Acuerdo 12/CG 26-2-14, por el que se aprueba la Política de Seguridad de la Información de la Universidad de Sevilla.
Núm. 2/2014, de 22 de mayo
I. DISPOSICIONES Y ACUERDOS GENERALES
I.2. Consejo de Gobierno
Acuerdo 12/CG 26-2-14, por el que se aprueba la Política de Seguridad de la Información de la
Universidad de Sevilla.
Acuerdo 12/CG 26-2-14, por el que se conviene, por 22 votos a favor, 3 votos en contra y 4 abstenciones,
aprobar la Política de Seguridad de la Información de la Universidad de Sevilla, en los términos del
documento que se anexa.
aNEXo
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA
UNIVERSIDAD DE SEVILLA
0
. Aprobación y entrada en vigor
Texto aprobado por Acuerdo del Consejo de Gobierno de fecha 26 de febrero de 2014.
Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada
por una nueva Política.
Quedan derogadas las disposiciones de igual o inferior rango que se opongan a lo dispuesto en la
presente Política de Seguridad de la Información.
1
. Introducción
El Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito
de la Administración Electrónica establece en su artículo 11 que “todos los órganos superiores de
las Administraciones públicas deberán disponer formalmente de su política de seguridad, que será
aprobada por el titular del órgano superior correspondiente”.
La consolidación del uso de las nuevas tecnologías en la Universidad de Sevilla exige el establecimiento
de un conjunto de actividades y procedimientos para el tratamiento y gestión de los riesgos asociados
a la seguridad de la información. La gestión de la seguridad de los sistemas de información es un
proceso complejo que incluye a personas, tecnologías, normas y procedimientos.
La aprobación de esta política manifiesta el interés de la US en la gestión de la seguridad de la
información. Con ella se establecen los objetivos y las responsabilidades necesarias para proteger los
activos de información frente a daños accidentales o deliberados que puedan afectar a la disponibilidad,
integridad o confidencialidad de la información tratada o los servicios prestados.
La US establecerá las medidas técnicas, organizativas y de control que garanticen la consecución de
estos objetivos.
2
. Misión de la Universidad de Sevilla
La Universidad de Sevilla tiene una misión bien definida que se fundamenta en su Estatuto. En el
título preliminar, Artículo 1 se encuentran los elementos definitorios de la misión de la Universidad:
La Universidad de Sevilla es una institución de Derecho público, dotada de personalidad jurídica, que
desarrolla sus funciones, de acuerdo con la legislación vigente, en régimen de autonomía, y a la que
corresponde la prestación del servicio público de educación superior, mediante el estudio, la docencia
1
24
Núm. 2/2014, de 22 de mayo
I. DISPOSICIONES Y ACUERDOS GENERALES I.2. Consejo de Gobierno
y la investigación, así como la generación, desarrollo y difusión del conocimiento al servicio de la
sociedad y de la ciudadanía.
3
. Alcance
El alcance de la política de seguridad incluye a todos los miembros de la comunidad universitaria y
a los organismos o empresas colaboradoras. La política de seguridad es aplicable a todos los sistemas
de información de la US y a aquellos que den soporte a sus procesos y afecta a todos los activos de
información sustentados en ellos, así como las aplicaciones informáticas (sof ware) que estén alojadas
en cualquiera de los sistemas o infraestructuras referidos.
En este ámbito no se considera un “recurso TIC de la Universidad” aquellos ordenadores personales
financiados a título individual, no inventariados a nombre de la Universidad de Sevilla, aunque
pudieran ocasionalmente ser usados para labores propias de investigación. Por tanto quedan fuera
de este ámbito dichos elementos, así como las acciones sobre ellos o riesgos de seguridad de tales
elementos. No obstante, en el caso de que se acceda a la red corporativa mediante dichos ordenadores
personales, quedarán sujetos a las obligaciones establecidas en la presente política de seguridad de la
información y normas e instrucciones de desarrollo.
La Política de Seguridad se aplica también a todas aquellas personas, instituciones, entidades o
unidades y servicios, sean internos o externos, que hagan uso de los recursos de TI de la Universidad
de Sevilla, sea mediante conexión directa o indirecta con los mismos, conexión remota o a través de
equipos ajenos a la misma, incluyendo expresamente sus servicios Web. En adelante se considerará a
todos ellos “usuarios”.
