Aprobación y entrada en vigor
Texto aprobado por el Comité de Seguridad de fecha 12 de abril de 2018.
Esta Política de Seguridad de la Información es efectiva desde su aprobación y hasta que sea reemplazada por una nueva política.
Quedan derogadas las disposiciones de igual o inferior rango que se opongan a lo dispuesto en la presente Política de Seguridad de la Información.
Marco normativo
Esta Política de Seguridad de la Información se dicta de conformidad con lo dispuesto en las leyes y reales decretos siguientes:
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).
- Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (LPI), regularizando, aclarando y armonizando las disposiciones vigentes en la materia.
- Todas aquellas normas, de carácter general o interno, que resulten de aplicación a la Universidad en el marco de esta Política de Seguridad.
- Estatuto de los trabajadores.
Objetivo de la política de seguridad de la información
El objeto del presente documento es establecer la Política de Seguridad de la Información de la Universidad de Deusto (en adelante Deusto), con la que se garantice una protección adecuada de los activos de información y la prestación continuada de los servicios, de modo tal que Deusto esté preparada para prevenir, detectar, reaccionar y recuperarse de incidentes de seguridad.
Para ello, deberá contar con las medidas de seguridad necesarias para mantener un nivel de riesgo aceptable, así como realizar un seguimiento continuo de los niveles de prestación de servicios, analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes.
Los servicios de información de Deusto han de realizar sus funciones y custodiar la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones no controladas, y sin que la información pueda llegar a conocimiento de personas no autorizadas.
Conforme a ello, la capacidad de las redes y de los sistemas de información de Deusto ha de ser suficiente para resistir, con el nivel de confianza exigible, los accidentes o acciones ilícitas o malintencionadas que pongan en peligro el acceso, la disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, almacenados o transmitidos, así como de los servicios utilizados en medios electrónicos.
Deusto debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida de los sistemas de información, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición, y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación derivadas de cada etapa, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en los pliegos de licitación para proyectos de TIC.
Para dar cumplimiento a lo previsto en esta Política de Seguridad de la Información y así satisfacer el nivel de seguridad exigido por la Universidad, el Comité de Seguridad de la
Información elaborará anualmente un informe en el que se especificarán las medidas de mseguridad que, conforme al principio de gestión de riesgos, hayan sido aprobadas por el
Comité y que deban ser implementadas por su carácter necesario durante el ejercicio económico siguiente, así como aquellas medidas que sería deseable incluir para impulsar la
estrategia de seguridad diseñada por el Comité.
Ámbito de aplicación
En virtud de esta Política de Seguridad de la Información y su normativa de desarrollo, se definirán unas medidas de seguridad que se aplicarán, según se determine en dichas normas, a todos los servicios, sistemas y demás recursos TIC de Deusto que den soporte a sus procesos y que afecten a los diferentes activos de información sustentados en ellos.
Los recursos TIC de Deusto tienen como finalidad el apoyo a la docencia, a la investigación y a las tareas de gestión necesarias para el funcionamiento de la Universidad.
Son recursos TIC de Deusto todos los sistemas centrales y departamentales, estaciones de trabajo, ordenadores de puesto, impresoras y otros periféricos y dispositivos de salida, sistemas de localización, redes internas y externas, sistemas multiusuario y servicios de comunicaciones (transmisión telemática de voz, imagen, datos o documentos) y sistemas de almacenamiento que sean de su propiedad.
Esta política se aplica también a todas aquellas personas, instituciones, entidades o unidades y servicios, sean internos o externos, que hagan uso de los recursos TIC de Deusto, sea mediante conexión directa o indirecta con los mismos, conexión remota o a través de equipos ajenos a la misma, incluyendo expresamente los servicios prestados a través de Internet. En adelante tales sujetos tendrán la consideración de “usuarios”.
Principios básicos de seguridad
La presente Política de Seguridad de la Información de Deusto, así como la normativa que la desarrolle, se fundamenta en principios básicos de protección cuyo fin es asegurar que una organización podrá cumplir sus objetivos utilizando sistemas de información.
Estos principios básicos, que deberán ser tenidos en cuenta siempre que se adopten decisiones en materia de seguridad de la información, son los siguientes:
a) Seguridad integral.
La seguridad ha de ser entendida como un proceso integral que involucra a todos y cada uno
de los elementos humanos, técnicos, materiales y organizativos relacionados con el sistema.
b) Gestión de riesgos.
El análisis y la gestión de riesgos es una parte esencial del proceso de seguridad. Los niveles de riesgo han de mantenerse dentro de unos niveles mínimos aceptables, mediante el despliegue de las medidas de seguridad apropiadas y permanentemente actualizadas, de modo tal que se establezca un equilibrio y proporcionalidad entre la naturaleza de los datos y los tratamientos realizados, los riesgos a los que estén expuestos y las medidas de seguridad aplicadas.
c) Prevención y recuperación de sistemas y datos ante desastres.
La seguridad del sistema debe contemplar los aspectos de prevención, detección y recuperación, para conseguir que las amenazas sobre el mismo no se materialicen o no afecten gravemente a los datos que manejan los sistemas de información o los servicios que prestan.
El sistema garantizará la conservación de los datos e informaciones en soporte electrónico, y mantendrá disponibles los servicios durante todo el ciclo vital de la información digital.
d) Líneas de defensa.
