Normativa de gestió d’incidències de seguretat TIC
La Política de seguretat de la informació de la Universitat Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
La gestió de les incidències de seguretat és una peça clau per garantir la seguretat d’aquests sistemes d’informació, essent convenient regular els àmbits de responsabilitat, així com els requeriments mínims d’aquesta gestió.
Per aquest motiu, el Consell de Govern acorda aprovar la Normativa de gestió d’incidències de seguretat TIC, que consta com a annex.
ANNEX
NORMATIVA DE GESTIÓ D’INCIDÈNCIES DE SEGURETAT TIC
La Política de seguretat de la informació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
Aquesta normativa desplega la Política de seguretat de la informació de la Universitat pel que fa a la gestió de les incidències de seguretat que constitueix una peça clau per garantir la seguretat d’aquests sistemes d’informació. S’estableixen les responsabilitats i els requeriments mínims en la gestió de les incidències de seguretat.
Article 1: Definicions
- Incidència o incident de seguretat de la informació: Accés, intent d'accés, ús, divulgació, modificació o destrucció no autoritzada d'informació; un impediment en l'operació normal de les xarxes, sistemes o recursos informàtics; o una violació de la política de seguretat de la informació de l'organisme. Aquests incidents tenen una significativa probabilitat de comprometre la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat de la informació i dels serveis utilitzats.
- Debilitat: Risc o vulnerabilitat detectada proactivament per part de la Universitat i que podria derivar, en cas de no tractar-se, en una incidència de la seguretat de la informació.
- Usuari: Subjecte o procés autoritzat per accedir a dades o recursos dels sistemes d’informació de la Universitat.
Article 2: Responsabilitats
El responsable de seguretat TIC, els responsable del sistema, els administradors de la seguretat i els propis usuaris, en les seves respectives competències, són co-responsables de la correcta gestió d’incidències de seguretat TIC d’acord amb el que es preveu en aquesta normativa, incloent, en el seu cas, el personal de proveïdors externs, quan procedeixi i siguin usuaris dels sistemes d’informació de la Universitat.
Article 3: Cicle de gestió d’un incident de seguretat de la informació
La gestió de les incidències de seguretat de la informació ha de seguir el flux que s’estableix en els articles següents. En annex es recull aquest flux en mode de diagrama.
Article 3.1: Preparació
Amb relació a la gestió d’incidències, la Universitat ha de:
- Aprovar un procediment de gestió d'incidències de seguretat de la informació en el qual es detallin els passos a seguir per a la notificació, valoració i resposta de les incidències i debilitats de seguretat de la informació.
- Implementar una plataforma o sistema per a la gestió d'incidències que permeti recollir-les, registrar-les i gestionar-les d'acord amb el procediment de gestió d'incidències. Aquest sistema ha de permetre garantir una resposta adequada, organitzada i eficaç a les incidències que es puguin produir, millorant-ne el control i impedint que alguna incidència pugui quedar sense resposta.
- Implementar els mitjans per garantir la gestió de les incidències de seguretat que afectin els sistemes d’informació de la Universitat amb independència de si el servei ofert es contracta a un proveïdor de servei. Als contractes de prestació de serveis amb tercers (proveïdors de programari, comunicacions o altres serveis anàlegs), s’hi han d'incloure clàusules on s'estableixin els mitjans de comunicació i de resposta envers a incidents i debilitats de seguretat, de forma que es pugui proporcionar una resposta coordinada i una distribució d'informació que permeti una gestió i resolució eficaç.
Article 3.2: Detecció, comunicació, identificació i registre inicial
Per a la detecció, comunicació, identificació i registre inicial de les incidències de seguretat de la informació, s’apliquen les normes següents:
- Tots els usuaris han de ser informats i conscienciats sobre la responsabilitat de notificar les incidències de seguretat de forma immediata, així com sobre els procediments i canals de comunicació disponibles.
- Qualsevol usuari que tingui coneixement d'una incidència o debilitat de seguretat ha de notificar-la de manera immediata a través dels canals i destinataris establerts per la Universitat.
- Addicionalment a la notificació d'incidències i de debilitats de seguretat per part dels usuaris, hi ha altres fonts per a la detecció d'incidències de seguretat, com pot ser la monitorització dels sistemes d'informació o les alertes de sistema i altres sistemes de detecció de vulnerabilitats que hi puguin haver en els sistemes d'informació de la Universitat.
- Els canals establerts i el sistema de notificació d'incidències han de presentar el format adequat per incloure tota la informació necessària per facilitar la gestió i traçabilitat de la incidència, servint d'eina de suport per al desenvolupament de les activitats d'informe i la resolució d'incidències.
- Totes les incidències de seguretat han de tenir un codi únic que en permeti la identificació i traçabilitat al llarg del procés de gestió. Aquest codi ha de facilitar tant l'emmagatzematge com el registre de la incidència.
- Tota la informació relacionada amb les causes, el tractament i la resolució d'incidències de seguretat ha d'estar correctament registrada junt amb les evidències, els logs i les traces que hagin estat obtingudes.
- El registre de logs i traces, així com altres registres i evidències adjunts a la incidència, ha de complir els requeriments legals, contractuals i els relatius la normativa interna de la Universitat.