4
. Marco normativo
Esta política se sitúa dentro del marco jurídico definido por las siguientes normas:
De ámbito Estatal:
-
-
-
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Ley Orgánica 6/2001, de 21 de diciembre, de Universidades.
Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del
Procedimiento Administrativo Común.
-
-
-
-
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Ley 59/2003, de 19 de diciembre, de firma electrónica.
Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento
nacional de identidad y sus certificados de firma electrónica.
-
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la
Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
-
2
Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de
2 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.
-
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el
ámbito de la Administración Electrónica.
1
25
Núm. 2/2014, de 22 de mayo
I. DISPOSICIONES Y ACUERDOS GENERALES I.2. Consejo de Gobierno
-
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad
en el ámbito de la Administración Electrónica.
De ámbito Autonómico:
-
Decreto Legislativo 1/2013, de 8 de enero, por el que se aprueba el Texto Refundido de la Ley
Andaluza de Universidades.
De ámbito Interno:
-
Estatuto de la Universidad de Sevilla.
-
1
Reglamento de creación y regulación de la Sede Electrónica de la Universidad de Sevilla (Acuerdo
1.6/CG 27-6-12).
-
Resolución de la Secretaria General de la Universidad de Sevilla, de 20 de marzo de 2013, por la que
se crea el Sello Electrónico para la identificación y la autenticación del ejercicio de la competencia en
la actuación administrativa automatizada.
-
Resolución de la Secretaria General de la Universidad de Sevilla, de 20 de marzo de 2013, por la
que se modifica la relación de procedimientos y servicios susceptibles de presentación en el registro
electrónico.
Así como todas aquellas normas, de carácter general o interno, que resulten de aplicación a la
Universidad en el marco de esta Política de Seguridad.
5
. Organización de la seguridad
Para garantizar que todas las etapas del ciclo de vida de protección de la información sean realizadas
de manera apropiada y las responsabilidades para su ejecución sean asignadas adecuadamente, la
Universidad de Sevilla establece una estructura que permite promover la aplicación consistente de la
presente política y acomodar efectivamente los frecuentes cambios tecnológicos y organizacionales.
Para ello, se definen los siguientes Comités y Roles generales relacionados con su participación en la
gestión y supervisión de la seguridad de la información:
•
•
•
•
•
ꢀ ComisiónꢀdeꢀSeguridadꢀdeꢀlaꢀInformación.
ꢀ ResponsableꢀdeꢀlaꢀInformación.
ꢀ ResponsableꢀdelꢀServicio.
ꢀ ResponsableꢀdeꢀlaꢀSeguridad.
ꢀ ResponsablesꢀdelꢀSistema.
5
.1. Comisión de Seguridad de la Información
La Comisión de Seguridad de la Información es el órgano de gestión interna al que compete la
Seguridad de la Información en la US.
Esta Comisión estará compuesta por:
•
•
•
•
•
•
ꢀ ElꢀVicerrectorꢀconꢀcompetenciasꢀenꢀmateriaꢀdeꢀTIC,s,ꢀcomoꢀpresidenteꢀdeꢀlaꢀmisma.
ꢀ ElꢀSecretarioꢀGeneral.
ꢀ ElꢀGerente
ꢀ ElꢀmáximoꢀresponsableꢀdeꢀlosꢀServiciosꢀJurídicosꢀdeꢀlaꢀUniversidad.
ꢀ ElꢀResponsableꢀdeꢀlaꢀSeguridadꢀ(queꢀactuaráꢀcomoꢀSecretario)
ꢀ LosꢀResponsablesꢀdeꢀlosꢀSistemas.
1
26
Núm. 2/2014, de 22 de mayo
I. DISPOSICIONES Y ACUERDOS GENERALES I.2. Consejo de Gobierno
La Comisión de Seguridad de la Información recabará información y auxilio de todas las áreas de la
Universidad cuando así lo considere necesario. Todas las áreas, servicios y unidades de la Universidad
de Sevilla están obligadas a informar y prestar apoyo a la Comisión de Seguridad cuando ésta lo
requiera.
