Política de seguretat en la informació
Las TIC son un elemento esencial para la consecución de estos objetivos. Tienen que ser administradas con diligencia y deben tomarse, en todo momento, las medidas de protección adecuadas para garantizar la disponibilidad de los servicios; la integridad, la confidencialidad y la autenticidad de la información tratada; y la trazabilidad de los trámites realizados.
La Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público dispone en su artículo 156.2 que el Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad de la utilización de medios electrónicos en el ámbito de esta misma ley y que está constituido por los principios básicos y por los requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), en el artículo 12 determina que todos los órganos superiores de las administraciones públicas deben disponer formalmente de una política propia de seguridad de la información que articule la gestión continuada de la seguridad y que esta política se establecerá de acuerdo con los requisitos mínimos especificados.
Artículo 1. Objeto
Establecer una política de seguridad de la información que articule la gestión continuada de la seguridad, entendida como la capacidad de los sistemas informáticos de prevenir los incidentes malintencionados que puedan comprometer la disponibilidad, autenticidad, integridad, trazabilidad y confidencialidad de los sistemas de información.
Artículo 2. Ámbito de aplicación
Esta normativa, así como las normas y procedimientos que la desarrollan, son de obligado cumplimiento por parte de los miembros de la comunidad universitaria, de cualquier persona que sea usuaria de los sistemas de información de la Universidad, así como de las empresas externas que presten servicios en la Universidad, incluyendo tanto las empresas contratistas como las subcontratadas.
Asimismo, son de aplicación en todas las instalaciones de la Universidad y en todos los dispositivos que se utilicen para acceder a sus sistemas de información.
Artículo 3. Misión de la Universidad
El artículo 177.2 de los Estatutos de la Universidad especifica que la administración de la Universidad debe fomentar el desarrollo de las infraestructuras y de los recursos necesarios para la aplicación de
las tecnologías de la información y la comunicación (TIC) y debe asegurar el derecho de acceso de los ciudadanos a sus servicios por medios telemáticos con plenas garantías jurídicas y de seguridad. Debe promover la gestión del conocimiento y el acceso a la información de acuerdo con los principios de proximidad, transparencia y agilidad.
El Plan Estratégico 2016-2025 define como misión de la Universidad:
- Formar, mediante un modelo educativo riguroso, innovador y personalizado, personas con sólidos conocimientos científicos y culturales, competencias transversales adecuadas para adaptarse a los cambios y retos de la sociedad, y capacidades para desarrollar sus proyectos de vida.
- Convertirse en una universidad de investigación preeminente.
- Promover la innovación y la transformación social.
- Impulsar el compromiso con la cultura.
Artículo 4. Marco legal
El marco legal de la Política de seguridad de la información está formado por el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, y la presente normativa, que establece:
a) La Política de seguridad en la información, que establece los requisitos y los criterios de seguridad TIC en el ámbito de la Universidad
b) El control de acceso a los sistemas de información
c) La seguridad en los centros de procesamiento de datos
d) La gestión de incidencias de seguridad TIC
De acuerdo con la disposición adicional segunda del citado Real Decreto 311/2022, el Centro Criptológico Nacional (CCN) elabora guías de seguridad de las tecnologías de la información y la comunicación (guías CCN-STIC) que, a su vez, deben incorporarse al conjunto documental utilizado para la realización de las auditorías de seguridad. Uno de los requerimientos de estas guías CCN-STIC prevé la aprobación de un cuerpo normativo en tres niveles: un primer nivel constituido por la presente Política de Seguridad de la Información; un segundo nivel formado por las normas derivadas de lo anterior, que deben ser aprobadas por Consejo de Gobierno a propuesta del Comité de seguridad TIC y un tercer nivel constituido por procedimientos, guías e instrucciones técnicas.
Dentro del tercer nivel, los procedimientos de gestión operativa y los documentos que describen explícitamente paso a paso cómo realizar una cierta actividad, son aprobados por el Comité de seguridad TIC a propuesta del responsable de la seguridad TIC; y las instrucciones técnicas propias del Servicio de Informática son aprobadas por el responsable del sistema.
A su vez, este marco legal se complementa con las normas de la Universidad sobre administración electrónica y protección de datos personales, de modo que estos bloques normativos se tendrán que aplicar e interpretar de forma integrada.
