC es una parte integral de cada etapa de sus actividades y, desde su concepción hasta la retirada de servicio, deben aplicar las medidas mínimas de seguridad exigidas por el ENS para evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad, realizar un seguimiento continuo de los niveles de prestación de servicios, analizar las vulnerabilidades reportadas y preparar una respuesta efectiva a los incidentes.

3. ‌ALCANCE

   Esta política aplica y será de obligado cumplimiento para todos los departamentos de Metrotenerife, así como para terceras partes con las que Metrotenerife comparta información o reciba algún servicio que implique el acceso a la misma. Para facilitar su conocimiento y cumplimiento, estará disponible en el sitio web de Metrotenerife, así como en la intranet corporativa.

4. ‌MISIÓN

   Metrotenerife nace para poner en marcha un transporte alternativo en forma de líneas ferroviarias en la isla de Tenerife. En la actualidad gestiona dicho servicio ferroviario, que contribuye a aliviar la congestión circulatoria y a facilitar y satisfacer las demandas de movilidad de la población de Tenerife y de sus visitantes. Metrotenerife es miembro de la UITP, «Union Internationale des Transports Publics» y es uno de los dos representantes españoles que participan como miembros en su Comité de Metros Ligeros. También pertenece a la Asociación Latinoamericana de Metros y Subterráneos (ALAMYS) y a la Asociación de Empresas Gestoras de los Transportes Urbanos Colectivos (ATUC).

5. ‌MARCO NORMATIVO

   Las referencias tenidas en cuenta para la redacción de esta política y el resto de normativa y procedimientos han sido las indicadas en el documento marco: “NOR-000: Legislación y Normativa Aplicable” que de manera periódica se actualiza, atendiendo aquella normativa de aplicación principalmente en lo relativo a protección de datos personales y seguridad de la información. Además, se ha tenido en cuenta en especial la Guía “CCN-STIC-821 Normas de seguridad en el ENS” y el Anexo I de la Guía “CCN-STIC-822” – Procedimientos de seguridad en el ENS”. Así mismo, Metrotenerife, también será responsable de identificar las guías de seguridad del CCN, que serán de aplicación para mejorar el cumplimiento de lo establecido en el ENS.

6. ‌PRINCIPIOS BÁSICOS

   Todos los servicios deben estar preparados para cumplir con sus objetivos utilizando sistemas de información, por lo que deben asegurar que se cumplen los siguientes principios básicos:

   1. ‌SEGURIDAD INTEGRALLa seguridad de la información es un proceso integral del que
      forman parte todos los elementos técnicos, humanos, materiales y organizativos de Metrotenerife. En este sentido, se prestará la máxima atención a la formación y concienciación de las personas que intervienen en el proceso de seguridad y concretamente de los responsables en materia de seguridad, que deberán recibir formación específica.Metrotenerife formará e informará a todo su personal acerca de los deberes y obligaciones en materia de seguridad y garantizará que la atención, revisión y auditoría de los sistemas de seguridad se lleven a cabo por personal cualificado, bajo criterios de profesionalidad, exigiendo además que las organizaciones que le presten servicios cuenten con profesionales y técnicos cualificados y con niveles idóneos de calidad y excelencia en la prestación de sus servicios.
   2. ‌GESTIÓN DE LA SEGURIDAD BASADA EN LOS RIESGOS
      La gestión de los riesgos es parte fundamental para el proceso de seguridad. Metrotenerife, a través de los responsables en materia de seguridad, deberá implementar mecanismos de gestión del riesgo, minimizándolos hasta niveles aceptables mediante el despliegue de medidas de seguridad, en todo caso garantizando el equilibrio entre la naturaleza de la información, los riesgos a los que se expone y las medidas de seguridad a adoptar.
   3. ‌PREVENCIÓN
      Todos los servicios de Metrotenerife deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional que sea preciso establecer tras una evaluación de amenazas y riesgos. Estos controles, así como los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
   4. ‌DETECCIÓN
      Dado que los servicios son vulnerables y se pueden degradar rápidamente debido a incidentes que pueden producir desde una simple desaceleración hasta su detención, se monitorizarán las operaciones de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el ENS.La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables de seguridad de forma regular, y especialmente cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.
   5. ‌RESPUESTAMetrotenerife debe:
      • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
      • Establecer un punto de contacto para comunicar incidentes detectados en otros servicios o en otros organismos.
      • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
   6. ‌RECUPERACIÓNSe tendrá en cuenta la importancia de la recuperación de los STIC y la disponibilidad de los servicios críticos en caso de incidencia, incluyendo la copia de seguridad de los sistemas de información.
   7. ‌EXISTENCIA DE LÍNEAS DE DEFENSAMetrotenerife cuenta con una estrategia de
      protección formada por múltiples capas de seguridad que permitan reaccionar ante incidentes inevitables; reducir la probabilidad de que el sistema quede comprometido y minimizar el impacto de un incidente ya producido. En este sentido, será de especial importancia para la seguridad de la información las siguientes actuaciones de Metrotenerife:
      • El control y limitación del acceso a los sistemas de información, el registro de las actividades de los usuarios, y la identificación conductas indebidas o no autorizadas.
      • La protección física de las instalaciones de las que tengan control, a través de áreas
        supervisadas y separadas.
      • La adquisición de productos de seguridad que cumplan con las garantías de seguridad necesarias en atención a la categoría de los sistemas y nivel de seguridad de la información afectada.
      • La protección de la información almacenada o en tránsito a través de entornos inseguros, como los equipos portátiles, periféricos, soportes de información y comunicaciones.
      • La protección de la información en soporte no electrónico que haya sido causa o consecuencia directa de la información electrónica.
      • La protección del perímetro y el análisis de los riesgos derivados de la interconexión del sistema con otros sistemas a través de redes.
   8. ‌REEVALUACIÓN PERIÓDICA Y VIGILANCIA CONTINUA
      Metrotenerife implementará mecanismos para la detección de actividades o comportamientos anómalos y su oportuna respuesta.Del mismo modo, se incluirá el proceso de seguridad en un ciclo de actualización y mejora continua. En este sentido, las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y de los sistemas de protección, bien por la aparición o incremento de los riesgos o bien en cumplimiento de la normativa vigente en cada momento.
   9. ‌DIFERENCIACIÓN DE RESPONSABILIDADES
      A través de la presente Política de Seguridad y la normativa que la desarrolle se definirán los distintos roles intervinientes en el sistema de información, distinguiendo en cualquier caso, entre responsable de la información, el responsable del servicio, el responsable de seguridad y el responsable del sistema, así como se indicarán las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos, existiendo en todo momento una obligación de cooperación y colaboración entre los distintos roles y responsables.