La Comisión de Seguridad de la Información tiene las siguientes funciones y responsabilidades:
•
ꢀ ElaborarꢀlaꢀestrategiaꢀdeꢀevoluciónꢀdeꢀlaꢀUniversidadꢀdeꢀSevillaꢀenꢀloꢀqueꢀrespectaꢀaꢀlaꢀseguridadꢀdeꢀ
la información. Identificar, revisar y proponer objetivos estratégicos en materia de seguridad de la
información.
•ꢀ InformarꢀdelꢀestadoꢀdeꢀlaꢀseguridadꢀdeꢀlaꢀinformaciónꢀaꢀlosꢀÓrganosꢀdeꢀGobiernoꢀdeꢀlaꢀUniversidad.
•ꢀ ProponerꢀalꢀConsejoꢀdeꢀGobiernoꢀlaꢀaprobaciónꢀdeꢀlaꢀpolíticaꢀdeꢀseguridadꢀdeꢀlaꢀinformación.
•ꢀ ProponerꢀalꢀRectorꢀlaꢀaprobaciónꢀdeꢀlasꢀmodificacionesꢀsobreꢀlaꢀpolíticaꢀdeꢀseguridad.
•ꢀ ProponerꢀalꢀRectorꢀlaꢀaprobaciónꢀdeꢀlasꢀnormativasꢀyꢀreglamentosꢀdeꢀseguridadꢀrelacionadosꢀconꢀ
la aplicación del ENS.
•
•
•
ꢀ Proponerꢀlasꢀiniciativasꢀprincipalesꢀparaꢀmejorarꢀlaꢀgestiónꢀdeꢀlaꢀseguridadꢀdeꢀlaꢀinformación,ꢀ
incluyendo la divulgación de la política y normativas de seguridad.
ꢀ CoordinarꢀlaꢀadopciónꢀdeꢀaccionesꢀyꢀmedidasꢀencaminadasꢀaꢀlaꢀadaptaciónꢀdeꢀlaꢀUniversidadꢀdeꢀ
Sevilla al Esquema Nacional de Seguridad.
ꢀ Asegurarꢀ laꢀ disponibilidadꢀ deꢀ losꢀ recursosꢀ necesariosꢀ paraꢀ llevarꢀ aꢀ caboꢀ losꢀ planesꢀ deꢀ acciónꢀ
relacionados con la seguridad de la información o priorizar las actuaciones en materia de seguridad
cuando los recursos sean limitados.
•
ꢀ Proponerꢀ laꢀ designaciónꢀ deꢀ losꢀ responsablesꢀ encargadosꢀ deꢀ laꢀ aplicaciónꢀ yꢀ supervisiónꢀ deꢀ lasꢀ
medidas de seguridad.
•
ꢀ AprobaciónꢀdeꢀlosꢀprocedimientosꢀdeꢀseguridadꢀdeꢀlaꢀUSꢀcuandoꢀasíꢀloꢀsoliciteꢀelꢀResponsableꢀdeꢀ
Seguridad.
•
ꢀ RealizarꢀunaꢀrevisiónꢀanualꢀdelꢀcontenidoꢀdeꢀlaꢀPolíticaꢀdeꢀSeguridadꢀyꢀunaꢀpropuestaꢀdeꢀactualizaciónꢀ
cuando sea necesario.
•
•
ꢀ Resolverꢀlosꢀconflictosꢀentreꢀlosꢀdiferentesꢀresponsables.
ꢀ SupervisiónꢀyꢀaprobaciónꢀdeꢀlasꢀtareasꢀdeꢀseguimientoꢀdelꢀEsquemaꢀNacionalꢀdeꢀSeguridad:
a. Grado de cumplimiento del plan de adecuación.
b. Revisión de los resultados obtenidos en las diferentes actualizaciones del análisis de riesgos y los
niveles de riesgo alcanzados.
c. Resultados de las auditorías bienales que se realicen y otros informes asociados a la idoneidad de
los controles de seguridad implantados, identificando las causas origen de las excepciones que
pudieran existir y proponiendo acciones de mejora.
5
.2. Responsable de la Información
La figura del Responsable de la Información recaerá en la Comisión de Seguridad de la Información.
