Diferencia entre revisiones de «Política de Seguridad de la Información»
(No se muestran 6 ediciones intermedias de 3 usuarios) | |||
Línea 1: | Línea 1: | ||
+ | [[Categoría:Normativa/Recomendación]] | ||
[[Image:Escudo2.png|left|Escudo2.png]] | [[Image:Escudo2.png|left|Escudo2.png]] | ||
Línea 8: | Línea 9: | ||
− | <p style="text-align: center"><span style="font-size: | + | <p style="text-align: center">'''<span style="font-size:22px">POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN</span>'''</p> |
<br/><br/><br/>'''1. ENTRADA EN VIGOR''' | <br/><br/><br/>'''1. ENTRADA EN VIGOR''' | ||
Línea 61: | Línea 62: | ||
La UPCT debe: | La UPCT debe: | ||
− | • Establecer mecanismos para responder eficazmente a los incidentes de seguridad. | + | :• Establecer mecanismos para responder eficazmente a los incidentes de seguridad. |
− | • Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en áreas de la entidad o en otros organismos relacionados con la UPCT. | + | :• Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en áreas de la entidad o en otros organismos relacionados con la UPCT. |
− | • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT) reconocidos a nivel nacional: Iris‐CERT, CCN‐ CERT,… | + | :• Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT) reconocidos a nivel nacional: Iris‐CERT, CCN‐ CERT,… |
<br/>'''2.4. RECUPERACIÓN''' | <br/>'''2.4. RECUPERACIÓN''' | ||
Línea 89: | Línea 90: | ||
•'''Servicio ERP:''' | •'''Servicio ERP:''' | ||
− | + | :• Gestión Académica | |
− | + | :• Gestión Económica | |
− | + | :• Gestión de RRHH | |
− | + | :• Gestión de la Investigación | |
− | + | :• Registro Presencial | |
− | + | :• Gestión de Formación Interna | |
− | + | :• Gestión de Ayudas Sociales | |
− | + | :• Campus Virtual | |
Línea 109: | Línea 110: | ||
'''• Servicio de Administración Electrónica:''' | '''• Servicio de Administración Electrónica:''' | ||
− | + | :• Sede o Tablón Oficial | |
− | + | :• Portafirmas o Registro Telemático y Plataforma de Tramitación | |
− | + | :• Factura Electrónica | |
Línea 121: | Línea 122: | ||
Adicionalmente y aún entendiéndose que los siguientes servicios no se encuentran directamente en el alcance marcado por el Esquema Nacional de Seguridad, debido a su importancia en la comunidad universitaria, se acuerda extender el alcance a los siguientes servicios de la UPCT: | Adicionalmente y aún entendiéndose que los siguientes servicios no se encuentran directamente en el alcance marcado por el Esquema Nacional de Seguridad, debido a su importancia en la comunidad universitaria, se acuerda extender el alcance a los siguientes servicios de la UPCT: | ||
− | • Servicio de Docencia Virtual | + | :• Servicio de Docencia Virtual |
− | • Servicio de Web Institucional | + | :• Servicio de Web Institucional |
Línea 133: | Línea 134: | ||
Esta política se sitúa dentro del marco jurídico definido por las leyes y Reales Decretos siguientes: | Esta política se sitúa dentro del marco jurídico definido por las leyes y Reales Decretos siguientes: | ||
− | • Ley Orgánica de Universidades (6/2001) y Ley Orgánica de modificación de la L.O.U. (4/2007). | + | :• Ley Orgánica de Universidades (6/2001) y Ley Orgánica de modificación de la L.O.U. (4/2007). |
− | • Esquema Nacional de Seguridad (RD 3/2010) | + | :• Esquema Nacional de Seguridad (RD 3/2010) |
− | • Ley de acceso electrónico de los ciudadanos a los servicios públicos (11/2007). | + | :• Ley de acceso electrónico de los ciudadanos a los servicios públicos (11/2007). |
− | • Ley Orgánica de Protección de Datos (15/1999) y Reglamento de desarrollo de la Ley Orgánica (RD 1720/2007) | + | :• Ley Orgánica de Protección de Datos (15/1999) y Reglamento de desarrollo de la Ley Orgánica (RD 1720/2007) |
− | • Ley de Servicios de la Sociedad de la Información (de 12 de octubre de 2002) | + | :• Ley de Servicios de la Sociedad de la Información (de 12 de octubre de 2002) |