Cuando la Universidad presta servicios TIC a otras instituciones u organismos, el Servicio de Informática debe hacerlos partícipes de la política de seguridad de la información y de otras normativas TIC asociadas y establecer canales de coordinación y procedimientos de actuación para reaccionar adecuadamente en caso de posibles incidentes de seguridad.
Cuando la Universidad utilice servicios TIC de otras instituciones, organismos o empresas o les ceda información, sea mediante la contratación de servicios, la colaboración o cualquier otra relación que no tenga carácter contractual, los hará partícipes de la política y de la normativa de seguridad referidas en estos servicios y esta información. Esta institución, organismo o empresa quedará sujeta a las obligaciones establecidas en la citada normativa y podrá desarrollar procedimientos operativos propios para cumplirla. Se deben establecer procedimientos específicos para reportar y resolver incidencias. Debe garantizarse que su personal está concienciado adecuadamente en materia de seguridad, al menos al mismo nivel que lo establecido en esta política. Cuando la institución, organismo o empresa no pueda satisfacer algún aspecto de esta política, según lo establecido en los párrafos anteriores, el responsable de la seguridad debe elaborar un informe en el que especifique los riesgos a los que está expuesta y la forma de tratarlos. Los responsables de la información y de los servicios afectados deben aprobar este informe para poder utilizar los servicios.
Artículo 5. Estructura de responsabilidades
1. La persona responsable de la información, a efectos del ENS, es el secretario o secretaria general de la UPF o la persona en quien delegue. Son funciones del responsable de la información:
- Establecer los requisitos de la información tratada en materia de seguridad en la información.
- Trabajar en colaboración con los responsables de la seguridad y del sistema en el mantenimiento de los sistemas catalogados según el Anexo I del ENS.
- Cualquier otra función que le otorgue el ENS o la legislación vigente.
2. La persona responsable del servicio, a efectos del ENS, es el/la gerente de la UPF o la persona en quien delegue. Son funciones del responsable del servicio:
- Establecer los requisitos de los servicios prestados en materia de seguridad TIC.
- Trabajar en colaboración con los responsables de la seguridad y del sistema en el mantenimiento de los sistemas catalogados según el Anexo I del ENS.
- Velar por la inclusión de cláusulas sobre seguridad en los contratos con otras instituciones u organismos y que se cumplan.
- Cualquier otra función que le otorgue el ENS o la legislación vigente.
3. La persona responsable de la seguridad TIC, a efectos del ENS, es el/la vicegerente de la Universidad competente en tecnologías de la información y la comunicación o la persona en quien delegue. El responsable de seguridad TIC no puede ser la misma persona que el responsable del servicio, ni el responsable de la información, ni el responsable del sistema. Son funciones del responsable de la seguridad TIC:
- Determinar las decisiones para satisfacer los requisitos de seguridad tanto de la información como de los servicios.
- Mantener la seguridad de la información que almacenan y procesan las infraestructuras TIC de la UPF y los servicios que prestan.
- Realizar o promover las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones de la UPF en materia de seguridad.
- Promover la formación y concienciación del personal TIC dentro de su ámbito de responsabilidad.
- Verificar que las medidas de seguridad establecidas son adecuadas para la protección de la información de que se trata y los servicios que se prestan.
- Analizar y completar la documentación relacionada con la seguridad de los sistemas.
- Monitorizar el estado de seguridad de los sistemas proporcionado por las herramientas de gestión de eventos de seguridad y los mecanismos de auditoría implementados en los sistemas.
- Apoyar la investigación de los incidentes de seguridad, desde su notificación hasta su resolución, y supervisarla.
- Elaborar los informes periódicos de seguridad, que incluirán los incidentes más relevantes del período.
- Aprobar los procedimientos de seguridad de los sistemas TIC de la Universidad.
- Proponer actualizaciones de las normativas de seguridad TIC de la UPF.
El responsable del sistema, a efectos del ENS, es el jefe del Servicio de Informática de la UPF o la persona en quien delegue. El/la responsable del sistema no puede ser la misma persona que el responsable del servicio, el/la responsable de la seguridad TIC o el/la responsable de la información. Son funciones de la persona responsable del sistema:
- Gestionar el desarrollo, la operación y el mantenimiento de los sistemas de información durante todo su ciclo de vida, sus especificaciones, instalación y verificación de su correcto funcionamiento.
