Acord de Consell de Govern de 26 d'abril del 2023

Les TIC són un element essencial per a l’assoliment d’aquests objectius. Han de ser administrades amb diligència i s’han de prendre, en tot moment, les mesures de protecció adequades per garantir la disponibilitat dels serveis; la integritat, la confidencialitat i l’autenticitat de la informació tractada; i la traçabilitat dels tràmits realitzats.

La Llei 40/2015, d’1 d’octubre, de règim jurídic del sector públic, disposa a l’article 156.2 que l’Esquema Nacional de Seguretat té per objecte establir la política de seguretat de la utilització de mitjans electrònics en l’àmbit d’aquesta mateixa llei i que està constituït pels principis bàsics i pels requisits mínims que garanteixin adequadament la seguretat de la informació tractada.

El Reial Decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat (ENS), a l’article 12, determina que tots els òrgans superiors de les administracions públiques, han de disposar formalment d’una política pròpia de seguretat de la informació que articuli la gestió continuada de la seguretat i que aquesta política s’establirà d’acord amb els principis bàsics indicats en el mateix Reial Decret i que es desenvoluparà aplicant uns requisits mínims especificats.

Article 1. Objecte

Establir una política de seguretat de la informació que articuli la gestió continuada de la seguretat, entesa com la capacitat dels sistemes informàtics de prevenir els incidents malintencionats que puguin comprometre la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.

Article 2. Àmbit d’aplicació

Aquesta normativa, així com les normes i procediments que la desenvolupen, són d’obligat compliment per part dels membres de la comunitat universitària, de qualsevol persona que sigui usuària dels sistemes d’informació de la Universitat, així com de les empreses externes que prestin serveis a la Universitat, incloent tant les empreses contractistes com les subcontractades.

Així mateix, són d’aplicació a totes les instal·lacions de la Universitat i a tots els dispositius que s’utilitzin per accedir als seus sistemes d’informació.

Article 3.  Missió de la Universitat

L’article 177.2 dels Estatuts de la Universitat especifica que l’administració de la Universitat ha de fomentar el desenvolupament de les infraestructures i dels recursos necessaris per a l’aplicació de les tecnologies de la informació i la comunicació (TIC) i ha d’assegurar el dret d’accés dels ciutadans als seus serveis per mitjans telemàtics amb plenes garanties jurídiques i de seguretat. Ha de promoure la gestió del coneixement i l’accés a la informació d’acord amb els principis de proximitat, transparència i agilitat.

El Pla Estratègic 2016-2025 defineix com a missió de la Universitat:

  • Formar, mitjançant un model educatiu rigorós, innovador i personalitzat, persones amb sòlids coneixements científics i culturals, competències transversals adequades per adaptar-se als canvis i als reptes de la societat, i capacitats per desenvolupar els seus projectes de vida.
  • Esdevenir una universitat de recerca preeminent.
  • Promoure la innovació i la transformació social.
  • Impulsar el compromís amb la cultura.

Article 4. Marc legal

El marc legal de la Política de seguretat de la informació està format pel Reial Decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat, la present normativa que contempla:

a) La Política de seguretat en la informació, que estableix els requisits i els criteris de seguretat TIC en l’àmbit de la Universitat.

b) El control d’accés als sistemes d’informació    

c) La seguretat en els centres de processament de dades

d) La gestió d’incidències de seguretat TIC

D’acord amb la disposició addicional segona del Reial Decret 311/2022 citat, el Centre Criptològic Nacional (CCN) elabora guies de seguretat de les tecnologies de la informació i la comunicació (guies CCN-STIC) que, a la vegada, s’han d’incorporar al conjunt documental utilitzat per a la realització de les auditories de seguretat. Un dels requeriments d’aquestes guies CCN-STIC contempla l’aprovació d’un cos normatiu en tres nivells: un primer nivell constituït per la present Política de Seguretat de la Informació; un segon nivell format per les normes derivades de l’anterior que han de ser aprovades per Consell de Govern a proposta del Comitè de seguretat TIC i, un tercer nivell constituït per procediments, guies i instruccions tècniques.

Dins el tercer nivell, els procediments de gestió operativa i els documents que descriuen explícitament pas a pas com realitzar una certa activitat, són aprovats pel Comitè de seguretat TIC a proposta del responsable de la seguretat TIC; i les instruccions tècniques pròpies del Servei d’Informàtica, són aprovades pel responsable del sistema.

A la vegada, aquest marc legal es complementa amb les normes de la Universitat sobre administració electrònica i protecció de dades personals, de manera que aquests blocs normatius  s’hauran d’aplicar i interpretar de forma integrada.