7. ‌ORGANIZACIÓN DE LA SEGURIDAD

   La gestión de la seguridad de la información implica la existencia de una estructura organizativa que, en consonancia con el ENS, defina unas responsabilidades diferenciadas en relación con los requisitos de la información, del servicio y de la seguridad. Con carácter general, todos y cada uno de los usuarios de los sistemas de información de Metrotenerife, son responsables de la seguridad de la información, así como de los recursos y medios puestos a su disposición para el manejo de dicha información. En ellos recae la responsabilidad de un uso correcto, siempre de acuerdo a las atribuciones profesionales y competencias. Como extensión a la estructura de seguridad de Metrotenerife, se establecerán relaciones de cooperación en materia de seguridad con las autoridades competentes, autonómicas o estatales, proveedores de servicios informáticos o de comunicación, así como organismos públicos y privados dedicados a promover la seguridad de los sistemas de información. Metrotenerife asocia la responsabilidad de los servicios, de la información, de la seguridad y del sistema con los directores y responsables de área directamente concernidos en el ámbito de aplicación del ENS y que se representan en el siguiente organigrama:

   1. ‌DEFINICIÓN DE ROLES DE SEGURIDADA continuación, se identifican los roles que
      participaran en la Seguridad de la Información de Metrotenerife:
      

      Rol	Funciones
      Dirección General	Es el órgano encargado de establecer la misión y losobjetivos de Metrotenerife. Se ocupa del nombramiento de los componentes del Comité de Seguridad.
      Comité de Seguridad de la Información	Es el órgano encargado de tomar decisiones que concretan cómo alcanzar los objetivos marcados por Metrotenerife.
      Responsable de Seguridad	Funciona como supervisor de la operación del sistema y vehículo de reporte al Comité de Seguridad de la Información.Determina las decisiones de seguridad pertinentes para satisfacer los requisitos establecidos por los responsables de los servicios.
      Responsable de la Información	Tiene la responsabilidad última sobre qué seguridad requiere una cierta información manejada por Metrotenerife y en qué condiciones debe llevarse a cabo su tratamiento.

      Responsable del Servicio	Tiene la responsabilidad última de determinar los niveles de servicio aceptables y la seguridad que requiere la información manejada en su Servicio o área.Determinan los requisitos de seguridad de la información tratada y de los servicios prestados dentro de su Servicioo área.
      Responsable del Sistema	A nivel operacional, toma decisiones operativas: arquitectura del sistema, adquisiciones, instalaciones y operación del día a día.
      Administradores de Seguridad	Implementa, ejecuta y mantiene las medidas de seguridad aplicables a los sistemas de información.
      Delegado de Protección de Datos (DPD)	Persona o empresa encargada de asesorar a los Responsables en materia de seguridad (Dirección, Comité de Seguridad, Responsable de la Información, Responsable de Servicio, Responsable de Seguridad, Responsable del Sistema) acerca del cumplimiento de la normativa de protección de datos personales. Su nombramiento es obligatorio para Metrotenerife y susfunciones vienen recogidas en el RGPD.