Línea 151: | Línea 152: | ||
<br/>El Comité de Seguridad TIC estará formado por: | <br/>El Comité de Seguridad TIC estará formado por: | ||
− | - Vicerrector/a de Nuevas Tecnologías | + | :- Vicerrector/a de Nuevas Tecnologías |
− | - Jefe/a de la Unidad de Informática | + | :- Jefe/a de la Unidad de Informática |
− | - 2 miembros de la comisión de Nuevas Tecnologías. | + | :- 2 miembros de la comisión de Nuevas Tecnologías. |
− | - 1 técnico de la Unidad de Informática | + | :- 1 técnico de la Unidad de Informática |
Línea 169: | Línea 170: | ||
El Comité de Seguridad TIC tendrá las siguientes funciones: | El Comité de Seguridad TIC tendrá las siguientes funciones: | ||
− | • Divulgación de la política y normativa de seguridad de la UPCT. | + | :• Divulgación de la política y normativa de seguridad de la UPCT. |
− | • Aprobación de la normativa de seguridad de la UPCT. | + | :• Aprobación de la normativa de seguridad de la UPCT. |
− | • Revisión anual de la política de seguridad. | + | :• Revisión anual de la política de seguridad. |
− | • Desarrollo del procedimiento de designación de roles. | + | :• Desarrollo del procedimiento de designación de roles. |
− | • Designación de roles y responsabilidades. | + | :• Designación de roles y responsabilidades. |
− | • Supervisión y aprobación de las tareas de seguimiento del Esquema Nacional de Seguridad: | + | :• Supervisión y aprobación de las tareas de seguimiento del Esquema Nacional de Seguridad: |
− | + | ::• Tareas de adecuación | |
− | + | ::• Análisis de Riesgos | |
− | + | ::• Auditoría Bienal | |
Línea 195: | Línea 196: | ||
El Responsable de la Información de la UPCT tendrá las siguientes funciones: | El Responsable de la Información de la UPCT tendrá las siguientes funciones: | ||
− | • Establecimiento de los requisitos de la información en materia de seguridad. | + | :• Establecimiento de los requisitos de la información en materia de seguridad. |
− | • Trabajo en colaboración con el responsable de seguridad y el del Sistema en el mantenimiento de los sistemas catalogados según el Anexo I del Esquema Nacional de Seguridad. | + | :• Trabajo en colaboración con el responsable de seguridad y el del Sistema en el mantenimiento de los sistemas catalogados según el Anexo I del Esquema Nacional de Seguridad. |
Línea 205: | Línea 206: | ||
El Responsable de los Servicios TIC de la UPCT tendrá las siguientes funciones: | El Responsable de los Servicios TIC de la UPCT tendrá las siguientes funciones: | ||
− | • Establecimiento de los requisitos de los servicios TIC en materia de seguridad. | + | :• Establecimiento de los requisitos de los servicios TIC en materia de seguridad. |
− | • Trabajo en colaboración con el Responsable de Seguridad y el de sistema en el mantenimiento de los sistemas catalogados según el Anexo I del Esquema Nacional de Seguridad. | + | :• Trabajo en colaboración con el Responsable de Seguridad y el de sistema en el mantenimiento de los sistemas catalogados según el Anexo I del Esquema Nacional de Seguridad. |
− | • Velar por la inclusión de cláusulas sobre seguridad en los contratos con terceras partes y por su cumplimiento. | + | :• Velar por la inclusión de cláusulas sobre seguridad en los contratos con terceras partes y por su cumplimiento. |
Línea 217: | Línea 218: | ||
El Responsable de Seguridad de la UPCT tendrá las siguientes funciones: | El Responsable de Seguridad de la UPCT tendrá las siguientes funciones: | ||
− | • Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas TIC en su ámbito de responsabilidad. | + | :• Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas TIC en su ámbito de responsabilidad. |
− | • Realizar o promover las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad. | + | :• Realizar o promover las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad. |