- Definir la topología de los sistemas de información, estableciendo los criterios de uso y servicios disponibles.
- Asegurar que se aplican los procedimientos operativos de seguridad elaborados y aprobados por el responsable de la seguridad TIC.
- Acordar la suspensión del uso de cierta información o la prestación de cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Antes de ser ejecutada, esta decisión debe ser acordada con los responsables de la información y el servicio afectados y con el responsable de la seguridad TIC.
- Monitorizar el estado de seguridad de los sistemas de información y reportarlo periódicamente o en caso de incidentes de seguridad relevantes al responsable de la seguridad TIC.
- Realizar ejercicios y pruebas periódicas de los planes de continuidad de los sistemas para mantenerlos actualizados y verificar su efectividad, en coordinación con el responsable de la seguridad TIC.
- En caso de ocurrir incidentes de seguridad en la información, planificará la implantación de las salvaguardas en los sistemas de información y ejecutará el plan de seguridad aprobado en coordinación con el responsable de la seguridad TIC.
Se relacionan y regulan en el anexo otros roles y responsabilidades en la seguridad TIC.
Artículo 6. Comité de seguridad TIC
1. El Comité de seguridad TIC de la UPF se reunirá con una periodicidad bianual, como mínimo, y estará formado por las siguientes personas:
- El responsable del servicio, que actuará como presidente.
- El responsable de la información.
- El responsable de la seguridad TIC, que actuará como secretario.
- El responsable del sistema.
- El delegado o delegada de protección de datos, con voz pero sin voto.
También podrán asistir otras personas, invitadas por el presidente del órgano en función del orden del día de la sesión.
2. El Comité de seguridad TIC tiene las siguientes funciones:
- Coordinar la seguridad en la información y los servicios TIC de la UPF.
- Realizar el seguimiento de la política de seguridad de la información y proponer modificaciones al Consejo de Gobierno si así lo estima necesario.
- Valorar las propuestas de creación o modificación de las normativas de seguridad TIC que le lleguen y proponer su aprobación al Consejo de Gobierno si así lo estima necesario.
- Divulgar la política y normativas de seguridad TIC de la UPF.
- Supervisar las auditorías de cumplimiento del ENS.
- Aprobar los procedimientos de gestión operativa y los documentos que describen explícitamente paso a paso cómo realizar una cierta actividad, a propuesta del responsable de la seguridad TIC.
Artículo 7. Formación
1. La oferta formativa de la UPF deberá incluir cursos de concienciación y formación en seguridad, tanto para el PDI como para el PAS, y tendrá que tener en cuenta tanto la formación continua como la formación del personal de nueva incorporación.
La Universidad determinará qué formación debe ser obligatoria en función del puesto de trabajo.
2. El Servicio de Informática debe velar para que el personal de empresas contratistas y subcontratadas que administren infraestructuras TIC de la Universidad conozca y aplique tanto las normativas de seguridad como los procedimientos de trabajo TIC de la Universidad.
Artículo 8. Implementación de la seguridad
1. Prevención
La Universidad debe evitar o, como mínimo, tomar medidas para prevenir que la información o los servicios sean perjudicados por incidentes de seguridad.
Con el fin de garantizar el cumplimiento de la presente Política de seguridad de la información:
• Se debe validar que los sistemas cumplen las medidas de seguridad antes de que empiecen a funcionar.
• Se debe evaluar regularmente la seguridad de los sistemas, incluyendo evaluaciones de los cambios de configuración que se realizan de forma rutinaria.
• Se debe solicitar que organismos o entidades independientes los revisen periódicamente, con el fin de obtener una evaluación independiente.
2. Detección y reacción
En relación con la detección y reacción ante incidentes de seguridad, corresponde al Servicio de Informática:
a) Monitorizar de forma continuada el funcionamiento de los servicios TIC de la Universidad, con el fin de detectar anomalías en los niveles de prestación de servicios y actuar en consecuencia, tal como establece el artículo 7.3 del ENS.
b) Disponer de procedimientos de restauración de la información y de recuperación del servicio para poder hacer frente a situaciones en las que un incidente de seguridad los inhabilita, tal como establece el artículo 7.4 del ENS.
c) Establecer mecanismos para responder eficazmente a los incidentes de seguridad y definir protocolos para el intercambio de información sobre los incidentes con los equipos de respuesta a emergencias de seguridad (conocidos como CERT, Computer Emergency Response Team).
