Política de Seguridad de la Información. de la Universidad de Salamanca

Transcripción

1 Plítica de Seguridad de la Infrmación de la Universidad de Salamanca

2 Índice 1 Aprbación y Entrada en Vigr Intrducción Prevención Detección Respuesta Recuperación Alcance Declaración de la Plítica de Seguridad de la Infrmación Marc nrmativ Organización de la Seguridad Cmité: Funcines y Respnsabilidades Rles: Funcines y Respnsabilidades Prcedimients de designación Revisión de la Plítica de Seguridad de la Infrmación Dats de Carácter Persnal Gestión de Riesgs Desarrll de la Plítica de Seguridad de la Infrmación Obligacines del persnal Terceras partes Aprbad en Cnsej de Gbiern de 18 de diciembre de 2013 Página 1 de 11

3 1 Aprbación y Entrada en Vigr Text aprbad pr el Cnsej de Gbiern de la Universidad de Salamanca en sesión realizada el día 18 de diciembre de Esta Plítica de Seguridad de la Infrmación es efectiva desde dicha fecha y hasta que sea reemplazada pr una nueva Plítica. 2 Intrducción La Universidad de Salamanca cnsidera que ls sistemas de Tecnlgías de Infrmación y Cmunicacines (TIC en l sucesiv) cnstituyen un element estratégic para alcanzar sus bjetivs. Ests sistemas deben ser administrads cn diligencia, tmand las medidas adecuadas para prtegerls frente a dañs accidentales deliberads que puedan afectar a la dispnibilidad, integridad cnfidencialidad de la infrmación tratada ls servicis prestads. El bjetiv de la seguridad de la infrmación es garantizar la calidad de la infrmación y la prestación cntinuada de ls servicis, actuand preventivamente, supervisand la actividad diaria y reaccinand cn presteza a ls incidentes. Ls sistemas TIC deben estar prtegids cntra amenazas de rápida evlución cn ptencial para incidir en la cnfidencialidad, integridad, dispnibilidad, us previst y valr de la infrmación y ls servicis. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a ls cambis en las cndicines del entrn para garantizar la prestación cntinua de ls servicis. Est implica que deben aplicar las medidas mínimas de seguridad exigidas pr el Esquema Nacinal de Seguridad (ENS en l sucesiv), así cm realizar un seguimient cntinu de ls niveles de prestación de servicis, seguir y analizar las vulnerabilidades reprtadas y preparar una respuesta efectiva a ls incidentes para garantizar la cntinuidad de ls servicis prestads. La Universidad de Salamanca debe cercirarse de que la seguridad TIC es una parte integral de cada etapa del cicl de vida del sistema, desde su cncepción hasta su retirada de servici, pasand pr las decisines de desarrll adquisición y las actividades de expltación. Ls requisits de seguridad y las necesidades de financiación, deben ser identificads e incluids en la planificación, en la slicitud de fertas y en pliegs de licitación para pryects de TIC. La Universidad de Salamanca debe estar preparada para prevenir, detectar, reaccinar y recuperarse de incidentes, de acuerd al Artícul 7 del ENS. 2.1 Prevención La Universidad de Salamanca, para evitar al mens prevenir en la medida de l psible, que la infrmación ls servicis se vean perjudicads pr incidentes de seguridad, implementará Aprbad en Cnsej de Gbiern de 18 de diciembre de 2013 Página 2 de 11

