Normativa de treball en remot

La Política de Seguretat de la Informació de la Universitat Pompeu Fabra (UPF, en endavant) preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.

El treball fora de les instal·lacions de la UPF comporta el risc de treballar en entorns desprotegits, és a dir, sense les barreres de seguretat físiques i lògiques implementades a les instal·lacions de la UPF. Fora d'aquest perímetre de seguretat augmenten les vulnerabilitats i la probabilitat de materialització de les amenaces, pel que es fa necessari adoptar mesures de seguretat addicionals.

Atès que els usuaris poden treballar en remot i han d’accedir als sistemes d’informació que ofereix la Universitat, es considera necessari regular aquest ús per implementar mesures de seguretat també en aquest àmbit.

Per aquests motius, el Consell de Govern acorda aprovar la normativa de treball en remot.

NORMATIVA DE TREBALL EN REMOT

Article 1. Àmbit d’aplicació

1. Aquesta normativa és d'aplicació a tot l'àmbit d'actuació de la UPF, es deriva de la Política de Seguretat de la Informació aprovada per acord del Consell de Govern en data 26 d'abril de 2023 i és d'obligat compliment per a tot els usuaris que, de manera permanent o eventual, tinguin accés als sistemes d’informació de la Universitat Pompeu Fabra.

2. En l'àmbit de la present política, s'entén per usuari qualsevol empleat de la UPF, així com el personal d'organitzacions públiques o privades externes, entitats col·laboradores o qualsevol altre amb algun tipus de vinculació amb la Universitat Pompeu Fabra i que utilitzi o posseeixi accés als seus Sistemes d'Informació.

Article 2. Treball en remot

1. El treball fora de les instal·lacions de la UPF comprèn tant el teletreball habitual i permanent dels usuaris desplaçats, com el treball ocasional, fent servir en tots dos casos, equips informàtics (usualment: ordinador portàtil, tauleta, telèfon mòbil, etc.).

2. Aquesta modalitat de treball comprèn també les connexions remotes realitzades des de congressos, jornades o sessions de formació, allotjaments o, fins i tot, trucades telefòniques de contingut professional que siguin efectuades en àrees públiques.

Article 3. Ús dels equips i dispositius

1. Els equips i dispositius informàtics i de comunicació assignats als usuaris de la UPF són per al seu ús exclusiu i només poden ser utilitzats per a fins professionals.

2. Els equips assignats als usuaris de la UPF no es poden cedir ni prestar a tercers excepte que hi hagi una autorització expressa, que inclourà en tot cas la definició de les condicions d'ús.

Article 4. Autorització en l’ús d’equips i documents digitals

1. Per a la sortida fora de les dependències de la UPF de documentació digital, equips i dispositius informàtics i de comunicacions cal una autorització prèvia del Responsable de Seguretat i/o del Responsable del Sistema d'Informació al qual s’accedeix. Aquesta autorització es demana la primera vegada per cada equipament.

2. És necessària la corresponent autorització per a utilitzar equips personals de l'usuari en el tractament de la informació de l'organització i en l'accés a recursos o sistemes d'informació de la UPF.

Article 5. Còpies de seguretat

La informació s’ha d’emmagatzemar a les unitats de xarxa habilitades per aquest objectiu. En el cas de ser necessari l’emmagatzematge dins l’equip, regularment, s'ha de fer còpia de seguretat de la informació continguda i caldrà adoptar mesures adequades per a la protecció d'aquestes còpies.

Article 6. Ús dels canals de comunicació establerts

La transmissió d'informació i l'accés remot es realitzarà únicament a través dels canals establerts, seguint els procediments i requisits definits per a això i adoptant les següents precaucions:

a) En cas d'utilitzar contrasenyes en l'autenticació, aquestes han de ser robustes i cal que compleixin la normativa de la UPF, que recull la Normativa de Control d'Accés.

b) Tancar sempre la sessió en acabar la feina.

c) Xifrar la informació sensible, confidencial o protegida que hagi de ser transmesa a través de correu electrònic o qualsevol altre canal que no proporcioni la confidencialitat adequada.

d) Aquells correus que tinguin informació confidencial hauran de ser xifrats.