Quan la Universitat presta serveis TIC a altres institucions o organismes, el Servei d’Informàtica els ha de fer partícips de la política de seguretat de la informació i d’altres normatives TIC associades i ha d’establir canals de coordinació i procediments d’actuació per reaccionar adequadament en cas de possibles incidents de seguretat.

Quan la Universitat utilitzi serveis TIC d’altres institucions, organismes o empreses o els cedeixi informació, sigui mitjançant la contractació de serveis, la col·laboració o qualsevol altra relació que no tingui caràcter contractual, els ha de fer partícips de la política i de la normativa de seguretat referides en aquests serveis i aquesta informació. Aquesta institució, organisme o empresa quedarà subjecta a les obligacions establertes en la normativa esmentada i podrà desenvolupar procediments operatius propis per complir-la. S’han d’establir procediments específics per reportar i resoldre incidències. S’ha de garantir que el seu personal està conscienciat adequadament en matèria de seguretat, si més no al mateix nivell que el que estableix aquesta política. Quan la institució, organisme o empresa no pugui satisfer algun aspecte d’aquesta política, segons el que estableixen els paràgrafs anteriors, el responsable de la seguretat ha d’elaborar un informe en què especifiqui els riscos a què està exposada i la forma de tractar-los. Els responsables de la informació i dels serveis afectats han d’aprovar aquest informe per poder utilitzar els serveis.

Article 5. Estructura de responsabilitats

1. La persona responsable de la informació, a efectes de l’ENS, és el secretari o secretària general de la UPF o la persona en qui delegui. Són funcions del responsable de la informació:

  • Establir els requisits de la informació tractada en matèria de seguretat en la informació.
  • Treballar en col·laboració amb els responsables de la seguretat i del sistema en el manteniment dels sistemes catalogats segons l'annex I de l'ENS.
  • Qualsevol altra funció que li atorgui l’ENS o la legislació vigent.

2. La persona responsable del servei, a efectes de l’ENS, és el gerent o gerenta de la UPF o la persona en qui delegui. Són funcions del responsable del servei:

  • Establir els requisits dels serveis prestats en matèria de seguretat TIC.
  • Treballar en col·laboració amb els responsables de la seguretat i del sistema en el manteniment dels sistemes catalogats segons l'annex I de l'ENS.
  • Vetllar per la inclusió de clàusules sobre seguretat en els contractes amb altres institucions o organismes i fer que es compleixin.
  • Qualsevol altra funció que li atorgui l’ENS o la legislació vigent.

3. La persona responsable de la seguretat TIC, a efectes de l’ENS, és el vicegerent o vicegerenta de la Universitat competent en tecnologies de la informació i la comunicació o la persona en qui delegui. El responsable de la seguretat TIC no pot ser la mateixa persona que el responsable del servei, ni el responsable de la informació, ni el responsable del sistema. Són funcions del responsable de la seguretat TIC:

  • Determinar les decisions per satisfer els requisits de seguretat tant de la informació com dels serveis.
  • Mantenir la seguretat de la informació que emmagatzemen i processen les infraestructures TIC de la UPF i els serveis que presten.
  • Realitzar o promoure les auditories periòdiques que permetin verificar el compliment de les obligacions de la UPF en matèria de seguretat.
  • Promoure la formació i la conscienciació del personal TIC dins del seu àmbit de responsabilitat.
  • Verificar que les mesures de seguretat establertes són adequades per a la protecció de la informació que es tracta i els serveis que es presten.
  • Analitzar i completar la documentació relacionada amb la seguretat dels sistemes.
  • Monitoritzar l'estat de seguretat dels sistemes proporcionat per les eines de gestió d'esdeveniments de seguretat i els mecanismes d'auditoria implementats en els sistemes.
  • Donar suport a la investigació dels incidents de seguretat, des que es notifiquen fins que es resolen, i supervisar-la.
  • Elaborar els informes periòdics de seguretat, els quals han d'incloure els incidents més rellevants del període.
  • Aprovar els procediments de seguretat dels sistemes TIC de la Universitat.
  • Proposar actualitzacions de les normatives de seguretat TIC de la UPF.