4 las medidas mínimas de seguridad determinadas pr el ENS, así cm cualquier cntrl adicinal identificad a través de una evaluación de amenazas y riesgs. Ests cntrles y ls rles y respnsabilidades de seguridad de td el persnal, van a estar claramente definids y dcumentads. Para garantizar el cumplimient de la Plítica, las Unidades, Áreas Servicis llevarán a cab las siguientes actuacines: Autrizar ls sistemas antes de entrar en peración. Evaluar regularmente la seguridad, incluyend evaluacines de ls cambis de cnfiguración realizads de frma rutinaria. 2.2 Detección Puest que ls servicis se pueden degradar rápidamente debid a incidentes, que van desde una simple desaceleración hasta su detención, se debe mnitrizar la peración de manera cntinua para detectar anmalías en ls niveles de prestación de ls servicis y actuar en cnsecuencia según l establecid en el Artícul 9 del ENS. La mnitrización es especialmente relevante cuand se establecen líneas de defensa de acuerd cn el Artícul 8 del ENS. Se establecerán mecanisms de detección, análisis y reprte que lleguen a ls respnsables regularmente cuand se prduzca una desviación significativa de ls parámetrs que se hayan preestablecid cm nrmales. 2.3 Respuesta La Universidad de Salamanca: Establecerá mecanisms para respnder eficazmente a ls incidentes de seguridad. Designará un punt de cntact para las cmunicacines cn respect a incidentes detectads en trs departaments en trs rganisms. Establecerá prtcls para el intercambi de infrmación relacinada cn el incidente. Est incluye cmunicacines, en ambs sentids, cn ls Equips de Respuesta a Emergencias (CERT). 2.4 Recuperación Para garantizar la dispnibilidad de ls servicis crítics, las Unidades, Áreas Servicis de la Universidad de Salamanca desarrllarán planes de cntinuidad de ls sistemas TIC cm parte de su plan general de cntinuidad del servici y actividades de recuperación. Aprbad en Cnsej de Gbiern de 18 de diciembre de 2013 Página 3 de 11

5 3 Alcance Esta Plítica se aplica a tds ls sistemas TIC de la Universidad de Salamanca y a tds sus miembrs, sin excepcines. 4 Declaración de la Plítica de Seguridad de la Infrmación El prpósit de esta Plítica de la Seguridad de la Infrmación es prteger la infrmación y ls servicis de la Universidad de Salamanca. Es la plítica de esta entidad asegurar que: La infrmación y ls servicis estén prtegids cntra pérdidas de dispnibilidad, cnfidencialidad e integridad. La infrmación esté prtegida cntra access n autrizads. Se cumplan ls requisits legales aplicables. Se cumplan ls requisits del servici respect a la seguridad de la infrmación y ls sistemas de infrmación. Las incidencias de seguridad sean cmunicadas y tratadas aprpiadamente. Se establezcan prcedimients para cumplir cn esta Plítica. El Respnsable de Seguridad de la Infrmación sea el encargad de mantener esta Plítica, ls prcedimients y de prprcinar apy en su implementación. El Respnsable de Servici sea el encargad de implementar esta Plítica y sus crrespndientes prcedimients. Cada emplead sea respnsable de cumplir esta Plítica y sus prcedimients según aplique a su puest. La Universidad de Salamanca implemente, mantenga y realice un seguimient del cumplimient del Esquema Nacinal de Seguridad. 5 Marc nrmativ Según la legislación vigente, las leyes aplicables a la Universidad de Salamanca en materia de Seguridad de la Infrmación sn: Real Decret 3/2010, de 8 de ener, pr el que se regula el Esquema Nacinal de Seguridad en el ámbit de la administración electrónica. BOE de 29 de ener de Aprbad en Cnsej de Gbiern de 18 de diciembre de 2013 Página 4 de 11