3. Gestión de la seguridad
3.1. Líneas de defensa
Las infraestructuras TIC deben contar con una estrategia de protección constituida por diversas capas de seguridad, que pueden ser de naturaleza física, lógica u organizativa, que permitan la minimización del impacto de posibles incidentes de seguridad, tal como establece el artículo 8 del ENS.
3.2. Análisis y gestión de riesgos
- El análisis y gestión de riesgos son parte esencial del proceso de seguridad y deben mantenerse actualizadas. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizándolos hasta niveles admisibles.
- Se debe realizar un análisis de riesgos sobre las infraestructuras TIC en las que se evalúen las amenazas y los riesgos a los que están expuestas. Este análisis deberá repetirse cuando se dé alguna de las siguientes circunstancias:
- Modificación en la información de que se trata.
- Cambio en los servicios prestados.
- Existencia de un incidente grave de seguridad.
- Detección de vulnerabilidades graves.
4. Auditoría de cumplimiento del ENS
Con una periodicidad bienal la Universidad someterá los sistemas sometidos al ámbito de aplicación de la presente normativa a una auditoría de verificación del cumplimiento del ENS, que será coordinada por el responsable de la seguridad TIC.
El resultado de la auditoría debe ser presentado en el Comité de seguridad TIC, que podrá decidir medidas correctoras para subsanar posibles deficiencias o riesgos excesivos identificados durante el proceso de auditoría. Estas medidas correctoras serán de obligado cumplimiento.
Anexo. Otros roles y responsabilidades en la seguridad TIC
1. Persona administradora de la seguridad del sistema
La persona administradora de la seguridad del sistema es el responsable de ejecutar las medidas derivadas de la gestión de la seguridad y aplicar las medidas a nivel técnico.
Este rol debe corresponder a personal de administración y servicios de la Universidad con responsabilidad técnica sobre los sistemas de información que soportan los servicios de la Universidad.
Se puede designar a una o varias personas administradoras de la seguridad del sistema, ya sea para cada uno o para todos los sistemas de información.
El rol no puede ser desarrollado por un órgano colegiado ni la persona designada puede delegar sus funciones en otras personas.
Se designan a las siguientes personas administradoras para los sistemas de información que se indican:
- Seguridad de los sistemas de información relacionados con las aplicaciones, el rol corresponde al jefe de la Unidad de Desarrollos y Operaciones.
- Seguridad de los sistemas de información relacionados con las infraestructuras, el rol corresponde al jefe de la Unidad de Infraestructuras y Seguridad TIC.
- Seguridad de los sistemas de información relacionados con las estaciones de trabajo, el rol corresponde a los jefes de las unidades de informática desplegadas en los campus.
Sus funciones son las siguientes:
- Implementar, gestionar y mantener las medidas de seguridad aplicables a los sistemas de información.
- Asegurar que los controles de seguridad establecidos son correctamente configurados.
- Asegurar que la trazabilidad, los logs y otros registros de seguridad requeridos se encuentran habilitados y se almacenan con la frecuencia deseada, de acuerdo con la Política de seguridad establecida.
- Aplicar a los sistemas, usuarios, y en general a todos los activos, los procedimientos operativos de seguridad.
- Supervisar las instalaciones de hardware y software, sus modificaciones, mejoras y actualizaciones para asegurar que la seguridad no está comprometida.
- Informar al responsable de la seguridad TIC y al responsable del sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
- Monitorizar el estado de la seguridad del sistema.
En caso de incidentes de seguridad de la información, deben:
• Coordinar y supervisar el registro, y la gestión de los incidentes de seguridad en los sistemas de su competencia.
• Ejecutar el plan de seguridad aprobado.
• Aislar el incidente para evitar la propagación a elementos ajenos a la situación de riesgo.