El sistema ha de disponer de una estrategia de protección constituida por múltiples capas de seguridad, dispuestas de tal forma que, si una de ellas falla por causa de un incidente que no ha podido evitarse, se gane tiempo para una reacción adecuada, se reduzca la posibilidad de que el sistema se vea comprometido en su conjunto, y se minimice el impacto final sobre el mismo.
Las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.
e) Reevaluación periódica.
Las medidas de seguridad adoptadas por Deusto se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección.
Organización de la seguridad
Para garantizar que todas las etapas del ciclo de vida de protección de la información sean realizadas de manera apropiada y las responsabilidades para su ejecución sean asignadas adecuadamente, Deusto establece una estructura que permite promover la aplicación consistente de la presente política y acomodar efectivamente los frecuentes cambios tecnológicos y organizacionales.
Para ello, se definen los siguientes Comités y Roles generales relacionados con su participación en la gestión y supervisión de la seguridad de la información:
- Comité de Seguridad de la Información.
- Vicerrectorado de Ordenación Académica, Innovación Docente y Calidad, como responsable del área TIC y Calidad.
- Servicio Informático.
- Delegado de Protección de Datos (Data Protection Officer, DPO) / Responsable de Seguridad de la Información.
Datos de carácter personal
Deusto realiza tratamientos en los que hace uso de datos de carácter personal.
El Registro de Actividades de Tratamiento de Deusto recoge los tratamientos afectados y los responsables correspondientes.
Todos los sistemas de información de Deusto se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado documento de seguridad.
Acceso a la información
Quienes traten información de Deusto que no sea de acceso público, deberán estar debidamente identificados y tener los privilegios de acceso a la información estrictamente necesarios para desempeñar su contenido.
Es por ello que, el acceso a los sistemas de información debe estar controlado y limitado exclusivamente a los usuarios, procesos, dispositivos y sistemas de información que estén autorizados, de forma que el acceso quede restringido exclusivamente a las funciones permitidas.
Gestión de incidentes de seguridad
El departamento de Tecnologías de la Información debe disponer de un servicio de respuesta ante incidentes de seguridad (CERT) que esté dotado de los medios para implantar y gestionar todas y cada una de las medidas de seguridad requeridas a cada sistema de información y para dar respuesta a los incidentes de seguridad que se produzcan.
Este servicio podrá efectuar las auditorías de seguridad que considere oportunas sobre cualquier equipo conectado a la red de la universidad, pudiendo proceder a su desconexión o aislamiento en aquellos casos que supongan un riesgo potencial o real para el resto de los sistemas de información de Deusto.
Los incidentes de seguridad pueden ser detectados por el responsable o administrador del sistema, por inspección o alarma en el servicio CERT o comunicados desde el exterior de Deusto. En el sistema de gestión de peticiones del CAU se debe centralizar la recogida, análisis y gestión de los incidentes identificados.
Asimismo, cualquier usuario debe trasladar incidentes, sugerencias y/o debilidades que puedan tener relación con la seguridad de la información y las directrices contempladas en la presente política comunicándolas al CAU.
Gestión de riesgos
Las decisiones en materia de seguridad deben basarse en el análisis y gestión de riesgos como proceso esencial de seguridad, que deberá mantenerse permanentemente actualizado.
La evaluación de riesgos identifica las amenazas y vulnerabilidades, y debe ser suficientemente amplia para abarcar los principales factores internos y externos, tales como tecnológicos, físicos y humanos, políticos y servicios de terceros con implicaciones de seguridad.
La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad.
Debido a la creciente interconexión de los sistemas de información, la evaluación de riesgos debe incluir la consideración de los posibles daños que pueden proceder de otros o ser causados por terceras personas.
Todos los sistemas sujetos a esta Política deberán ser objeto de un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.
Obligaciones de los usuarios
Todos los miembros de Deusto tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad desarrollada a partir de ella, siendo responsabilidad del Comité de Seguridad de la Información disponer de los medios necesariospara que la información llegue a los afectados.
Todo el personal de la Universidad debe ser consciente de la necesidad de garantizar la seguridad de los sistemas de información, así como que ellos mismos son una pieza esencial para el mantenimiento y mejora de la seguridad.
Se establecerá un programa de concienciación continua para atender a todos los miembros de Deusto, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.
Relación con terceras partes
Cuando Deusto preste servicios a otros organismos o maneje información de los mismos, el responsable de esa relación les hará partícipe de esta política de seguridad y de las normas e
instrucciones derivadas.
Se establecerán canales de comunicación y coordinación entre los respectivos Comités de Seguridad de la Información, y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Asimismo, cuando Deusto utilice servicios de terceros o ceda información a terceros, el responsable de esa relación les hará igualmente partícipes de esta política de seguridad y de la normativa e instrucciones de seguridad que atañe a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones y medidas de seguridad establecidas en dicha normativa e instrucciones, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de prevención, detección, reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta política de seguridad.
En concreto, los terceros deberán garantizar el cumplimiento de políticas de seguridad basadas en estándares auditables y someterse a controles y revisiones de terceros que certifiquen el cumplimiento de estas políticas. Asimismo, se garantizará mediante auditoría o certificado de destrucción y borrado que el tercero cancela y elimina los datos pertenecientes a Deusto a la finalización del contrato.
Cuando algún aspecto de esta política de seguridad no pueda ser satisfecho por una tercera parte, se requerirá un informe del DPO / Responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Comité de Seguridad de la Información antes de seguir adelante.