   2. ‌PROCESO DE TOMA DE DECISIONES Y COORDINACIÓNLos diferentes roles de seguridad
      de la información se articularán mediante la siguiente jerarquía: el Comité de Seguridad de la
      Información, dará instrucciones al Responsable de la Seguridad que se encargará de supervisar que el Responsable y administradores de sistemas implementan las medidas de seguridad según lo establecido en la Política de Seguridad de Metrotenerife.El Responsable del Sistema:
      • Informa al Responsable de la Información/Servicio de las incidencias funcionales relativas a la información que le compete.
      • Informa al Responsable de la Información/Servicio de las incidencias funcionales relativas al servicio que le compete.
      • Da cuenta al Responsable de la Seguridad en las siguientes materias:
        • Actuaciones en materia de seguridad, en particular en lo relativo a decisiones de
          arquitectura del sistema.
        • Resumen consolidado de los incidentes de seguridad.
        • Medidas de la eficacia de las medidas de protección que se deben implantar.El
          Responsable de Seguridad:
      • Informar al Responsable de la Información de las decisiones e incidentes en materia de seguridad que afecten a la información que le compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.
      • Informar al Responsable del Servicio de las decisiones e incidentes en materia de seguridad que afecten al servicio que le compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.
      • Da cuenta al Comité de Seguridad de la Información, como secretario:
        • Resumen consolidado de actuaciones en materia de seguridad.
        • Resumen consolidado de incidentes relativos a la seguridad de la información.
        • Estado de la seguridad del sistema, en particular del riesgo residual al que el sistema
          está expuesto.
   3. ‌PROCESO DE DESIGNACIÓN Y RESOLUCIÓN DE CONFLICTOSLa Dirección General,
      nombrará formalmente y de conformidad con su régimen de funcionamiento interno:
      • Al Responsable de Seguridad.
      • Al Responsable de la Información.
      • Al Responsable del Servicio.
      • Al Responsable del Sistema.
      • Al Administrador de Sistemas.
      • Al Delegado de Protección de Datos.
      • A los integrantes del Comité de Seguridad de la Información.

      La resolución de conflictos entre los distintos roles y responsabilidades del sistema, así como las
      posibles incompatibilidades serán analizadas por el Comité de Seguridad, quien elevará su opinión a la Dirección General para la toma de decisiones.

   4. ‌DETALLE DE LOS ROLES
      1. ‌Dirección (Dirección General)La función de dirección la desempeñará la
         Dirección General, que determina los objetivos a alcanzar y efectúa el seguimiento de su nivel de cumplimiento.Le corresponde:
         1. Designar los diferentes roles encargados de la gestión de la seguridad, así como los
            miembros del Comité de Seguridad.
         2. Fijar anualmente unos objetivos de nivel de riesgo aceptable. Los objetivos deben ser
            vigentes y estar alineados con el propósito y la estrategia de Metrotenerife, ser
            medibles o estimables y coherentes con las presentes directrices. El Comité de Seguridad apoyará a la Dirección General en la fijación y aprobación de estos objetivos y reportará anualmente la evolución de dichos objetivos.
         3. Aprobar el Plan de Adecuación al ENS.
         4. Aprobar la Política de Seguridad.
         5. Aprobar, tras cada proceso de apreciación del riesgo que se realice, el Plan de Tratamiento del Riesgo que se elabore.
         6. Proporcionar los recursos necesarios para el aseguramiento del cumplimiento de estos objetivos y para la operación del Sistema Integrado de Gestión.
      2. ‌Comité de SeguridadEl Comité de Seguridad de la Información de Metropolitano coordina la seguridad de la información. Los miembros del Comité actúan con voz y voto y sus acuerdos se adoptan por mayoría simple de sus miembros, salvo que se establezca alguna otra mayoría cualificada.Composición:El Comité de Seguridad de la Información está compuesto por los siguientes miembros:
         

         Presidente	Gerente
         Secretario	Responsable de Seguridad
         Vocales	Dirección Financiera
         	Dirección Comercial
         	Área de Informática e Ingeniería de Sistema (IeIS)
         	Delegado de Protección de Datos (DPD)