Tiene las siguientes funciones y responsabilidades:
•
•
•
•
ꢀ Establecerꢀlosꢀrequisitosꢀdeꢀseguridadꢀqueꢀdebanꢀserꢀgarantizadosꢀenꢀelꢀtratamientoꢀdeꢀlaꢀinformaciónꢀ
de la que es responsable.
ꢀ Valorarꢀparaꢀcadaꢀinformaciónꢀcontempladaꢀenꢀelꢀanálisisꢀdeꢀriesgosꢀlasꢀdiferentesꢀdimensionesꢀdeꢀ
la seguridad (disponibilidad, confidencialidad, integridad, autenticidad y trazabilidad).
ꢀ TrabajarꢀenꢀcolaboraciónꢀconꢀelꢀResponsableꢀdeꢀSeguridadꢀyꢀelꢀdeꢀSistemaꢀenꢀelꢀmantenimientoꢀdeꢀ
los sistemas catalogados según el Anexo I del Esquema Nacional de Seguridad.
ꢀ Velarꢀporꢀlaꢀinclusiónꢀdeꢀcláusulasꢀsobreꢀseguridadꢀenꢀlosꢀcontratosꢀconꢀtercerasꢀpartesꢀyꢀporꢀsuꢀ
cumplimiento.
1
27
Núm. 2/2014, de 22 de mayo
I. DISPOSICIONES Y ACUERDOS GENERALES I.2. Consejo de Gobierno
5
.3. Responsable del Servicio
La figura del Responsable del Servicio recaerá en la Comisión de Seguridad de la Información. Tiene
las siguientes funciones y responsabilidades:
•
•
•
ꢀ Establecerꢀlosꢀrequisitosꢀdeꢀlosꢀserviciosꢀenꢀmateriaꢀdeꢀseguridadꢀqueꢀdebanꢀserꢀgarantizadosꢀenꢀelꢀ
tratamiento de la información.
ꢀ Valorarꢀparaꢀcadaꢀservicioꢀcontempladoꢀenꢀelꢀanálisisꢀdeꢀriesgosꢀlasꢀdiferentesꢀdimensionesꢀdeꢀlaꢀ
seguridad (disponibilidad, confidencialidad, integridad, autenticidad y trazabilidad).
ꢀ TrabajarꢀenꢀcolaboraciónꢀconꢀelꢀResponsableꢀdeꢀSeguridadꢀenꢀelꢀmantenimientoꢀdeꢀlosꢀsistemasꢀ
catalogados según el Anexo I del Esquema Nacional de Seguridad.
5
.4. Responsable de la Seguridad
El Responsable de Seguridad será el Director del Secretariado de Tecnologías de la Información y las
Comunicaciones y tiene las siguientes funciones:
•
ꢀ Mantenerꢀlaꢀseguridadꢀdeꢀlaꢀinformaciónꢀmanejadaꢀyꢀdeꢀlosꢀserviciosꢀprestadosꢀporꢀlosꢀsistemasꢀ
TIC en el ámbito de cumplimiento del ENS.
ꢀ Instarꢀyꢀasesorarꢀenꢀlaꢀvaloraciónꢀdeꢀlosꢀrequisitosꢀdeꢀseguridadꢀqueꢀdebanꢀserꢀgarantizadosꢀenꢀ
el tratamiento de la información por parte de los nuevos servicios electrónicos prestados por la
Universidad según el criterio de valoración establecido por el artículo 43 del ENS.
ꢀ Realizarꢀoꢀinstarꢀlaꢀrealizaciónꢀdeꢀlasꢀauditoríasꢀperiódicasꢀqueꢀpermitanꢀverificarꢀelꢀcumplimientoꢀ
de las obligaciones de la Universidad en materia de seguridad.
•
•
•
•
ꢀ Supervisarꢀelꢀestadoꢀdeꢀseguridadꢀdelꢀsistema.
ꢀ Apoyarꢀyꢀsupervisarꢀlaꢀinvestigaciónꢀdeꢀlosꢀincidentesꢀdeꢀseguridadꢀdesdeꢀsuꢀnotificaciónꢀhastaꢀsuꢀ
resolución.