El responsable del sistema, a efectes de l’ENS, és el cap del Servei d’Informàtica de la UPF o la persona en qui delegui. La responsable del sistema no pot ser la mateixa persona que el responsable del servei, la responsable de la seguretat TIC o el responsable de la informació. Són funcions de la persona responsable del sistema:

  • Gestionar el desenvolupament, l’operació i el manteniment dels sistemes d'informació durant tot el seu cicle de vida, les seves especificacions, la instal·lació i la verificació del seu correcte funcionament.
  • Definir la topologia dels sistemes d'informació, establint els criteris d'ús i els serveis disponibles.
  • Assegurar que s'apliquen els procediments operatius de seguretat elaborats i aprovats pel responsable de la seguretat TIC.
  • Acordar la suspensió de l’ús d'una certa informació o la prestació d'un cert servei si és informat de deficiències greus de seguretat que poguessin afectar a la satisfacció dels requisits establerts. Abans de ser executada, aquesta decisió ha de ser acordada amb els responsables de la informació i del servei afectats i amb el responsable de la seguretat TIC.
  • Monitoritzar l'estat de seguretat dels sistemes d'informació i reportar-ho periòdicament o en cas d’incidents de seguretat rellevants al responsable de la seguretat TIC.
  • Realitzar exercicis i proves periòdiques dels plans de continuïtat dels sistemes per mantenir-los actualitzats i verificar que són efectius, en coordinació amb el responsable de la seguretat TIC.
  • En cas d'ocurrència d'incidents de seguretat en la informació planificarà la implantació de les salvaguardes en els sistemes d’informació i executarà el pla de seguretat aprovat en coordinació amb el responsable de la seguretat TIC.

Es relacionen i regulen en annex altres rols i responsabilitats en la seguretat TIC.

Article 6. Comitè de seguretat TIC

1. El Comitè de seguretat TIC de la UPF es reunirà amb una periodicitat bianual, com a mínim, i estarà format per les persones següents:

  • El responsable del servei, que actuarà com a president.
  • El responsable de la informació.
  • El responsable de la seguretat TIC, que actuarà com a secretari.
  • El responsable del sistema.
  • El delegat o delegada de protecció de dades, amb veu però sense vot.

També podran assistir-hi altres persones, convidades pel president de l’òrgan en funció de l’ordre del dia de la sessió.

2. El Comitè de seguretat TIC té les funcions següents:

  • Coordinar la seguretat en la informació i dels serveis TIC de la UPF.
  • Fer el seguiment de la política de seguretat de la informació i proposar-ne modificacions al Consell de Govern si així ho estima necessari.
  • Valorar les propostes de creació o modificació de les normatives de seguretat TIC que li arribin i proposar-ne l’aprovació al Consell de Govern si així ho estima necessari.
  • Divulgar la política i les normatives de seguretat TIC de la UPF.
  • Supervisar les auditories de compliment de l’ENS.
  • Aprovar els procediments de gestió operativa i els documents que descriuen explícitament pas a pas com realitzar una certa activitat, a proposta del responsable de la seguretat TIC.

Article 7. Formació

1. L’oferta formativa de la UPF haurà d’incloure cursos de conscienciació i formació en seguretat, tant per al PDI com per al PAS, i haurà de tenir en compte tant la formació contínua com la formació del personal de nova incorporació.

La Universitat determinarà quina formació ha de ser obligatòria en funció del lloc de treball.

2. El Servei d’Informàtica ha de vetllar perquè el personal d’empreses contractistes i subcontractades que administrin infraestructures TIC de la Universitat conegui i apliqui tant les normatives de seguretat com els procediments de treball TIC de la Universitat.

Article 8. Implementació de la seguretat

1. Prevenció

La Universitat ha d’evitar o, com a mínim, prendre mesures per prevenir que la informació o els serveis siguin perjudicats per incidents de seguretat. Per això, s’han d’implementar, com a mínim, les mesures de seguretat que defineix l’ENS així com qualsevol altra millora que s’identifiqui durant una avaluació d’amenaces o qualsevol altre control. Aquests controls i els rols i les responsabilitats de seguretat de tot el personal han d’estar clarament definits i documentats.

Per tal de garantir el compliment de la present Política de seguretat de la informació:

  • S’ha de validar que els sistemes compleixen les mesures de seguretat abans que comencin a funcionar.
  • S’ha d’avaluar regularment la seguretat dels sistemes, incloent-hi avaluacions dels canvis de configuració que es fan de forma rutinària.
  • S’ha de sol·licitar que organismes o entitats independents els revisin periòdicament, amb la finalitat d’obtenir una avaluació independent.

2. Detecció i reacció

En relació a la detecció i reacció davant incidents de seguretat correspon al Servei d’Informàtica:

a) Monitoritzar de manera continuada el funcionament dels serveis TIC de la Universitat, per tal de detectar anomalies en els nivells de prestació de serveis i actuar-hi en conseqüència, tal com estableix l’article 7.3 de l’ENS.

b) Disposar de procediments de restauració de la informació i de recuperació del servei per poder fer front a situacions en què un incident de seguretat els inhabilita, tal com estableix l’article 7.4 de l’ENS.

c) Establir mecanismes per respondre eficaçment als incidents de seguretat i definir protocols per a l’intercanvi d’informació sobre els incidents amb els equips de resposta a emergències de seguretat (coneguts com CERT, Computer Emergency Response Team).