6 Ley 30/1992, de 26 de nviembre, de Régimen Jurídic de las Administracines Públicas y del Prcedimient Administrativ Cmún. BOE de 27 de nviembre de Ley Orgánica 15/99, de 13 de Diciembre, de Prtección de Dats de Carácter Persnal. BOE de 14 de diciembre de Real Decret 1720/2007, de 21 de diciembre, pr el que se aprueba el Reglament de Desarrll de la Ley Orgánica 15/1999 de Prtección de Dats de Carácter Persnal. BOE de 19 de ener de Ley 11/2007, de 22 de juni, de acces electrónic de ls ciudadans a ls Servicis Públics. BOE de 23 de juni de Real Decret Legislativ 1/1996, de 12 de abril, pr el que se aprueba el Text Refundid de la Ley de Prpiedad Intelectual. BOE de 22 de abril de Ley 7/2007, de 12 de abril, del Estatut Básic del Emplead Públic. BOE de 13 de abril de Ley rgánica 6/2001, del 21 de diciembre, de universidades. BOE de 24/12/2001. Ley 3/2003, de 28 de marz, de Universidades de Castilla y León. BOCLYL de 4 de Abril de 2003 y BOE de 23 de Abril de Estatuts de la Universidad de Salamanca, aprbads pr Acuerd 19/2003, de 30 de ener, de la Junta de Castilla y León y mdificads pr Acuerd 38/2011, de 5 de may, de la Junta de Castilla y León Asimism, la Universidad de Salamanca cumple cn las leyes, reglaments y nrmativa, nacinales internacinales, aplicables a su actividad y relacinadas cn la Organización de la Seguridad 5.1 Cmité: Funcines y Respnsabilidades El Cmité de Seguridad de la Infrmación crdina la seguridad de la infrmación en la Universidad de Salamanca El Cmité de Seguridad de la Infrmación estará frmad pr: Respnsable de la Infrmación: la persna titular de la Secretaría General de la Universidad de Salamanca persna en quien delegue. Respnsable de ls Servicis, la persna titular de la Gerencia de la Universidad de Salamanca persna en quien delegue. Aprbad en Cnsej de Gbiern de 18 de diciembre de 2013 Página 5 de 11

7 Respnsable de Seguridad, la persna titular del Vicerrectrad encargad de las infraestructuras infrmáticas persna en quien delegue. Respnsable del Sistema, la persna respnsable de sistemas de ls Servicis Infrmátics El Secretari del Cmité de Seguridad será el Respnsable del Sistema y tendrá cm funcines: Cnvcar las reunines del Cmité de Seguridad de la Infrmación. Preparar ls temas a tratar en las reunines del Cmité, aprtand infrmación cncreta para la tma de decisines. Elabrar el acta de las reunines. Ser el respnsable de la ejecución directa delegada de las decisines del Cmité. El Cmité de Seguridad reprtará al Rectr. El Cmité de Seguridad tendrá las siguientes funcines: Infrmar regularmente del estad de la seguridad de la infrmación al Rectrad. Prmver la mejra cntinua del sistema de gestión de la seguridad de la infrmación. Elabrar la estrategia de evlución de la Universidad de Salamanca en l que respecta a seguridad de la infrmación. Crdinar ls esfuerzs de las diferentes áreas en materia de seguridad de la infrmación, para asegurar que ls esfuerzs sn cnsistentes, alineads cn la estrategia decidida en la materia, y evitar duplicidades. Elabrar (y revisar regularmente) la plítica de seguridad de la infrmación. Prmver, para su aprbación, la nrmativa de seguridad de la infrmación. Elabrar y aprbar ls requisits de frmación y calificación de administradres, peradres y usuaris desde el punt de vista de seguridad de la infrmación. Mnitrizar ls principales riesgs residuales asumids pr la Universidad de Salamanca y recmendar psibles actuacines respect de ells. Mnitrizar el desempeñ de ls prcess de gestión de incidentes de seguridad y recmendar psibles actuacines respect de ells. En particular, velar pr la crdinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la infrmación. Aprbad en Cnsej de Gbiern de 18 de diciembre de 2013 Página 6 de 11