         La Dirección General (Gerente) asume a nivel Organizativo, las funciones de Responsable de la Información y del Servicio, no obstante, dichas funciones son delegadas en cada uno de los directores de los diferentes departamentos. Cada integrante del Comité actúa con voz y voto a excepción del Delegado de Protección de Datos (DPD) que no tendrá voto, y sus acuerdos se adoptan por mayoría simple de sus integrantes, salvo que se establezca alguna otra mayoría cualificada. A requerimiento del Comité de Seguridad se convocará a cualesquiera otros responsables, propios o de terceras organizaciones subcontratadas para la prestación de los servicios, cuya intervención sea precisa por estar afectados por el ENS y por la regulación en materia de Protección de Datos. Los miembros del Comité serán renovados cada cuatro años o con ocasión de vacante. Funciones del Secretario:

         • Convocar las reuniones del Comité de Seguridad de la información
         • Preparar los temas a tratar en las reuniones del Comité, aportando información puntual
           para la toma de decisiones.
         • Elaborar el acta de las reuniones.
         • La responsabilidad de la ejecución directa o delegada de las decisiones del Comité.

         Funciones del Comité de Seguridad de la Información:

         1. Atender las necesidades de la Dirección General y de los diferentes departamentos de la Organización.
         2. Informar regularmente del estado de la seguridad de la información a la Dirección
            General.
         3. Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información.
         4. Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones de la Organización en materia de seguridad.
         5. Coordinar los esfuerzos de los diferentes departamentos para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
         6. Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes departamentos, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
         7. Elaborar y revisar regularmente la Política de Seguridad de la Información.
         8. Elaborar la estrategia de evolución de Metrotenerife en lo que respecta a la seguridad
            de la información.
         9. Aprobar en su caso la Declaración de Aplicabilidad, la categorización del sistema y el
            análisis de riesgos.
         10. Aprobar la normativa y procedimientos de seguridad de la información que afecte al
             conjunto de la Organización.
         11. Elaborar y aprobar los requisitos de formación y cualificación de técnicos y usuarios desde el punto de vista de seguridad de la información.
         12. Aprobar planes de mejora de la seguridad de la información y coordinación de diferentes planes que puedan realizarse en diferentes departamentos.
         13. Monitorizar los principales riesgos residuales asumidos por la Organización y recomendar posibles actuaciones respecto de ellos.
         14. Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos, coordinando los diferentes departamentos de seguridad.
      3. ‌Responsable de SeguridadEl Responsable de Seguridad de la Información
         gestiona el proceso de seguridad de la información. Funciones:
         1. Elaborar y revisar la normativa de seguridad de la información, para su aprobación por el Comité de Seguridad.
         2. Aprobar los Procedimientos de Seguridad de la Información
         3. Coordinar y controlar las medidas de seguridad tanto técnicas como organizativas que apliquen en virtud de lo dispuesto por el RGPD y la normativa relacionada.
         4. Coordinar la elaboración de la documentación de Seguridad del Sistema.
         5. Promover la formación y concienciación en materia de seguridad de la información dentro de Metrotenerife. Elaborar los Planes de Formación y Concienciación del personal en Seguridad de la Información.
         6. Recopilar los requisitos de seguridad de los Responsables de la Información y del
            Servicio y determinar la categoría del Sistema.
         7. Realizar el Análisis de Riesgos.
         8. Facilitar a los Responsables de la Información y del Servicio información sobre el nivel
            de riesgo residual esperado tras implementar las opciones de tratamiento seleccionadas en el análisis de riesgos y las medidas de seguridad requeridas por el ENS.
         9. Elaborar y en su caso aprobar la Declaración de Aplicabilidad a partir de las medidas de seguridad requeridas conforme al Anexo II del ENS y del resultado del Análisis de Riesgos.
         10. Elaborar, junto al Responsable del Sistema, planes de mejora de la seguridad y continuidad de sistemas, para su aprobación por el Comité de Seguridad de la Información.
         11. Facilitar periódicamente al Comité de Seguridad un resumen de actuaciones en materia de seguridad, de incidentes relativos a seguridad de la información y del estado de la seguridad del sistema (en particular del nivel de riesgo residual al que está expuesto el sistema).
      4. ‌Responsable del Servicio y de la Información
         Funciones:
         1. Determinar los niveles de seguridad de la información en cada dimensión (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) dentro del marco establecido en el Anexo I del ENS, previa propuesta de la persona Responsable de la Seguridad.
         2. Adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Aprobar el riesgo residual resultante de aplicar los controles de seguridad.
         3. Supervisar el uso adecuado y la protección de la información y responder de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
         4. Tiene la responsabilidad última del uso que se haga de determinados servicios/información y, por tanto, de su protección.