− | • Promover la formación y concienciación de la Unidad de Informática dentro de su ámbito de responsabilidad. | + | :• Promover la formación y concienciación de la Unidad de Informática dentro de su ámbito de responsabilidad. |
− | • Verificar que las medidas de seguridad establecidas son adecuadas para la protección de la información manejada y los servicios prestados. | + | :• Verificar que las medidas de seguridad establecidas son adecuadas para la protección de la información manejada y los servicios prestados. |
− | • Analizar, completar y aprobar toda la documentación relacionada con la seguridad del sistema. | + | :• Analizar, completar y aprobar toda la documentación relacionada con la seguridad del sistema. |
− | • Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema. | + | :• Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema. |
− | • Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución. | + | :• Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución. |
− | • Elaborar el informe periódico de seguridad para el propietario del sistema, incluyendo los incidentes más relevantes del periodo. | + | :• Elaborar el informe periódico de seguridad para el propietario del sistema, incluyendo los incidentes más relevantes del periodo. |
− | • Aprobación de los procedimientos de seguridad elaborados por el Responsable del Sistema. | + | :• Aprobación de los procedimientos de seguridad elaborados por el Responsable del Sistema. |
− | • Elaboración de la normativa de seguridad de la entidad. | + | :• Elaboración de la normativa de seguridad de la entidad. |
Línea 243: | Línea 244: | ||
El Responsable del Sistema de la UPCT tendrá, dentro de sus áreas de actuación, las siguientes funciones: | El Responsable del Sistema de la UPCT tendrá, dentro de sus áreas de actuación, las siguientes funciones: | ||
− | • Desarrollar, operar y mantener el Sistema durante todo su ciclo de vida, incluyendo las especificaciones, instalación y verificación de su correcto funcionamiento. | + | :• Desarrollar, operar y mantener el Sistema durante todo su ciclo de vida, incluyendo las especificaciones, instalación y verificación de su correcto funcionamiento. |
− | • Definir la topología y los procedimientos de gestión del Sistema estableciendo los criterios de uso y los servicios disponibles en el mismo. | + | :• Definir la topología y los procedimientos de gestión del Sistema estableciendo los criterios de uso y los servicios disponibles en el mismo. |
− | • Definir la política de conexión o desconexión de equipos y usuarios nuevos en el Sistema. | + | :• Definir la política de conexión o desconexión de equipos y usuarios nuevos en el Sistema. |
− | • Aprobar los cambios que afecten a la seguridad del modo de operación del Sistema. | + | :• Aprobar los cambios que afecten a la seguridad del modo de operación del Sistema. |
− | • Decidir las medidas de seguridad que aplicarán los suministradores de componentes del Sistema durante las etapas de desarrollo, instalación y prueba del mismo. | + | :• Decidir las medidas de seguridad que aplicarán los suministradores de componentes del Sistema durante las etapas de desarrollo, instalación y prueba del mismo. |
− | • Implantar y controlar las medidas específicas de seguridad del Sistema y cerciorarse de que éstas se integren adecuadamente dentro del marco general de seguridad. | + | :• Implantar y controlar las medidas específicas de seguridad del Sistema y cerciorarse de que éstas se integren adecuadamente dentro del marco general de seguridad. |
− | • Determinar la configuración autorizada de hardware y software a utilizar en el Sistema. | + | :• Determinar la configuración autorizada de hardware y software a utilizar en el Sistema. |
− | • Aprobar toda modificación sustancial de la configuración de cualquier elemento del Sistema. | + | :• Aprobar toda modificación sustancial de la configuración de cualquier elemento del Sistema. |
− | • Llevar a cabo el preceptivo proceso de análisis y gestión de riesgos en el Sistema. | + | :• Llevar a cabo el preceptivo proceso de análisis y gestión de riesgos en el Sistema. |
− | • Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarse según se describe en el Anexo II del ENS. | + | :• Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarse según se describe en el Anexo II del ENS. |
− | • Elaborar la documentación de seguridad del Sistema. | + | :• Elaborar la documentación de seguridad del Sistema. |
− | • Delimitar las responsabilidades de cada entidad involucrada en el mantenimiento, explotación, implantación y supervisión del Sistema. | + | :• Delimitar las responsabilidades de cada entidad involucrada en el mantenimiento, explotación, implantación y supervisión del Sistema. |
− | • Velar por el cumplimiento de las obligaciones del Administrador de Seguridad del Sistema (ASS). | + | :• Velar por el cumplimiento de las obligaciones del Administrador de Seguridad del Sistema (ASS). |
− | • Investigar los incidentes de seguridad que afecten al Sistema, y en su caso, comunicación al Responsable de Seguridad o a quién éste determine. | + | :• Investigar los incidentes de seguridad que afecten al Sistema, y en su caso, comunicación al Responsable de Seguridad o a quién éste determine. |
− | • Establecer planes de contingencia y emergencia, llevando a cabo frecuentes ejercicios para que el personal se familiarice con ellos. | + | :• Establecer planes de contingencia y emergencia, llevando a cabo frecuentes ejercicios para que el personal se familiarice con ellos. |
− | • Además, el responsable del sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el responsable de seguridad, antes de ser ejecutada. | + | :• Además, el responsable del sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el responsable de seguridad, antes de ser ejecutada. |
− | • Elaboración de los procedimientos de seguridad necesarios para la operativa en el sistema. | + | :• Elaboración de los procedimientos de seguridad necesarios para la operativa en el sistema. |
Línea 309: | Línea 310: | ||
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá: | Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá: | ||
− | • Regularmente, al menos una vez cada dos años | + | :• Regularmente, al menos una vez cada dos años |
− | • Cuando cambie la información manejada | + | :• Cuando cambie la información manejada |
− | • Cuando cambien los servicios prestados | + | :• Cuando cambien los servicios prestados |
− | • Cuando ocurra un incidente grave de seguridad | + | :• Cuando ocurra un incidente grave de seguridad |
− | • Cuando se reporten vulnerabilidades graves | + | :• Cuando se reporten vulnerabilidades graves |
Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. | Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. | ||
Línea 353: | Línea 354: | ||
<br/>'''DISPOSICIÓN ADICIONAL: NOMBRAMIENTOS DE RESPONSABLES''' | <br/>'''DISPOSICIÓN ADICIONAL: NOMBRAMIENTOS DE RESPONSABLES''' | ||
− | El Rector de la UPCT propone como Responsable de la Información al Secretario General de la UPCT, como Responsable de los Servicios TIC a la Vicerrectora de Nuevas Tecnologías, como Responsable de Seguridad al Jefe de la Unidad de Informática y como Responsables de los Sistemas a los Jefes de las Secciones de la Unidad de | + | El Rector de la UPCT propone como Responsable de la Información al Secretario General de la UPCT, como Responsable de los Servicios TIC a la Vicerrectora de Nuevas Tecnologías, como Responsable de Seguridad al Jefe de la Unidad de Informática y como Responsables de los Sistemas a los Jefes de las Secciones de la Unidad de Informática (en el ámbito de las competencias de cada uno de ellos). |
<br/><br/> | <br/><br/> | ||
− | |||
− |
Revisión actual del 10:23 13 feb 2020
Ref. ENS/01. Política de Seguridad UPCT Revisión: 3
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
1. ENTRADA EN VIGOR
Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica de Cartagena.
Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
2. INTRODUCCIÓN
La UNIVERSIDAD POLITÉCNICA DE CARTAGENA, en adelante UPCT, depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos institucionales. En consecuencia, estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
Por ello, el objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución y con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.
Esto implica que la UPCT y su personal debe aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
La UPCT debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.
Los requisitos de seguridad y sus necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
incidentes, de acuerdo al Artículo 7 del ENS.
2.1. PREVENCIÓN
La UPCT debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello se deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos.
Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, la UPCT debe:
- • Autorizar los sistemas antes de entrar en operación.
- • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
- • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
2.2. DETECCIÓN
Dado que los servicios se pueden degradar rápidamente debido a incidentes, se debe monitorizar la operación de manera continuada para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
2.3. RESPUESTA
La UPCT debe:
- • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
- • Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en áreas de la entidad o en otros organismos relacionados con la UPCT.
- • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT) reconocidos a nivel nacional: Iris‐CERT, CCN‐ CERT,…
2.4. RECUPERACIÓN
Para garantizar la disponibilidad de los servicios críticos, la UPCT debe desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.
3. MISION
La Universidad Politécnica de Cartagena es una institución pública, especializada en enseñanzas e investigación de carácter técnico y de gestión empresarial. Desarrolla sus actividades de docencia, investigación y extensión universitaria con una decidida vocación de servicio a la sociedad, desde una perspectiva regional, nacional e internacional, favoreciendo el desarrollo socioeconómico y tecnológico y la inserción laboral de sus alumnos, promoviendo la calidad en el ejercicio de sus funciones.
De forma estrechamente relacionada con el cumplimiento de esta misión, la UPCT desea manifestar la necesidad de una infraestructura TIC que prime y fomente las operativas abiertas, enfocadas a la funcionalidad, conectividad y servicio al usuario, como funciones prioritarias para la consecución de los objetivos estratégicos e institucionales.
4. ALCANCE
Debido a la misión de la entidad, reflejada en el punto 3 del presente documento, la UPCT desestima la aplicación de la presente política de seguridad sobre todo el conjunto del sistema de información.
En base a ello, la UPCT aplicará la presente política sobre el grueso de los sistemas TIC que conforman el Unidad de Informática de la UPCT y particularmente sobre todos aquellos sistemas que están relacionados con el ejercicio de derechos por medios electrónicos, con el cumplimiento de deberes por medios electrónicos o con el acceso a la información o al procedimiento administrativo.
De forma concreta la presente política de seguridad es aplicable sobre los siguientes servicios y los sistemas TIC que los conforman:
•Servicio ERP:
- • Gestión Académica
- • Gestión Económica
- • Gestión de RRHH
- • Gestión de la Investigación
- • Registro Presencial
- • Gestión de Formación Interna
- • Gestión de Ayudas Sociales
- • Campus Virtual
• Servicio de Administración Electrónica:
- • Sede o Tablón Oficial
- • Portafirmas o Registro Telemático y Plataforma de Tramitación
- • Factura Electrónica
4.1. Ampliación del Alcance
Adicionalmente y aún entendiéndose que los siguientes servicios no se encuentran directamente en el alcance marcado por el Esquema Nacional de Seguridad, debido a su importancia en la comunidad universitaria, se acuerda extender el alcance a los siguientes servicios de la UPCT:
- • Servicio de Docencia Virtual
- • Servicio de Web Institucional
5. MARCO NORMATIVO
Son de aplicación las leyes y normativas españolas en relación a protección de datos personales, propiedad intelectual y uso de herramientas telemáticas. Por todo ello, la UPCT podrá ser requerida por los órganos administrativos pertinentes a proporcionar los registros electrónicos o cualquier otra información relativa al uso de los sistemas de información.
Esta política se sitúa dentro del marco jurídico definido por las leyes y Reales Decretos siguientes:
- • Ley Orgánica de Universidades (6/2001) y Ley Orgánica de modificación de la L.O.U. (4/2007).