Article 7. Vigilància permanent

1. La documentació i els dispositius mòbils han d'estar vigilats i sota control per evitar pèrdues o furts que comprometin la informació emmagatzemada en ells o la informació que a través d’ells se’n pugui extreure.

2. Si es treballa en espais públics cal fer-ho amb la màxima cautela i precaució, evitant que persones no autoritzades vegin o escoltin informació interna de l'organització.

3. S’haurà de bloquejar la pantalla de l’equip si s’abandona la posició de treball.

Article 8. Accés remot als sistemes d’informació via web

1. Els navegadors utilitzats per a l'accés als sistemes d’informació de la UPF via web han d'estar permanentment actualitzats a la seva última versió, al menys pel que fa a pegats de seguretat, i han d’estar correctament configurats.

2. S’han de desactivar les característiques de recordar contrasenyes al navegador.

3. Un cop finalitzada la sessió web, és obligatòria la desconnexió del servidor mitjançant un procés que elimini la possibilitat de reutilització de la sessió tancada.

4. És necessari activar l'opció d'esborrat automàtic de la informació sensible registrada pel navegador en el moment del tancament: històric de navegació, descàrregues, formularis, memòria cau, galetes, contrasenyes, sessions autenticades, etc.

5. Excepte autorització expressa, està prohibida la instal·lació de complements (add-on) per al navegador.

Article 10. Accés remot via VPN

1. L’accés als sistemes d’informació interns de la UPF fent servir la VPN està restringit a les persones autoritzades. Sempre es farà servir el programari d’accés remot autoritzat, en cap cas està permès l'ús de cap altre programari d’accés remot.

2. Per establir les connexions remotes es faran servir ordinadors portàtils o altres dispositius gestionats per la UPF que compleixin els paràmetres de seguretat establerts. En cap cas es podran fer servir dispositius personals sense autorització expressa i vigent.

3. L’accés VPN no permet l’accés remot a les estacions de treball de sobretaula de la UPF, es poden establir sistemes de “bastió extra” per aquells casos que degudament justificats, així ho requereixin.

Article 11. Transport i conservació amb seguretat

1. La documentació i equips que surtin de les instal·lacions de la UPF hauran de ser transportats de manera segura, evitant proporcionar informació sobre el contingut dels mateixos. En els desplaçaments en avió, aquest tipus d'equipament no es pot facturar i haurà de viatjar sempre amb l'usuari.

2. És obligatori l'ús de cadenats i/o cables de seguretat per als equips informàtics que hagin de romandre desatesos dins i fora de les instal·lacions de la UPF.

Article 12. Manteniment dels equips

1. Els equips es mantindran d'acord a les especificacions tècniques d'ús, emmagatzematge, transport, etc., proporcionades pel fabricant. En particular, s’evitarà el seu ús en condicions de temperatura o humitat inadequades, o en entorns que ho desaconsellin (taules amb aliments i líquids, entorns bruts, etc.).

2. Caldrà fer una revisió periòdica dels equips, per verificar l'absència de programari perjudicial, mantenint un registre d'aquestes revisions.

3. El responsable de la revisió periòdica dels equips propietat de la UPF és el responsable del sistema. Per la resta, dita responsabilitat és compartida, és a dir, la UPF ha de vetllar pel foment del coneixement d’aquesta obligació, però, és el propi usuari qui l’executa.

Article 13. Xifratge

Tots els sistemes d’emmagatzematge intern dels equips dels usuaris estaran xifrats amb independència de la sensibilitat de la informació que puguin contenir.

Apèndix: MODEL D'ACCEPTACIÓ I COMPROMÍS DE COMPLIMENT DE LA NORMATIVA DE TREBALL EN REMOT

Tots els usuaris externs que treballin des de fora de les instal·lacions de la UPF hauran de tenir accés permanentment a la present normativa, amb l’obligatorietat de subscriure-la.

Aquesta acceptació representa, addicionalment, una evidència i registre de l'adequada gestió dels usuaris remots per part de la UPF.