A continuación, formulamos algunas recomendaciones para elaborar Planes de adecuación de la seguridad de los servicios, Políticas de seguridad y otros documentos relevantes para las AP.

  • Antes de iniciar estos trabajos es importante identificar previamente el punto de partida de cada organización y establecer una hoja de ruta específica, integrando la seguridad como proceso integral.
  • A la hora de trabajar la Política de seguridad de cada organización, tenga en cuenta que deberá detallar las atribuciones de cada responsable y cuáles son los mecanismos de coordinación y resolución de conflictos.
  • Si el objetivo es tratar la seguridad como un proceso transversal e integral, es recomendable plantear la organización de la seguridad desde una doble perspectiva: por un lado, la seguridad de los sistemas de información y por otro, la seguridad de los datos que se gestionan, es decir, las responsabilidades derivadas del cumplimiento de la normativa aplicable.
  • Además, si es usuario de algún servicio AOC, tenga en cuenta las condiciones específicas de prestación de los servicios y las condiciones de seguridad que, en su caso, consten (por ejemplo, las Entidades de Registro T-CAT o idCAT).

A pesar de que existen diferentes fórmulas para la organización de la seguridad, una propuesta desde la perspectiva de la gestión integral y de simplificación puede ser optar por una organización de la seguridad estructurada en dos órganos colegiados: la comisión y la subcomisión de seguridad . Estos órganos asumirían los roles y funciones de la organización de la seguridad de acuerdo con la normativa -excepto el rol de administrador de la seguridad del sistema-, así como los roles y funciones derivados de la normativa de protección de datos de carácter personal.

Normativa

Ley 40/2015: art. 156

Ley Orgánica 3/2018

Esquema Nacional de Seguridad

Esquema Nacional de Interoperabilidad