- En cas que la incidència afecti fitxers que continguin dades personals serà d’aplicació el procediment específic, aprovat per resolució del rector de 26 d’octubre del 2021, per la qual es regula el procediment de notificació i gestió de les violacions de seguretat de les dades personals tractades per la Universitat Pompeu Fabra.
Article 3.3: Pla d’actuació
En la gestió de les incidències de seguretat, s’apliquen les normes següents:
- Les incidències s’han de classificar d'acord amb els criteris que es considerin més adequats per a la Universitat, per permetre oferir la resposta més adequada en cada cas.
- El personal del Servei d’Informàtica assignat a la gestió de la incidència haurà de demanar als usuaris tota la informació necessària per gestionar-la.
- Si la incidència afecta dades personals el personal assignat a la seva gestió haurà de notificar-la de manera immediata al delegat de Protecció de Dades de la Universitat.
- S'han d'establir les responsabilitats i els processos necessaris per garantir una resposta ràpida, efectiva i ordenada a les incidències i debilitats de seguretat.
- En determinats casos serà necessari adoptar mesures per a la contenció de la incidència que evitin danys majors. En aquells casos en què l'adopció d'aquestes mesures de contenció comporti una paralització dels sistemes d'usuari s'ha d'informar amb la major antelació possible als usuaris afectats mitjançant els canals de comunicació que hagin estat formalment establert.
- En els casos d'incidències greus, les incidències han de ser comunicades de forma immediata al responsable de seguretat TIC, que ha de decidir les accions a adoptar en cada cas.
- La resolució de la incidència ha de ser comunicada als usuaris que l'han reportat o que van ser afectats durant la seva gestió, per procedir al tancament definitiu.
- Quan el seguiment d'una actuació, després que s’hagi produït un incident greu o desastre, derivi enaccions legals (civils o penals), disciplinàries o de responsabilitat contractual, les evidències que constitueixen l'incident han de ser recollides, arxivades i presentades d'acord amb legislació aplicable en cada cas per l'admissibilitat de proves dins el procediment corresponent.
- Per tal d'assegurar i preservar l'admissibilitat de les evidències en un procés judicial la Universitat ha de aprovar un procediment de recol·lecció d'evidències que determini els passos a seguir per recollir i presentar aquelles evidències que tenen com a finalitat facilitar el desenvolupament i la defensa de les accions disciplinàries, judicials o de reclamació de responsabilitats que pugui emprendre la Universitat. Aquest procediment ha de contenir:
- Les pautes mínimes a seguir, tant en la recollida de les evidències, establint els controls necessaris per a la traçabilitat de les actuacions realitzades en aquesta etapa, com els controls a implementar dins el procés posterior de custòdia de les evidències de tal manera que es pugui contrastar la seva integritat i completesa a l'hora de la seva aportació com a prova en els processos corresponents.
- Les mesures de seguretat a adoptar en el cas de l'aparició d'activitats il·lícites realitzades o presumptament realitzades per part de personal de la Universitat i de cara a prevenir actuacions de destrucció de proves o de represàlies del personal investigat que puguin perjudicar la Universitat.
- Implementar eines de monitorització i gestió i registre d'evidències que compleixin els requisits necessaris per monitoritzar, registrar i emmagatzemar tota activitat dins dels sistemes d'informació de la Universitat des del primer moment en què una evidència es genera, permetent així establir una cadena de custòdia que garanteixi la integritat i completesa de les evidències recollides de cara a possibles processos que puguin sorgir posteriorment. No obstant això, la Universitat també podrà sol·licitar els serveis de consultors de seguretat i d’assessors legals experts en la matèria que l'assessorin de cara a poder portar una investigació de fet de forma eficaç, així com per facilitar l’admissió de les evidències proveïdes dins de les diferents jurisdiccions aplicables.
Article 3.4: Aprenentatge
En l'aprenentatge de les incidències de seguretat, s’apliquen les normes següents:
- La gestió i el registre de les incidències de seguretat han de ser revisades periòdicament, a fi d'identificar-ne la causa i les solucions adoptades, identificar possibles deficiències de seguretat o proposar les solucions més adequades. S’ha d’elaborar un informe on s'estableixin les conclusions de les revisions realitzades.
- L'avaluació de les incidències de seguretat de la informació pot indicar la necessitat d'augmentar o afegir nous controls que limitin la freqüència, dany o cost de futures incidències o pot indicar que siguin tingudesen compte com a font d'informació dins dels processos de revisió de les polítiques de seguretat.
- Les persones del Servei d’Informàtica assignades a la gestió de l’incidència, els seus responsables, així com en el seu cas els usuaris afectats han de ser formats i previnguts sobre la base de coneixement adquirit, i sobre possibles incidències que puguin repetir-se en el futur per a evitar que aquestes tornin a produir-se. D'aquesta manera, respectant la confidencialitat deguda, les incidències han de ser utilitzades dins dels processos de millora contínua com a exemple per a la conscienciació i la formació dels usuaris i administradors de sistema davant incidències similars de manera que pugui prevenir-se’n l’aparició en el futur.
Annex. Diagrama de gestió d’un incident de seguretat