3. Gestió de la seguretat

3.1. Línies de defensa

Les infraestructures TIC han de comptar amb una estratègia de protecció constituïda per diverses capes de seguretat, que poden ser de naturalesa física, lògica o organitzativa, que permetin la minimització de l’impacte de possibles incidents de seguretat, tal i com estableix l’article 8 de l’ENS.

3.2. Anàlisi i gestió de riscos

L’anàlisi i la gestió de riscos són part essencial del procés de seguretat i s’han de mantenir-se actualitzades. La gestió de riscos permetrà el manteniment d’un entorn controlat, minimitzant-los fins a nivells admissibles.

S’ha de realitzar una anàlisi de riscos sobre les infraestructures TIC en què s’avaluïn les amenaces i els riscos als quals estan exposades. Aquesta anàlisi s’haurà de repetir quan es doni alguna de les circumstàncies següents:

  • Modificació en la informació que es tracta.
  • Canvi en els serveis prestats.
  • Existència d’un incident greu de seguretat.
  •  Detecció de vulnerabilitats greus.

4. Auditoria de compliment de l’ENS

Amb una periodicitat biennal la Universitat sotmetrà els sistemes sotmesos a l’àmbit d’aplicació de la present normativa a una auditoria de verificació del compliment de l’ENS, la qual serà coordinada pel responsable de la seguretat TIC.


El resultat de l’auditoria ha de ser presentat al Comitè de seguretat TIC, que podrà decidir mesures correctores per tal d’esmenar possibles deficiències o riscos excessius identificats durant el procés d’auditoria. Aquestes mesures correctores seran de compliment obligatori.

 

Annex. Altres rols i responsabilitats en la seguretat TIC

1. Persona administradora de la seguretat del sistema

La persona administradora de la seguretat del sistema és el responsable d’executar les mesures derivades de la gestió de la seguretat i d’aplicar les mesures a nivell tècnic.

Aquest rol ha de correspondre a personal d’administració i serveis de la Universitat amb responsabilitat tècnica sobre els sistemes d’informació que suporten els serveis de la Universitat.

Es pot designar una o diverses persones administradores de la seguretat del sistema ja sigui per a cadascun o per a tots els sistemes d’informació.

El rol no pot ser desenvolupat per un òrgan col·legiat ni la persona designada no pot delegar les seves funcions en altres persones. Si s’escau, es poden nomenar persones administradores de la seguretat segons el sistema d’informació.

Es designen les següents persones administradores per als sistemes d’informació que s’indiquen:

  • Seguretat dels sistemes d’informació relacionats amb les aplicacions, el rol correspon al cap de la Unitat de Desenvolupaments i Operacions.
  • Seguretat dels sistemes d’informació relacionats amb les infraestructures, el rol correspon al cap de la Unitat d’Infraestructures i Seguretat TIC.
  • Seguretat dels sistemes d’informació relacionats amb les estacions de treball, el rol correspon als caps de les unitats d’informàtica desplegades als campus.

Les seves funcions són les següents:

  • Implementar, gestionar i mantenir les mesures de seguretat aplicables als sistemes d'informació.
  • Assegurar que els controls de seguretat establerts són configurats correctament.
  • Assegurar que la traçabilitat, els logs i altres registres de seguretat requerits es troben habilitats i s'emmagatzemen amb la freqüència desitjada, d'acord amb la Política de seguretat establerta.
  • Aplicar als sistemes, als usuaris i en general a tots els actius, els procediments operatius de seguretat.
  • Supervisar les instal·lacions de maquinari i programari, les seves modificacions, les millores i les actualitzacions per assegurar que la seguretat no està compromesa.
  • Informar el responsable de la seguretat TIC i el responsable del sistema de qualsevol anomalia, compromís o vulnerabilitat relacionada amb la seguretat.
  • Monitoritzar l'estat de la seguretat del sistema.