- • Esquema Nacional de Seguridad (RD 3/2010)
- • Ley de acceso electrónico de los ciudadanos a los servicios públicos (11/2007).
- • Ley Orgánica de Protección de Datos (15/1999) y Reglamento de desarrollo de la Ley Orgánica (RD 1720/2007)
- • Ley de Servicios de la Sociedad de la Información (de 12 de octubre de 2002)
5. ORGANIZACIÓN DE LA SEGURIDAD
5.1. COMITÉS: FUNCIONES Y RESPONSABILIDADES
El Comité de Seguridad TIC estará formado por:
- - Vicerrector/a de Nuevas Tecnologías
- - Jefe/a de la Unidad de Informática
- - 2 miembros de la comisión de Nuevas Tecnologías.
- - 1 técnico de la Unidad de Informática
El Comité de Seguridad TIC nombrará un Secretario y tendrá como funciones las propias del cargo.
El Comité de Seguridad TIC reportará a la Comisión de Nuevas Tecnologías y al Secretario General como Responsable de la Información.
El Comité de Seguridad TIC tendrá las siguientes funciones:
- • Divulgación de la política y normativa de seguridad de la UPCT.
- • Aprobación de la normativa de seguridad de la UPCT.
- • Revisión anual de la política de seguridad.
- • Desarrollo del procedimiento de designación de roles.
- • Designación de roles y responsabilidades.
- • Supervisión y aprobación de las tareas de seguimiento del Esquema Nacional de Seguridad:
- • Tareas de adecuación
- • Análisis de Riesgos
- • Auditoría Bienal
5.2. ROLES: FUNCIONES Y RESPONSABILIDADES
Responsable de la Información
El Responsable de la Información de la UPCT tendrá las siguientes funciones:
- • Establecimiento de los requisitos de la información en materia de seguridad.
- • Trabajo en colaboración con el responsable de seguridad y el del Sistema en el mantenimiento de los sistemas catalogados según el Anexo I del Esquema Nacional de Seguridad.
Responsable de los servicios TIC
El Responsable de los Servicios TIC de la UPCT tendrá las siguientes funciones:
- • Establecimiento de los requisitos de los servicios TIC en materia de seguridad.
- • Trabajo en colaboración con el Responsable de Seguridad y el de sistema en el mantenimiento de los sistemas catalogados según el Anexo I del Esquema Nacional de Seguridad.
- • Velar por la inclusión de cláusulas sobre seguridad en los contratos con terceras partes y por su cumplimiento.
Responsable de Seguridad
El Responsable de Seguridad de la UPCT tendrá las siguientes funciones:
- • Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas TIC en su ámbito de responsabilidad.
- • Realizar o promover las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
- • Promover la formación y concienciación de la Unidad de Informática dentro de su ámbito de responsabilidad.
- • Verificar que las medidas de seguridad establecidas son adecuadas para la protección de la información manejada y los servicios prestados.
- • Analizar, completar y aprobar toda la documentación relacionada con la seguridad del sistema.
- • Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema.
- • Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución.
- • Elaborar el informe periódico de seguridad para el propietario del sistema, incluyendo los incidentes más relevantes del periodo.
- • Aprobación de los procedimientos de seguridad elaborados por el Responsable del Sistema.
- • Elaboración de la normativa de seguridad de la entidad.
Responsable del Sistema
El Responsable del Sistema de la UPCT tendrá, dentro de sus áreas de actuación, las siguientes funciones:
- • Desarrollar, operar y mantener el Sistema durante todo su ciclo de vida, incluyendo las especificaciones, instalación y verificación de su correcto funcionamiento.
- • Definir la topología y los procedimientos de gestión del Sistema estableciendo los criterios de uso y los servicios disponibles en el mismo.
- • Definir la política de conexión o desconexión de equipos y usuarios nuevos en el Sistema.
- • Aprobar los cambios que afecten a la seguridad del modo de operación del Sistema.
- • Decidir las medidas de seguridad que aplicarán los suministradores de componentes del Sistema durante las etapas de desarrollo, instalación y prueba del mismo.