         5. Tiene la potestad de establecer los requisitos del servicio en materia de seguridad o, en terminología del ENS, la potestad de determinar los niveles de seguridad de los servicios/información. Aunque la aprobación formal de los niveles corresponda a la persona Responsable del Servicio o de la Información, se puede recabar una propuesta a la persona Responsable de la Seguridad y conviene que se escuche la opinión de la
            persona Responsable del Sistema.
         6. Aprobar el riesgo residual (resultante una vez aplicados los controles de seguridad).
         7. En cuanto a lo dispuesto en el RGPD y la normativa relacionada, por delegación de la persona Responsable del Tratamiento se encomienda a la persona Responsable del Servicio o de la Información el desarrollo de las tareas relacionadas con la gestión de los tratamientos de datos personales que se realizan en su área en concreto.
      5. ‌Responsable del Sistema El Responsable del Sistema de seguridad es la persona que toma las decisiones operativas: arquitectura del sistema, adquisiciones, instalaciones y operación del día a día.
      6. Funciones:
         1. Elaborar y revisar los Procedimientos de Seguridad de la Información, así como, aprobar
            las Instrucciones Técnicas
         2. Implementar, gestionar y mantener las medidas de seguridad que sean de aplicación a los
            sistemas de información.
         3. Gestionar, mantener, configurar y actualizar, en su caso, el hardware y software en los
            que se basan los mecanismos y servicios de seguridad del sistema de información.
         4. Determinar la configuración autorizada de hardware y software a utilizar en el Sistema.
         5. Gestionar las autorizaciones y privilegios concedidos a los usuarios del sistema,
            incluyendo la monitorización de la actividad, de forma que ésta se ajuste a lo
            autorizado.
         6. Proponer la suspensión del manejo de una cierta información o la prestación de un cierto
            servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la
            satisfacción de los requisitos establecidos. La decisión de la suspensión debe ser
            acordada con el Responsable de Seguridad y con los Responsables del Servicio e
            Información antes de ser ejecutada.
         7. Definir la política de conexión o desconexión de equipos y usuarios nuevos en el
            Sistema.
         8. Decidir las medidas de seguridad que aplicarán los suministradores de componentes del
            Sistema durante las etapas de desarrollo, instalación y pruebas.
         9. Elaborar Procedimientos de Seguridad.
         10. Establecer planes de contingencia y emergencia, llevando a cabo ejercicios que permitan
             su conocimiento por parte del personal de Metrotenerife.
         11. Aplicar los procedimientos de seguridad aprobados, monitorizando el estado de seguridad
             e informando al Responsable de Seguridad de cualquier anomalía, compromiso o
             vulnerabilidad relacionada con la seguridad.
      7. ‌Administrador de seguridad La función de Administrador de seguridad en
         lo relativo a la implantación de las medidas de seguridad técnicas recae en el personal del Área de Informática e Ingeniería de Sistemas (dependiente de su responsable que es el Responsable del Sistema).
      8. Funciones:
         1. Elaborar y revisar las Instrucciones Técnicas.
         2. Elaborar Procedimientos de Seguridad.
         3. La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.
         4. La gestión, configuración y actualización, en su caso, del hardware y software en los
            que se basan los mecanismos y servicios de seguridad de los sistemas de información.
         5. La gestión de las autorizaciones concedidas a los usuarios del sistema en particular,
            los privilegios concedidos, incluyendo la monitorización de que la actividad desarrollada en el sistema se ajusta a lo autorizado.
         6. La aplicación de los Procedimientos de Seguridad.
         7. Aplicar los cambios de configuración del sistema de información.
         8. Asegurar que los controles de seguridad establecidos son cumplidos estrictamente, así como asegurar que son aplicados los procedimientos aprobados para manejar el sistema de información.
         9. Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
         10. Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.
         11. Informar a los respectivos Responsables de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
         12. Colaborar en la investigación y resolución de incidentes de seguridad, desde su
             detección hasta su resolución
      9. Delegado de Protección de Datos (DPD)Siguiendo lo indicado en el RGPD y en la LOPDGDD, el Delegado de Protección de Datos tendrá como mínimo las siguientes funciones:
         • Informar y asesorar al responsable del tratamiento y a sus empleados de las obligaciones
           que les incumben en relación al RGPD y otras disposiciones de protección de datos.
         • Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras
           disposiciones de protección de datos de la Unión o de los Estados miembros y de las
           políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y
           formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
         • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa
           a la protección de datos y supervisar su aplicación de conformidad con el artículo 35
           del RGPD.
         • Cooperar con la autoridad de control.
         • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al
           tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RGPD, y
           realizar consultas, en su caso, sobre cualquier otro asunto.