•
•
•
ꢀ Elaborarꢀunꢀinformeꢀperiódicoꢀdeꢀseguridad,ꢀqueꢀincluyaꢀlosꢀincidentesꢀmásꢀrelevantesꢀdelꢀperiodo.
ꢀ Elaborarꢀlaꢀnormativaꢀdeꢀseguridad.
ꢀ PromoverꢀlaꢀformaciónꢀyꢀconcienciaciónꢀdelꢀpersonalꢀdeꢀlaꢀUniversidadꢀyꢀenꢀespecial,ꢀdelꢀpersonalꢀ
del Servicio Informático involucrado en las labores de gestión de los sistemas de información que
dan soporte a los procesos de Administración Electrónica de la Universidad.
ꢀ Verificarꢀ queꢀ lasꢀ medidasꢀ deꢀ seguridadꢀ establecidasꢀ sonꢀ adecuadasꢀ paraꢀ laꢀ protecciónꢀ deꢀ laꢀ
información manejada y los servicios prestados.
•
•
•
ꢀ AprobarꢀlosꢀprocedimientosꢀdeꢀseguridadꢀelaboradosꢀporꢀlosꢀResponsablesꢀdeꢀlosꢀSistemasꢀcuandoꢀ
en virtud del contenido definido no requieran la revisión y aprobación de la Comisión de Seguridad.
ꢀ ElaborarꢀcomoꢀsecretarioꢀdeꢀlaꢀComisiónꢀlosꢀsiguientesꢀinformesꢀperiódicos:
–
–
–
–
Resumen consolidado de las actuaciones llevadas a cabo y en curso dentro del desarrollo del Plan
de adecuación del ENS aprobado.
Resumen consolidado de los incidentes de seguridad registrados desde la última reunión de la
Comisión.
Valoración del estado de la seguridad de los sistemas de información afectados por el ENS y la
evolución de los niveles de riesgo a los que están expuestos.
Resumen consolidado de los procedimientos de seguridad aprobados por el Responsable de
Seguridad desde la última reunión de la Comisión.
El Responsable de la seguridad actuará como el secretario de la Comisión de Seguridad de la
Información y como tal:
•
ꢀ ConvocaꢀlasꢀreunionesꢀdeꢀlaꢀComisiónꢀdeꢀSeguridadꢀdeꢀlaꢀInformación.
1
28
Núm. 2/2014, de 22 de mayo
I. DISPOSICIONES Y ACUERDOS GENERALES I.2. Consejo de Gobierno
•
ꢀ PreparaꢀlosꢀtemasꢀaꢀtratarꢀenꢀlasꢀreunionesꢀdeꢀlaꢀComisión,ꢀaportandoꢀinformaciónꢀpuntualꢀparaꢀlaꢀ
toma de decisiones.
•
•
ꢀ Elaboraꢀelꢀactaꢀdeꢀlasꢀreuniones.
ꢀ EsꢀresponsableꢀdeꢀlaꢀejecuciónꢀdirectaꢀoꢀdelegadaꢀdeꢀlasꢀdecisionesꢀdeꢀlaꢀComisiónꢀdeꢀSeguridad.
5
.5. Responsables de los Sistemas
Los responsables de los sistemas serán los Directores de Área SIC. Tendrán las siguientes
responsabilidades dentro de su ámbito de competencias:
•
ꢀ Desarrollar,ꢀ operarꢀ yꢀ mantenerꢀ elꢀ Sistemaꢀ duranteꢀ todoꢀ suꢀ cicloꢀ deꢀ vida,ꢀ incluyendoꢀ lasꢀ
especificaciones, instalación y verificación de su correcto funcionamiento.
•
ꢀ DefinirꢀlaꢀtipologíaꢀyꢀlosꢀprocedimientosꢀdeꢀgestiónꢀdelꢀSistemaꢀestableciendoꢀlosꢀcriteriosꢀdeꢀusoꢀyꢀ
los servicios disponibles en el mismo.
•
•
•
ꢀ DefinirꢀlaꢀpolíticaꢀdeꢀconexiónꢀoꢀdesconexiónꢀdeꢀequiposꢀyꢀusuariosꢀnuevosꢀenꢀelꢀSistema.
ꢀ AprobarꢀlosꢀcambiosꢀqueꢀafectenꢀaꢀlaꢀseguridadꢀdelꢀmodoꢀdeꢀoperaciónꢀdelꢀSistema.
ꢀ DecidirꢀlasꢀmedidasꢀdeꢀseguridadꢀqueꢀaplicaránꢀlosꢀsuministradoresꢀdeꢀcomponentesꢀdelꢀSistemaꢀ
durante las etapas de desarrollo, instalación y prueba del mismo.
•
ꢀ ImplantarꢀyꢀcontrolarꢀlasꢀmedidasꢀespecíficasꢀdeꢀseguridadꢀdelꢀSistemaꢀyꢀcerciorarseꢀdeꢀqueꢀéstasꢀseꢀ
integren adecuadamente dentro del marco general de seguridad.
•
•
•
•
•
ꢀ EstablecerꢀplanesꢀdeꢀcontingenciaꢀyꢀlosꢀprocesosꢀdeꢀanálisisꢀyꢀgestiónꢀdeꢀriesgosꢀenꢀelꢀSistema.
ꢀ Determinarꢀlaꢀconfiguraciónꢀautorizadaꢀdeꢀhardwareꢀyꢀsof wareꢀaꢀutilizarꢀenꢀelꢀSistema.
ꢀ AprobarꢀtodaꢀmodificaciónꢀsustancialꢀdeꢀlaꢀconfiguraciónꢀdeꢀcualquierꢀelementoꢀdelꢀSistema.
ꢀ LlevarꢀaꢀcaboꢀelꢀpreceptivoꢀprocesoꢀdeꢀanálisisꢀyꢀgestiónꢀdeꢀriesgosꢀenꢀelꢀSistema.
ꢀ DeterminarꢀlaꢀcategoríaꢀdelꢀsistemaꢀsegúnꢀelꢀprocedimientoꢀdescritoꢀenꢀelꢀAnexoꢀIꢀdelꢀENSꢀyꢀ
determinar las medidas de seguridad que deben aplicarse según se describe en el Anexo II del ENS.
ꢀ ElaborarꢀlaꢀdocumentaciónꢀdeꢀseguridadꢀdelꢀSistema.
•
•
ꢀ Delimitarꢀlasꢀresponsabilidadesꢀdeꢀcadaꢀentidadꢀinvolucradaꢀenꢀelꢀmantenimiento,ꢀexplotación,ꢀ
implantación y supervisión del Sistema.
•
ꢀ InvestigarꢀlosꢀincidentesꢀdeꢀseguridadꢀqueꢀafectenꢀalꢀSistema,ꢀyꢀenꢀsuꢀcaso,ꢀefectuarꢀlaꢀcomunicaciónꢀ
al Responsable de Seguridad o a quién éste determine.
5
.6. Procedimiento de designación.
El desempeño de cualquiera de las responsabilidades definidas en esta política de seguridad y en el
ENS vendrá determinado por el acceso a los diferentes cargos o destinos, estatutarios o no, que han
quedado vinculadas a ellas.
En el caso de que desapareciese o cambiara de denominación alguno de los puestos vinculados a la
aplicación del ENS, será competencia del Rector asignar el nuevo puesto al que quedará vinculada la
figura.
6
. Obligaciones del personal.
Todos los miembros de la US tienen la obligación de conocer y cumplir esta Política de Seguridad de
la Información y la Normativa de Seguridad desarrollada a partir de ella, siendo responsabilidad de
la Comisión de Seguridad de la Información disponer los medios necesarios para que la información
llegue a los afectados.
Todo el personal de la Universidad debe ser consciente de la necesidad de garantizar la seguridad de
los sistemas de información, así como que ellos mismos son una pieza esencial para el mantenimiento
y mejora de la seguridad.
1
29
Núm. 2/2014, de 22 de mayo
I. DISPOSICIONES Y ACUERDOS GENERALES I.2. Consejo de Gobierno
Se establecerá un programa de concienciación continua para atender a todos los miembros de la US,
en particular a los de nueva incorporación. Las personas con responsabilidad en el uso, operación
o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la
medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una
responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de
responsabilidades en el mismo.
7
. Desarrollo de la Política de Seguridad de la información.