8 Prmver la realización de las auditrías periódicas que permitan verificar el cumplimient de las bligacines del rganism en materia de seguridad. Aprbar planes de mejra de la seguridad de la infrmación de la Universidad de Salamanca. En particular velar pr la crdinación de diferentes planes que puedan realizarse en diferentes áreas. Pririzar las actuacines en materia de seguridad cuand ls recurss sean limitads. Velar prque la seguridad de la infrmación se tenga en cuenta en tds ls pryects TIC desde su especificación inicial hasta su puesta en peración. En particular deberá velar pr la creación y utilización de servicis hrizntales que reduzcan duplicidades y apyen un funcinamient hmgéne de tds ls sistemas TIC. Reslver ls cnflicts de respnsabilidad que puedan aparecer entre ls diferentes respnsables, elevand aquells cass en ls que n tenga suficiente autridad para decidir. 5.2 Rles: Funcines y Respnsabilidades Las funcines y respnsabilidades se detallan a cntinuación: Respnsable de la Infrmación Velar pr el buen us de la infrmación y, pr tant, de su prtección. Ser respnsable últim de cualquier errr negligencia que lleve a un incidente de cnfidencialidad de integridad. Establecer ls requisits de la infrmación en materia de seguridad. Determinar ls niveles de seguridad de la infrmación. Respnsable del Servici Establecer ls requisits del servici en materia de seguridad, incluyend ls requisits de interperabilidad, accesibilidad y dispnibilidad. Determinar ls niveles de seguridad de ls servicis. Respnsable de Seguridad Mantener la seguridad de la infrmación manejada y de ls servicis prestads pr ls sistemas de infrmación en su ámbit de respnsabilidad. Prmver la frmación y cncienciación en materia de seguridad de la infrmación. Aprbad en Cnsej de Gbiern de 18 de diciembre de 2013 Página 7 de 11

9 Respnsable del Sistema Desarrllar, perar y mantener el Sistema de Infrmación durante td su cicl de vida, de sus especificacines, instalación y verificación de su crrect funcinamient. Definir la tplgía y sistema de gestión del Sistema de Infrmación estableciend ls criteris de us y ls servicis dispnibles en el mism. Cercirarse de que las medidas específicas de seguridad se integren adecuadamente dentr del marc general de seguridad. Administradr de la Seguridad del Sistema Implementar, gestinar y mantener las medidas de seguridad aplicables al Sistema de Infrmación. Gestinar, cnfigurar y actualizar, en su cas, el hardware y sftware en ls que se basan ls mecanisms y servicis de seguridad del Sistema de Infrmación. Gestinar las autrizacines cncedidas a ls usuaris del sistema, en particular ls privilegis cncedids, incluyend la mnitrización de que la actividad desarrllada en el sistema se ajusta a l autrizad. Aplicar ls Prcedimients Operativs de Seguridad. Aprbar ls cambis en la cnfiguración vigente del Sistema de Infrmación. Asegurar que ls cntrles de seguridad establecids sn cumplids estrictamente. Asegurar que sn aplicads ls prcedimients aprbads para manejar el sistema de infrmación. Supervisar las instalacines de hardware y sftware, sus mdificacines y mejras para asegurar que la seguridad n está cmprmetida y que en td mment se ajustan a las autrizacines pertinentes. Mnitrizar el estad de seguridad del sistema prprcinad pr las herramientas de gestión de events de seguridad y mecanisms de auditría técnica implementads en el sistema. Infrmar a ls Respnsables de la Seguridad y del Sistema de cualquier anmalía, cmprmis vulnerabilidad relacinada cn la seguridad. Clabrar en la investigación y reslución de incidentes de seguridad, desde su detección hasta su reslución. Aprbad en Cnsej de Gbiern de 18 de diciembre de 2013 Página 8 de 11