- • Implantar y controlar las medidas específicas de seguridad del Sistema y cerciorarse de que éstas se integren adecuadamente dentro del marco general de seguridad.
- • Determinar la configuración autorizada de hardware y software a utilizar en el Sistema.
- • Aprobar toda modificación sustancial de la configuración de cualquier elemento del Sistema.
- • Llevar a cabo el preceptivo proceso de análisis y gestión de riesgos en el Sistema.
- • Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarse según se describe en el Anexo II del ENS.
- • Elaborar la documentación de seguridad del Sistema.
- • Delimitar las responsabilidades de cada entidad involucrada en el mantenimiento, explotación, implantación y supervisión del Sistema.
- • Velar por el cumplimiento de las obligaciones del Administrador de Seguridad del Sistema (ASS).
- • Investigar los incidentes de seguridad que afecten al Sistema, y en su caso, comunicación al Responsable de Seguridad o a quién éste determine.
- • Establecer planes de contingencia y emergencia, llevando a cabo frecuentes ejercicios para que el personal se familiarice con ellos.
- • Además, el responsable del sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el responsable de seguridad, antes de ser ejecutada.
- • Elaboración de los procedimientos de seguridad necesarios para la operativa en el sistema.
5.3. PROCEDIMIENTO DE DESIGNACIÓN
El Responsable de la Información será nombrado por el Rector de la UPCT.
El Responsable de los Servicios TIC será nombrado por el Rector de la UPCT.
El Responsable de Seguridad de la Información será nombrado por el Comité de Seguridad TIC. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.
La Unidad de Informática de la UPCT, responsable de la infraestructura para la prestación electrónica de acuerdo a la Ley 11/2007, designará al Responsable o Responsables del Sistema, precisando sus funciones y responsabilidades dentro del marco establecido por esta Política.
5.4. POLÍTICA DE SEGURIDAD
Será misión del Comité de Seguridad TIC la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por Consejo de Gobierno y difundida para que la conozcan todas las partes afectadas.
6. DATOS DE CARÁCTER PERSONAL
La UPCT realiza tratamientos en los que hace uso de datos de carácter personal. El Documento de Seguridad LOPD (Ley Orgánica de Protección de Datos) de la UPCT se puede encontrar impreso en papel en las dependencias de la Unidad de Informática. Este documento recoge los ficheros afectados y los responsables correspondientes.
Todos los sistemas de información de la UPCT se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Documento de Seguridad.
7. GESTIÓN DE RIESGOS
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
- • Regularmente, al menos una vez cada dos años
- • Cuando cambie la información manejada
- • Cuando cambien los servicios prestados
- • Cuando ocurra un incidente grave de seguridad
- • Cuando se reporten vulnerabilidades graves
Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.
El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
8. DESARROLLO DE LA POLÍTICA DE SEGURIDAD
Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la UPCT que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
La normativa de seguridad estará disponible en la intranet corporativa, a través de la siguiente dirección: https://sede.upct.es/politicadeseguridad.html
Así mismo podrá encontrarse impresa en el Vicerrectorado de Nuevas Tecnologías y en la Unidad de Informática.
9. OBLIGACIONES DEL PERSONAL
Todos los miembros de la UPCT tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad desarrollada a partir de ella, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados.
A todos los miembros de la UPCT se les convocará a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de la UPCT, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
10. TERCERAS PARTES
Cuando la UPCT preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando la UPCT utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política. Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
DISPOSICIÓN ADICIONAL: NOMBRAMIENTOS DE RESPONSABLES
El Rector de la UPCT propone como Responsable de la Información al Secretario General de la UPCT, como Responsable de los Servicios TIC a la Vicerrectora de Nuevas Tecnologías, como Responsable de Seguridad al Jefe de la Unidad de Informática y como Responsables de los Sistemas a los Jefes de las Secciones de la Unidad de Informática (en el ámbito de las competencias de cada uno de ellos).