8. ‌DATOS DE CARÁCTER PERSONAL

   Metrotenerife trata datos de carácter personal de acuerdo con el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y la Ley Orgánica 3/2018 cuyo objeto es adaptar al mismo el ordenamiento jurídico español y completar sus disposiciones. La Organización sólo recogerá datos de carácter personal cuando sean adecuados, pertinentes y no excesivos y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de Protección de Datos vigente en cada caso. De este modo, con la LOPDGDD se han adaptado las medidas oportunas tales como, el análisis de legitimidad jurídica de cada uno de los tratamientos de datos que se lleven a cabo, el análisis de riesgos, la evaluación de impacto si el riesgo es alto, el registro de actividades y el nombramiento de quien vaya a desempeñar las funciones de Delegado de Protección de Datos. De este análisis de riesgos se pueden derivar medidas que se superpongan a las ya descritas como obligatorias para el ENS según la categorización del sistema.

9. ‌ANÁLISIS Y GESTIÓN DE RIESGOS. INCLUSIÓN DE LOS RIESGOS CON DATOS PERSONALES

   Todos los sistemas sujetos a la presente Política deberán realizar un análisis de riesgos, evaluando las
   amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

   • Al menos una vez al año.
   • Cuando cambie la información manejada.
   • Cuando cambien los servicios prestados.
   • Cuando ocurra un incidente grave de seguridad.
   • Cuando se reporten vulnerabilidades graves.

   Para la armonización de los análisis de riesgos, el Responsable de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. Conocer los riesgos y elaborar una estrategia para gestionarlos adecuadamente es primordial para Metrotenerife, ya que únicamente si se conoce el estado de seguridad podrán tomarse las decisiones adecuadas para mitigar los riesgos a los que se enfrenta. Cuando un sistema de información trate datos personales le será de aplicación lo dispuesto en el RGPD y en la LOPDGDD. El responsable o el encargado del tratamiento, asesorado por el Delegado de Protección de Datos, realizará un análisis de riesgos conforme al artículo 24 del RGPD y, en los supuestos de su artículo 35, una Evaluación de Impacto en la Protección de Datos (EIPD). Del resultado de ese análisis pueden derivarse medidas adicionales a implantar. Metrotenerife utiliza la metodología Magerit para analizar los riesgos, realizando un análisis detallado de los riesgos que afecten a los activos recogidos en un inventario de activos, que queda documentado en un documento de Análisis de Riesgos. La Organización determina los niveles de riesgo a partir de los cuales toma acciones de tratamiento sobre los mismos. Un Riesgo se considera aceptable cuando implementar más controles de seguridad se estima que consumiría más recursos que el posible impacto asociado. Una vez llevado a cabo el proceso de evaluación de riesgos, la dirección de Metrotenerife es la responsable de aprobar los riesgos residuales y los planes de tratamiento de riesgo. En el caso de las medidas implantadas en el ENS, si el análisis de riesgos establece medidas más importantes, se añadirán éstas a las descritas en el ENS.

10. ‌ DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

    ‌INSTRUMENTOS DE DESARROLLO Y GESTIÓN DE LA DOCUMENTACIÓN Esta Política de Seguridad de
    la Información se desarrollará a través de los siguientes instrumentos:

    • Normativa de seguridad (NOR): uniformizan el uso de aspectos concretos del sistema. Indican el uso correcto y las responsabilidades de las personas usuarias. Son de carácter obligatorio. La normativa de seguridad estará a disposición de cada integrante de Metrotenerife que necesite conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones. Esta normativa deberá ir firmada y avalada por la Presidencia del Comité de Seguridad.
    • Procedimientos Técnicos de Seguridad (PRO): Afaontan tareas concretas, indicando lo que hay que hacer, paso a paso, sin entrar en detalles de proveedores, marcas comerciales o comandos técnicos. Son útiles en tareas repetitivas.

    Al margen de estos instrumentos, podrán incorporarse guías informativas o instrucciones técnicas susceptibles de revisión por parte de la persona Responsable de Seguridad o el Comité de Seguridad de la Información y que se dirijan a aspectos concretos sobre la aplicación de medidas concretas sobre seguridad de la información.
    
    ‌ESTRUCTURA GENERAL El desarrollo de la normativa de seguridad en su conjunto se llevará a cabo basándose en el análisis de riesgos y aspectos específicos de la Seguridad de la Información tales como las medidas de seguridad indicadas en el Anexo II del ENS:

    • Marco organizativo: orientado a administrar la seguridad de la información dentro de Metrotenerife.
      Partiendo de la presente Política de Seguridad de la Información se desarrollará el resto del marco normativo de seguridad.
    • Marco operacional: constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.
      • Organización y Planificación: mediante análisis de riesgos, controlando la arquitectura de
        seguridad y la adquisición de nuevos componentes entre otros aspectos.
      • Control de Acceso: orientado a controlar el acceso lógico a la información.
      • Explotación: medidas para la gestión de la seguridad en explotación; partiendo del inventario de activos y controlando la gestión de incidencias, cambios, gestión de la configuración, registros de actividad, entre otros.
      • Servicios externos: medidas de seguridad orientadas a garantizar que empresas y personas terceras que realicen servicios de cualquier clase contratados por Metrotenerife o que de alguna manera se presten bajo el control y/o la dirección de Metrotenerife cumplan las políticas y normas de seguridad de la información establecidas por parte de Metrotenerife.
      • Continuidad del servicio: acciones a ejecutar en caso de interrupción de los servicios prestados con los medios habituales.
      • Monitorización del sistema: orientado a garantizar la disponibilidad de las actividades diarias y proteger los procesos críticos de los efectos de fallas significativas o desastres.
    • Medidas de protección: para la protección de activos concretos, según su naturaleza, con el nivel
      requerido en cada dimensión de seguridad.
      • Protección de las instalaciones e infraestructuras: destinado a impedir accesos no autorizados, daños e interferencias a las instalaciones e infraestructuras de Metrotenerife.
      • Gestión del personal: orientado a reducir los riesgos de error humano o uso inadecuado de las instalaciones y equipamientos.
      • Protección de los equipos: medidas para la protección de los equipos.
      • Protección de las comunicaciones: dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y elementos y sistemas de comunicación.
      • Protección de los soportes de información: para garantizar la información que contienen.
      • Protección de las aplicaciones informáticas: orientado a garantizar la incorporación de medidas de seguridad en los sistemas de información desde su desarrollo y/o implementación y durante su mantenimiento.
      • Protección de la información: cumpliendo lo dispuesto en el RGPD y en la LOPDGDD.
      • Calificación de la Información: estableciendo los requisitos, tipos y flujos de información que se producen, así como los procesos de elaboración, aprobación y acceso a la documentación.
      • Protección de los servicios: definiendo las medidas necesarias para mantener la seguridad de los servicios TI.

    ‌GESTIÓN DE LA DOCUMENTACIÓN
    La gestión de la documentación relacionada con la seguridad de la información tendrá en cuenta el ciclo de vida de la misma (generación, aprobación, modificación), de modo que se establezcan distintas responsabilidades en cada fase del ciclo de vida.En este sentido, la gestión de la documentación contará con los siguientes roles relacionados:

    • Dirección General (Dirección)
    • Comité de Seguridad de la Información (CSI)
    • Responsable de Seguridad de la Información (RSI)
    • Responsable del Sistema (RS)
    • Administrador de Seguridad (AS)
    • Usuarios (US)

    De acuerdo a lo anterior, en función del tipo de documento y el ciclo de vida, se ha establecido la siguiente matriz:

    	Generación	Aprobación	Modificación
    Políticas	CSI	Dirección	CSI
    Normativas	RSI	CSI	RSI
    Procedimientos	RS	CSI – RSI	RS
    Instrucciones	AS	RS	AS

    ‌SANCIONES PREVISTAS POR INCUMPLIMIENTOEl incumplimiento de la Política de Seguridad de la Información tendrá como resultado la aplicación de diversas sanciones, conforme a la magnitud y características de los preceptos incumplidos.El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas.

11. ‌SEGURIDAD DE LA INFORMACIÓN

    Se dispondrá un sistema de etiquetado o nombrado para los documentos, de manera que el destinatario de la información pueda conocer el tipo de información que contiene el documento, departamento o área a la que pertenece, categoría de información que contiene, existencia de datos personales o cualquier otra información que resulte relevante en materia de datos personales.

    1. Clasificación de la Información

       Toda la información que obra en los sistemas de información responsabilidad de Metrotenerife deberá contar con medidas de seguridad, de acuerdo con lo previsto en el ENS, que garanticen la protección respecto a todas las dimensiones de la seguridad. Estas medidas de seguridad se establecerán de acuerdo a unos criterios basados en el acceso a la información, su difusión y la materia que aborden.

       Se ha establecido un cuadro de calificación de documentos, que se indica a continuación, basado en los siguientes criterios:

       • (R) Requisitos legales, como los derivados de la normativa sobre secretos oficiales.
       • (D) Difusión de la información, esto es, las personas autorizadas para acceder a la información.