El marco normativo en materia de seguridad establecido por la Universidad de Sevilla está
estructurado en diferentes niveles de forma que los objetivos planteados por el presente documento
tengan un desarrollo reglamentario que permita definir y concretar regulaciones y restricciones que
sean aplicables sobre los sistemas de información o aplicables al personal que gestiona o utiliza dichos
sistemas.
La Universidad de Sevilla estructura su marco normativo en los siguientes tipos de documentos:
•
ꢀ LaꢀpresenteꢀPolíticaꢀdeꢀSeguridadꢀdeꢀlaꢀInformaciónꢀqueꢀestableceꢀlosꢀrequisitosꢀyꢀcriteriosꢀdeꢀ
protección en el ámbito de la Universidad y servirá de guía para la creación de normas de seguridad.
Las normas de seguridad que definen qué hay que proteger y los requisitos de seguridad deseados.
Establecen un conjunto de expectativas y requisitos que deben ser alcanzados para poder satisfacer
y cumplir cada uno de los objetivos de seguridad establecidos en la política. La Universidad
diferencia entre Normativa general, aplicable a todo el ámbito universitario y Normativa técnica
aplicable sobre el área de gestión y operación de las tecnologías de la información.
Los procedimientos de seguridad en los que se describe de forma concreta cómo proteger lo definido
en las normas y las personas o grupos responsables de la implantación, mantenimiento y seguimiento
de su nivel de cumplimiento. Son documentos que especifican cómo llevar a cabo las tareas habituales,
quién debe hacer cada tarea y cómo identificar y reportar comportamientos anómalos. Además,
pueden considerarse dos tipos más de documentos:
•
ꢀ Basándoseꢀ enꢀ losꢀ procedimientosꢀ deꢀ seguridad,ꢀ yꢀ paraꢀ entornosꢀ oꢀ sistemasꢀ deꢀ informaciónꢀ
concretos, podrán elaborarse instrucciones técnicas de seguridad que documenten de forma
explícita y detallada las acciones técnicas a realizar en la ejecución del procedimiento o las tareas a
considerar cuando se ejecute un procedimiento.
ꢀ Tambiénꢀpodránꢀexistir,ꢀcomoꢀdesarrolloꢀdeꢀlaꢀpropiaꢀpolíticaꢀdeꢀseguridadꢀoꢀdeꢀcualquieraꢀdeꢀlasꢀ
normas existentes, las normas de uso que establecen las normas de comportamiento que deben
cumplir los usuarios en el uso de los sistemas de información. Estos documentos destinados a
usuario final resumirán y trasladarán los requisitos de seguridad a contemplar en la utilización o uso
de determinadas tecnologías o servicios de manera concisa y fácilmente comprensible, así como lo
que se considerará uso indebido y la responsabilidad del personal con respecto al cumplimiento o
violación de estas normas: derechos, deberes y medidas disciplinarias de acuerdo con la legislación
vigente.
•
La Universidad de Sevilla dispone de un documento de seguridad que recoge los ficheros afectados
y los responsables correspondientes según lo establecido en el Reglamento de desarrollo de la Ley de
Protección de Datos (LOPD). Todos los sistemas de información de la US se ajustarán a los niveles de
seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal
recogidos en el mencionado Documento de Seguridad y cumplirán a su vez la presente política cuando
los ficheros de datos de carácter personal se encuentren dentro del ámbito de aplicación de la Ley
11/2007.
1
30
Núm. 2/2014, de 22 de mayo
I. DISPOSICIONES Y ACUERDOS GENERALES I.2. Consejo de Gobierno
8
. Gestión de riesgos.
Las decisiones en materia de seguridad deben basarse en el análisis y gestión de riesgos como proceso
esencial de seguridad, que deberá mantenerse permanentemente actualizado. La evaluación de
riesgos identifica las amenazas y vulnerabilidades y debe ser suficientemente amplia para abarcar los
principales factores internos y externos tales como factores tecnológicos, físicos y humanos, políticos
y servicios de terceros con implicaciones de seguridad.
La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos
hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas
de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los
riesgos a los que estén expuestos y las medidas de seguridad. Debido a la creciente interconexión de
los sistemas de información, la evaluación de riesgos debe incluir la consideración de los posibles
daños que pueden proceder de otros o ser causados por terceras personas.