• Tomar decisiones a corto plazo si la información se ha visto comprometida de tal manera que pudiera tener consecuencias graves (estas actuaciones deben estar reflejadas en un procedimiento documentado para reducir el margen de discrecionalidad del administrador de seguridad del sistema al mínimo número de casos). Es necesario que estas decisiones sean siempre reportadas al responsable de la seguridad TIC y al responsable del sistema.
• Asegurar la integridad de los elementos críticos del sistema si se ha visto afectada su disponibilidad.
• Mantener y recuperar la información almacenada por el sistema y sus servicios asociados.
• Investigar el incidente: determinar la forma, los medios, los motivos y el origen del incidente
Compatibilidad con otros roles
Este rol no puede coincidir con el de responsable de la información, con el de responsable del servicio ni con el de responsable de la seguridad TIC.
Administradores delegados
En determinados sistemas de información en los que, por la complejidad, distribución, separación física de sus elementos o número de usuarios, se necesite personal adicional para llevar a cabo sus funciones, podrán designarse administradores delegados de la seguridad del sistema.
Los administradores delegados de la seguridad del sistema son responsables, en su ámbito, de aquellas acciones que delegue el administrador de seguridad del sistema que estén relacionadas con la implantación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.
Los administradores delegados de la seguridad del sistema son designados a propuesta del administrador de seguridad del sistema, del cual dependerán funcionalmente.
2. Delegado o delegada de Protección de Datos (DPD)
En el ámbito del Esquema Nacional de Seguridad, las funciones del delegado de Protección de Datos son: las determinadas en el art. 39 del Reglamento (UE) 2016/679 General de Protección de Datos y de conformidad con el Esquema Nacional de Seguridad son:
- Supervisar el cumplimiento de la legislación vigente en la protección de datos de carácter personal.
- Asesorar al responsable o encargado del tratamiento en la elaboración de los análisis de riesgos y evaluaciones de impacto relativas a la protección de datos que determinen los riesgos y el nivel de seguridad que deban aplicarse en los sistemas de información.
- Actuar como punto de contacto para los interesados en todo lo relacionado con el tratamiento de los datos personales.
3. Empleados
Los empleados son responsables de custodiar debidamente la información y los recursos técnicos asignados.
4. Personal de las empresas contratistas y subcontratadas
El personal de las empresas contratistas y subcontratadas debe cumplir las normativas de la Universidad cuando trabaje en las instalaciones de la Universidad o acceda a sus sistemas de información, y debe aplicar los requisitos de configuración y de seguridad especificados en la contratación del servicio.
5. Jerarquía en el proceso de toma de decisiones y mecanismos de coordinación
Los distintos roles de seguridad de la información tienen jerarquía entre sí. El Comité de seguridad TIC determina las acciones a realizar en materia de seguridad. La persona responsable de la seguridad TIC es la encargada de velar por su cumplimiento, supervisando que las personas administradoras de la seguridad del sistema implementen las medidas de seguridad según lo establecido en la Política de seguridad de la información.
La persona administradora de la seguridad del sistema reporta a los responsables del sistema incidentes relativos a la seguridad del sistema y acciones de configuración, actualización o corrección necesarias.
El responsable del sistema informa al responsable de la seguridad TIC de los problemas y necesidades funcionales detectadas así como del posible impacto, incluyendo:
- Actuaciones en materia de seguridad, en particular en lo que se refiere a decisiones de arquitectura del sistema.
- Resumen consolidado de los incidentes de seguridad.
- Eficacia de las medidas de protección a implantar.
- El responsable de la seguridad TIC informa al responsable de la información de las decisiones y los incidentes en materia de seguridad que afecten a la información de su competencia, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto a los márgenes aprobados.
- El responsable de la seguridad TIC informa al responsable del servicio de las decisiones y de los incidentes en materia de seguridad que afecten al servicio que le compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto a los márgenes aprobados.
El responsable de la seguridad TIC reporta al Comité de seguridad TIC la siguiente información:
- Resumen consolidado de actuaciones en materia de seguridad TIC.
- Resumen consolidado de incidentes relativos a la seguridad de la información.
- Estado de la seguridad de los sistemas de información, en particular del riesgo residual al que el sistema está expuesto. Se entiende como riesgo residual aquel que, evaluado en base a la estimación de riesgo inicial, quede vigente después de la aplicación de medidas de seguridad a los sistemas.