       R	D	Descripción	Ejemplos
       	Pública	Información de difusión no controlada para el público general. Apto para difusión entre todo tipo de organismos y entidades. La información no es confidencial y puede ser hecha pública sin ninguna implicación para Metrotenerife. La pérdida de la disponibilidad debido al tiempo de inactividad del sistema es un riesgo aceptable. La integridad es importante pero no vital.	•Catálogos de servicios ampliamente distribuidos. •La información disponible en el dominio público, incluyendo áreas de acceso público del sitio web. • Descargas de software de Metrotenerife. Información publicada al amparo de la normativa de Transparencia o aquella originada por obligación legal y siguiendo los principios de la normativa de protección de datos.
       Uso oficial	Interna	Documento de difusión parcialmente controlada no apto para su difusión pública y protegido del acceso externo. Su uso se restringe únicamente al personal interno y entidades colaboradoras. Para acceder internamente a esta información hace falta un permiso explicito por parte de un superior. El acceso no autorizado podría influenciar la eficacia operacional de Metrotenerife y causar un importante daño. La integridad de la información es vital. Estará dirigida a los usuarios internos, así como responsables, comités y dirección.	La información sobre los procedimientos de seguridad de Metrotenerife Información interna de los departamentos de Metrotenerife. Procedimientos normalizados de trabajo utilizados en todas las áreas. Todo el código y aplicaciones, así como portales web desarrollados por y para Metrotenerife.
       	Confidencial	Información especialmente sensible para Metrotenerife . Su acceso está restringido únicamente a aquellos empleados que necesiten conocerla para desempeñar sus funciones. Se entenderá dentro de esta clasificación la información recopilada y utilizada por Metrotenerife en la contratación de personas, prestación de servicios a los ciudadanos o gestión de las finanzas. El acceso a esta restringido dentro de la Organización.	• La información sobre los procedimientos de seguridad de Metrotenerife. • Datos internos de contabilidad e informes financieros. • Acuerdos privados con los proveedores. • Planes futuros de Metrotenerife. • Contraseñas. • Información interna de los departamentos de Metrotenerife. • Resoluciones de concursos. • Datos económicos y otros datos personales de empleados o ciudadanos. • Información con datos de origen étnico o racial, las opiniones políticas, convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos, datos biométricos, salud, vida sexual, orientación sexual o condenas e infracciones penales.

       Uso Oficial Interno

       Documento de difusión parcialmente controlada, no apto para su difusión pública y protegido del acceso externo. Su uso se restringe únicamente al personal interno y entidades colaboradoras.

       Para acceder internamente a esta información se requiere un permiso explícito de un superior. El acceso no autorizado podría afectar la eficacia operacional de Metrotenerife y causar un daño significativo.

       La integridad de la información es vital. Estará dirigida a usuarios internos, responsables, comités y dirección.

       Confidencial

       Información especialmente sensible para Metrotenerife. Su acceso está restringido a empleados con necesidad de conocerla para sus funciones. Incluye información sobre contratación de personal, prestación de servicios
       o gestión financiera.

       • Procedimientos de seguridad de Metrotenerife.
       • Datos internos de contabilidad e informes financieros.
       • Acuerdos privados con proveedores.
       • Planes futuros de Metrotenerife.
       • Contraseñas.
       • Información interna de los departamentos.
       • Resoluciones de concursos.
       • Datos económicos y personales de empleados o ciudadanos.
       • Datos de origen étnico, político, religioso, de salud o vida sexual.

    2. Obligaciones del Personal

       Todos los miembros de Metrotenerife deben conocer y cumplir esta Política de Seguridad de la Información.
       Además, deberán estar al tanto de la Normativa de Seguridad correspondiente a sus funciones.

       El Comité de Seguridad de la Información garantizará la difusión de esta política a los empleados, proporcionando recordatorios anuales y programas de concienciación para nuevas incorporaciones.

       Se ofrecerá formación específica a quienes gestionen sistemas TIC para asegurar su manejo seguro.

    3. Terceras Partes

       Cuando Metrotenerife utilice servicios o comparta información con terceros, estos deberán cumplir con la Política y Normativa de Seguridad aplicable.

       Se establecerán procedimientos específicos para reporte y resolución de incidencias, asegurando que el personal externo recibe la formación adecuada en materia de seguridad.

       1. Terceras Partes como Servicios Externalizados de Seguridad

          En caso de servicios externalizados, la empresa proveedora deberá designar un Punto de Contacto (POC)
          responsable de la seguridad de la información y del servicio prestado. Este POC deberá canalizar
          todas las comunicaciones de seguridad y gestionar los incidentes relacionados con el servicio.

    4. Desarrollo del SGSI, Revisión y Auditorías

       La dirección ha aprobado el desarrollo de un Sistema de Gestión de Seguridad de la Información (SGSI), que será implementado conforme a los estándares de seguridad. Este sistema garantizará la aplicación de controles del ENS y generará evidencias del cumplimiento de los objetivos marcados.

       Se establecerán procedimientos documentados para la gestión y acceso a la información. La política de seguridad se revisará anualmente y se adaptará a los cambios tecnológicos y organizativos.

       El sistema será auditado cada dos años según un plan desarrollado por el Comité de Seguridad.