Preambulo �nico Política de Seguridad de la Información de la Administración de Cantabria

En las sociedades de los países desarrollados, el uso de las nuevas tecnologías se ha hecho cotidiano, transformando la vida diaria de los ciudadanos y suponiendo una revolución para el funcionamiento interno de las organizaciones públicas y privadas. También ha introducido cambios profundos en la relación entre estas organizaciones y su entorno: agilizando los intercambios de información entre entidades y permitiendo ofrecer servicios accesibles a las personas en cualquier momento y lugar.

La indudables ventajas que conlleva esta masiva presencia de las nuevas tecnologías, también ha supuesto afrontar importantes desafíos para que su utilización sea compatible con los derechos y deberes de la ciudadanía en los países democráticos.

Entre estos desafíos ha cobrado en los últimos años una excepcional importancia la seguridad de las infraestructuras tecnológicas y de la información que se almacena o se trata con ellas. Existen bandas mafiosas, grupos terroristas y otras organizaciones criminales que practican el tráfico de información privada, el espionaje masivo o dirigido y que en ocasiones realizan sabotajes que afectan a los sistemas de información de organizaciones públicas o privadas.

En el ámbito de las Administraciones Públicas de nuestro país, el Gobierno de España ha sido consciente de la importancia de las nuevas tecnologías y de su utilidad para mejorar los servicios que éstas prestan a los ciudadanos. También de la importancia de la seguridad de la información y de la necesidad de establecer un marco legal para regularla y garantizarla.

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos, regulando los aspectos básicos de la utilización de las tecnologías de la información en la actividad administrativa, en las relaciones entre las Administraciones Públicas, así como en las relaciones de los ciudadanos con las mismas con la finalidad de garantizar sus derechos, un tratamiento común ante ellas y la validez y eficacia de la actividad administrativa en condiciones de seguridad jurídica.

Entre los fines de esa ley, se señala la necesidad de crear unas condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad y los derechos fundamentales, y en especial, los relacionados con la intimidad y la protección de datos de carácter personal.

El Esquema Nacional de Seguridad aprobado por el Real Decreto 3/2010, de 8 de enero, tiene como meta precisamente atender a esa necesidad, para permitir a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Así, se busca garantizar la calidad de la información y la adecuada prestación de los servicios sin interrupciones, mediante una estrategia de gestión de la seguridad de la información que combine medidas preventivas y de supervisión de la actividad diaria, con procedimientos específicos de respuesta ante los incidentes que pudieran presentarse y con la capacidad de adaptación a los cambios en las condiciones del entorno.

Esta gestión de la seguridad de la información debe entenderse como un proceso integral, constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas de información, descartándose cualquier actuación puntual o tratamiento coyuntural. Esta gestión implica directamente tanto al personal especialista en tecnología, como a los gestores con capacidad de decisión sobre la información o los servicios prestados, así como al resto de personas que usan o acceden de algún modo a los sistemas de informa-

ción. Por ello se debe prestar la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que, ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.

El Esquema Nacional de Seguridad establece la obligación para las administraciones públicas de poner en marcha un conjunto de medidas de seguridad concretas, de tipo organizativo, operacional y de protección.

Entre las medidas de tipo organizativo incluye la obligación de formalizar una Política de Seguridad de la Información para la organización, en la que se definen, entre otros aspectos, la estructura para la gestión de la seguridad de la información y la asignación de funciones y roles.

Así, el presente decreto, fija esa Política de Seguridad de la Información, estableciendo los objetivos, principios básicos y la estructura organizativa para la gestión de la seguridad de la información en nuestra Administración.

Este decreto es una muestra del firme compromiso de la Administración de la Comunidad Autónoma de Cantabria con la necesidad de realizar una adecuada gestión de la seguridad de la información y con el cumplimiento del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

En su virtud, a propuesta de la Consejera de Presidencia y Justicia y previa deliberación del Consejo de Gobierno, en su reunión del día 14 de mayo de 2015.

DISPONGO