Todos los sistemas sujetos a esta Política deberán ser objeto de un análisis de riesgos, evaluando las
amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
•
•
•
•
•
ꢀ Regularmente,ꢀalꢀmenosꢀunaꢀvezꢀcadaꢀaño.
ꢀ Cuandoꢀcambieꢀlaꢀinformaciónꢀmanejada.
ꢀ Cuandoꢀcambienꢀlosꢀserviciosꢀprestados.
ꢀ Cuandoꢀocurraꢀunꢀincidenteꢀgraveꢀdeꢀseguridad.
ꢀ Cuandoꢀseꢀreportenꢀvulnerabilidadesꢀgraves.
9
. Proceso de revisión de la política de seguridad.
El marco normativo en materia de seguridad de la Universidad de Sevilla se revisará de la siguiente
forma:
•
•
•
ꢀ LaꢀpresenteꢀPolíticaꢀdeꢀSeguridadꢀdeꢀlaꢀInformaciónꢀseráꢀrevisadaꢀanualmenteꢀporꢀlaꢀComisiónꢀdeꢀ
Seguridad de la Información y será aprobada por Resolución Rectoral.
ꢀ LasꢀnormasꢀdeꢀseguridadꢀseránꢀaprobadasꢀporꢀResoluciónꢀRectoralꢀaꢀpropuestaꢀdeꢀlaꢀComisiónꢀdeꢀ
Seguridad de la Información.
ꢀ Losꢀprocedimientosꢀdeꢀseguridad.ꢀSeránꢀaprobadosꢀporꢀlaꢀComisiónꢀdeꢀSeguridadꢀdeꢀlaꢀInformación.
Toda nueva versión de un documento aprobado dentro del marco normativo será comunicada según
el alcance de uso del documento y el nivel de difusión requerido de forma que el personal pueda
eliminar las versiones de los documentos obsoletos.
1
0. Terceras partes.
Cuando la US preste servicios a otros organismos o maneje información de los mismos, se les hará
partícipe de esta Política de Seguridad de la Información, se establecerán canales de comunicación
y colaboración entre los respectivos órganos de coordinación de la seguridad de la información y se
establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando la US utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta
Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha
tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar
sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos
de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente
concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
1
31
Núm. 2/2014, de 22 de mayo
I. DISPOSICIONES Y ACUERDOS GENERALES I.2. Consejo de Gobierno
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere
en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los
riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los
responsables de la información y los servicios afectados antes de seguir adelante.
Apéndice I. Cita en género femenino de los contenidos de esta Política.
Las referencias a personas o colectivos figuran en la presente política en género masculino como
género gramatical no marcado. Cuando proceda, será válida la cita de los preceptos correspondientes
en género femenino.
Apéndice II. Glosario.
Análisis de riesgos.
Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.
Datos de carácter personal.
Cualquier información concerniente a personas físicas identificadas o identificables. Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Gestión de incidentes.
Plan de acción para atender a las incidencias que se den. Además de resolverlas debe incorporar
medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias
antes de que se conviertan en grandes problemas. ENS.
Gestión de riesgos.
Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos. ENS.
Incidente de seguridad.
Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de
información. (ENS).
Información.
Caso concreto de un cierto tipo de información.
Política de seguridad.
Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización
gestiona y protege la información y los servicios que considera críticos. (ENS).
Principios básicos de seguridad.
Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios. (ENS).
Responsable de la información.
Rol que tiene la potestad de establecer los requisitos de una información en materia de seguridad.
Responsable de la seguridad.
El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de
la información y de los servicios.
Responsable del servicio.
Rol que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad.
1
32
Núm. 2/2014, de 22 de mayo
I. DISPOSICIONES Y ACUERDOS GENERALES I.2. Consejo de Gobierno
Responsable del sistema.
Persona que se encarga de la explotación del sistema de información.
Servicio.
Función o prestación desempeñada por alguna entidad oficial destinada a cuidar intereses o satisfacer
necesidades de los ciudadanos.
Sistema de información.
Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o
tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. ENS.
*
**
1
33