En cas d'incidents de seguretat de la informació, han de:

  • Coordinar i supervisar el registre, i la gestió dels incidents de seguretat en els sistemes de la seva competència.
  • Executar el pla de seguretat aprovat.
  • Aïllar l'incident per evitar la propagació a elements aliens a la situació de risc.
  • Prendre decisions a curt termini si la informació s'ha vist compromesa de tal forma que pogués tenir conseqüències greus (aquestes actuacions hand'estar reflectides en un procediment documentat per reduir el marge de discrecionalitat de l'administrador de seguretat del sistema al mínim nombre de casos). Calque aquestes decisions siguin sempre reportades al responsable de la seguretat TIC i al responsable del sistema.
  • Assegurar la integritat dels elements crítics del sistema si se n’ha vist afectada la disponibilitat.
  • Mantenir i recuperar la informació emmagatzemada pel sistema i els seus serveis associats.
  • Investigar l'incident: Determinar la manera, els mitjans, els motius i l'origen de l'incident.

Compatibilitat amb altres rols

Aquest rol no pot coincidir amb el de responsable de la informació, amb el de responsable del servei ni amb el de responsable de la seguretat TIC.

Administradors delegats

En determinats sistemes d'informació en què, per la complexitat, la distribució, la separació física dels seus elements o el nombre d'usuaris, es necessiti personal addicional per dur a terme les seves funcions, es poden designar administradors delegats de la seguretat del sistema.

Els administradors delegats de la seguretat del sistema són responsables, en el seu àmbit, d'aquelles accions que delegui l'administrador de seguretat del sistema que estiguin relacionades amb la implantació, la gestió i el manteniment de les mesures de seguretat aplicables al sistema d'informació.

Els administradors delegats de la seguretat del sistema són designats a proposta de l'administrador de seguretat del sistema, del qual dependran funcionalment.

2. Delegat o delegada de Protecció de Dades (DPD)

En l’àmbit de l’Esquema Nacional de Seguretat, les funcions del delegat de Protecció de Dades són: són les que determinades a l’art. 39 del Reglament (UE) 2016/679 General de Protecció de Dades i, de conformitat amb l’Esquema Nacional de Seguretat són:

  • Supervisar el compliment de la legislació vigent en la protecció de dades de caràcter personal
  • Assessorar al responsable o encarregat del tractament en l’elaboració de les anàlisi de riscos i avaluacions d’impacte relatives a la protecció de dades que determinen els risc i el nivell de seguretat a aplicar en els sistemes d’informació.
  • Actuar com a punt de contacte per als interessats en tot el que tingui relació amb el tractament de les dades personals.

3. Empleats

Els empleats són responsables de custodiar degudament la informació i els recursos tècnics assignats.

4. Personal de les empreses contractistes i subcontractades

El personal  de les empreses contractistes i subcontractades ha de complir les normatives de la Universitat quan treballi a les instal·lacions de la Universitat o accedeixi als seus sistemes d’informació, i ha d’aplicar els requisits de configuració i de seguretat especificats en la contractació del servei.

5. Jerarquia en el procés de presa de decisions i mecanismes de coordinació

Els diferents rols de seguretat de la informació tenen jerarquia entre sí. El Comitè de seguretat TIC determina les accions a realitzar en matèria de seguretat. La persona responsable de la seguretat TIC és l'encarregada de vetllar pel seu compliment, supervisant que les persones administradores de la seguretat del sistema implementin les mesures de seguretat segons el que està establert a la Política de seguretat de la informació.

La persona administradora de la seguretat del sistema reporta a la persona responsable del sistema incidents relatius a la seguretat del sistema i accions de configuració, actualització o correcció necessàries.

El responsable del sistema informa al responsable de la seguretat TIC dels problemes i de les necessitats funcionals detectades així com del possible impacte, incloent:

  • Actuacions en matèria de seguretat, en particular pel que fa a decisions d'arquitectura del sistema.
  • Resum consolidat dels incidents de seguretat.
  • Eficàcia de les mesures de protecció que s'han d'implantar.
  • El responsable de la seguretat TIC informa el responsable de la informació de les decisions i els incidents en matèria de seguretat que afectin la informació de la seva competència, en particular de l'estimació de risc residual i de les desviacions significatives de risc respecte als marges aprovats.
  • El responsable de la seguretat TIC informa el responsable del servei de les decisions i dels incidents en matèria de seguretat que afectin al servei que li competeix, en particular de l'estimació de risc residual i de les desviacions significatives de risc respecte als marges aprovats.

El responsable de la seguretat TIC reporta al Comitè de seguretat TIC la següent informació:

  • Resum consolidat d'actuacions en matèria de seguretat TIC.
  • Resum consolidat d'incidents relatius a la seguretat de la informació.
  • Estat de la seguretat dels sistemes d’informació, en particular del risc residual al qual el sistema està exposat. S’entén com a risc residual aquell que, avaluat en base a l’estimació de risc inicial, resti vigent després de l’aplicació de mesures de seguretat als sistemes.