10 6 Prcedimients de designación Ls Respnsables de Infrmación, Servici, Seguridad y Servicis Infrmátics se designan según el prcedimient establecid para su carg. La persna respnsable de Sistema será nmbrada pr el Cmité a prpuesta de la Dirección de ls Servicis Infrmátics. Ls Administradres de Seguridad serán nmbrads pr el Cmité a prpuesta del Respnsable del Sistema, precisand sus funcines y respnsabilidades dentr del marc establecid pr esta Plítica. El nmbramient se revisará cada ds añs cuand el puest quede vacante. 7 Revisión de la Plítica de Seguridad de la Infrmación Será misión del Cmité de Seguridad la revisión de esta Plítica de Seguridad de la Infrmación y la prpuesta de mdificación mantenimient de la misma. La Plítica será aprbada pr el Cnsej de Gbiern y difundida para que la cnzcan tdas las partes afectadas. 8 Dats de Carácter Persnal La Universidad de Salamanca trata dats de carácter persnal. El Dcument de Seguridad, que se puede encntrar en la Secretaría General, recge ls fichers afectads y ls respnsables crrespndientes. Tds ls sistemas de infrmación de la Universidad de Salamanca se ajustarán a ls niveles de seguridad requerids pr la nrmativa para la naturaleza y finalidad de ls dats de carácter persnal recgids en el mencinad Dcument de Seguridad. 9 Gestión de Riesgs Tds ls sistemas sujets a esta Plítica deberán realizar un análisis de riesgs, evaluand las amenazas y ls riesgs a ls que están expuests. Este análisis se revisará cada ds añs y se pdrá repetir:: cuand cambie la infrmación manejada cuand cambien ls servicis prestads cuand curra un incidente grave de seguridad cuand se reprten vulnerabilidades graves Para la armnización de ls análisis de riesgs, el Cmité de Seguridad establecerá una valración de referencia para ls diferentes tips de infrmación manejads y ls diferentes servicis prestads. El Cmité de Seguridad dinamizará la dispnibilidad de recurss para Aprbad en Cnsej de Gbiern de 18 de diciembre de 2013 Página 9 de 11

11 atender a las necesidades de seguridad de ls diferentes sistemas, prmviend inversines de carácter hrizntal. La gestión de riesgs quedará dcumentada en el infrme de Análisis y Gestión de Riesgs. 10 Desarrll de la Plítica de Seguridad de la Infrmación Esta Plítica de Seguridad de la Infrmación cmplementa las plíticas de seguridad de la Universidad de Salamanca en materia de prtección de dats de carácter persnal. Esta Plítica se desarrllará pr medi de la Nrmativa de Seguridad que afrnta aspects específics. La Nrmativa de Seguridad estará a dispsición de tds ls miembrs de la rganización que necesiten cncerla en la web de Secretaría General, en particular para aquells que utilicen, peren administren ls sistemas de infrmación y cmunicacines. 11 Obligacines del persnal Td el persnal de la Universidad de Salamanca tiene la bligación de cncer y cumplir esta Plítica de Seguridad de la Infrmación y la Nrmativa de Seguridad, siend respnsabilidad del Cmité de Seguridad dispner ls medis necesaris para que la infrmación llegue a ls afectads. Las persnas cn respnsabilidad en el us, peración administración de sistemas TIC recibirán frmación para el manej segur de ls sistemas en la medida en que la necesiten para realizar su trabaj. 12 Terceras partes Cuand la Universidad de Salamanca preste servicis a trs rganisms maneje infrmación de trs rganisms, se les hará partícipes de esta Plítica de Seguridad de la Infrmación, se establecerán canales para infrme y crdinación de ls respectivs Cmités de Seguridad y se establecerán prcedimients de actuación para la reacción ante incidentes de seguridad. Cuand la Universidad de Salamanca utilice servicis de tercers ceda infrmación a tercers, se les hará partícipes de esta Plítica de Seguridad y de la Nrmativa de Seguridad que ataña a dichs servicis infrmación. Dicha tercera parte quedará sujeta a las bligacines establecidas en dicha nrmativa, pudiend desarrllar sus prpis prcedimients perativs para satisfacerla. Se establecerán prcedimients específics de reprte y reslución de incidencias. Se garantizará que el persnal de tercers está adecuadamente cncienciad en materia de seguridad, al mens al mism nivel que el establecid en esta Plítica. Aprbad en Cnsej de Gbiern de 18 de diciembre de 2013 Página 10 de 11

12 Cuand algún aspect de la Plítica n pueda ser satisfech pr una tercera parte según se requiere en ls párrafs anterires, se requerirá un infrme del Respnsable de Seguridad que precise ls riesgs en que se incurre y la frma de tratarls. Se requerirá la aprbación de este infrme pr ls respnsables de la infrmación y ls servicis afectads antes de seguir adelante. Aprbad en Cnsej de Gbiern de 18 de diciembre de 2013 Página 11 de 11