UNIVERSIDAD DE SANTIAGO DE COMPOSTELA POLÍTICA DE ...
Transcript of UNIVERSIDAD DE SANTIAGO DE COMPOSTELA POLÍTICA DE ...
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 2
Fecha de aprobación: 24 de julio de 2020.
CONTROL DEL DOCUMENTO
Referencia Nombre del Documento Clasificación POSI-001 Política de Seguridad de la Información Público Versión Fecha Propósito/descripción del cambio Fecha Revisión 1.0 2.0 3.0 4.0
Aprobación Adaptación al Esquema Nacional de Seguridad Cambios en la composición del Comité de Seguridad Mejora continua en relación con el ENS
19/07/2018 15/01/2020 07/07/2020
Autor Aprobado por Fecha de
aprobación Comité de Seguridad de la Información
Consejo de Gobierno 24/07/2020
Distribución Este documento se encuentra disponible al público en la web de la Universidad de Santiago de Compostela. Control de versiones El Responsable de Seguridad de la Información es el responsable del control de versiones de este documento. Control de Calidad El Comité de Seguridad de la Información es responsable de la revisión del Documento, en el marco del seguimiento periódico de la Política de Seguridad de la Información, o como consecuencia de cambios significativos, y en coordinación con las auditorías de seguridad.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 3
ÍNDICE
Contenido INTRODUCCIÓN ............................................................................................................ 5
1. OBJETO .................................................................................................................... 6
2. MARCO NORMATIVO ........................................................................................... 7
3. ALCANCE ................................................................................................................ 8
4. PRINCIPIOS GENERALES ..................................................................................... 8
La seguridad de la información como proceso integral .................................................... 8
Gestión de la seguridad basada en riesgos ........................................................................ 9
Mejora continua ................................................................................................................ 9
Autorización y control de accesos .................................................................................... 9
Clasificación de la información ...................................................................................... 10
Seguridad por defecto ..................................................................................................... 10
Gestión de personal ........................................................................................................ 10
Función diferenciada ...................................................................................................... 11
Registros de actividad ..................................................................................................... 11
Gestión de incidentes de seguridad ................................................................................ 11
Protección de las instalaciones ....................................................................................... 12
Adquisición de productos ............................................................................................... 12
Integridad y actualización del sistema ............................................................................ 12
Prevención ante otros sistemas de información interconectados.................................... 13
Continuidad de la actividad ............................................................................................ 13
5. ORGANIZACIÓN DE SEGURIDAD .................................................................... 13
5.1. Estructura organizativa: Funciones y responsabilidades ..................................... 14
Consejo de Gobierno ...................................................................................................... 14
Comité de Seguridad de la Información ......................................................................... 14
5. 2. Roles: Funciones y responsabilidades .................................................................... 16
Responsable de la información ....................................................................................... 16
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 4
Responsable de los servicios .......................................................................................... 17
Responsable de seguridad de la información ................................................................. 17
Responsable de los sistemas ........................................................................................... 19
Organización de la protección de datos .......................................................................... 19
5.3. Jerarquía en el proceso de decisiones ...................................................................... 21
Procedimientos de designación de personas ................................................................... 23
6. GESTIÓN DE RIESGOS ........................................................................................ 23
Justificación .................................................................................................................... 23
Criterios de evaluación de riesgos .................................................................................. 24
Directrices de tratamiento ............................................................................................... 24
Proceso de aceptación del riesgo residual ...................................................................... 24
Necesidad de realizar o actualizar las evaluaciones de riesgos ...................................... 25
7. RELACIÓN CON PROTECCIÓN DE DATOS PERSONALES .......................... 25
8. NORMATIVA DE SEGURIDAD de la INFORMACIÓN .................................... 26
9. OBLIGACIONES ASOCIADAS ........................................................................... 28
9.1 Obligaciones generales de los usuarios .................................................................... 28
9.2. Responsabilidades en caso de incumplimiento ....................................................... 28
10. DEROGACIÓN, APROBACIÓN y ENTRADA EN VIGOR ............................ 29
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 5
INTRODUCCIÓN
La información es un activo estratégico para la Universidad de Santiago de Compostela (USC),
y debe ser adecuadamente protegida, sea cuál sea la forma en la que esté representada,
almacenada o sea procesada.
En este entorno cabe de estacar el papel de las Tecnologías de la Información y de las
Comunicaciones (TIC) por la creciente importancia en el tratamiento de esa información,
siendo el rápido desarrollo de estas tecnologías uno de los factores principales que está
permitiendo que las Administraciones Públicas mejoren su eficiencia, posibilitando acercarse
al ciudadano mediante nuevos canales de comunicación.
Pero la información y las tecnologías que la tratan están sometidas a riesgos, internos y
externos, que es necesario gestionar adecuadamente para situarlos bajo umbrales aceptables.
Para eso, es necesario contar con un sistema de gestión de la seguridad de la información.
Mediante esta herramienta, los órganos de gobierno de la USC podrán establecer objetivos y
medir la efectividad de las acciones que, en este ámbito, lleven a cabo. Esta necesidad está
alineada con la obligatoriedad de cumplir con lo dispuesto en el Real decreto 3/2010, de 23 de
octubre, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS), modificado
por el Real decreto 951/2015. Estas normas definen precisamente un modelo de gestión de la
seguridad de la información y serán, por tanto, la guía que seguirá la USC en este ámbito.
La seguridad de la información tiene como objetivo reducir, hasta un nivel aceptable, los
riesgos a que están sometidos la información, sistemas y servicios que dan apoyo a la actividad
universitaria. Este nivel aceptable debe responder a una valoración conjunta de la gravedad
de las amenazas, los recursos disponibles, el respeto a los derechos individuales y al
cumplimiento normativo.
Hay que tener presente que la seguridad de la información precisa de la colaboración e
implicación de toda la comunidad universitaria, desde los órganos directivos, que aprueban la
presente política y son responsables de su divulgación e implantación efectiva, hasta los
usuarios finales de los sistemas de información. Por eso, toda la organización debe estar
preparada para prever, detectar, reaccionar y recuperarse ante posibles incidentes de
seguridad.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 6
1. OBJETO
La USC define la presente Política de Seguridad de la Información, de carácter obligatorio
para toda la comunidad universitaria y empresas colaboradoras, teniendo como objetivo
fundamental garantizar la seguridad de la información y la prestación continuada de los
servicios que proporciona, actuando cautelarmente, supervisando la actividad y reaccionando
con presteza frente a los incidentes que puedan ocurrir.
Esta política se aplicará a toda la información que se genere como consecuencia de las
actividades de la universidad, así como a los tratamientos de los que pueda ser objeto,
independientemente que estos sean manuales o automatizados, y que incluyan o no datos de
carácter personal.
Esta política debe sentar las bases para que el acceso, uso, custodia y salvaguarda de los
activos de información, de los que se sirve la USC para desarrollar sus funciones, se realicen
bajo garantías de seguridad, en sus distintas dimensiones:
- Integridad: propiedad o característica consistente en que el activo de información no
sea alterado de manera no autorizada.
- Disponibilidad: propiedad o característica de los activos consistente en que las
entidades o procesos autorizados tengan acceso a los mismos cuando lo requieran.
- Confidencialidad: propiedad o característica consistente en que la información ni se
ponga la disposición, ni se revele a individuos, entidades o procesos no autorizados.
- Trazabilidad: propiedad o característica consistente en que las actuaciones de una
entidad puedan ser imputadas exclusivamente la dicta entidad.
- Autenticidad: propiedad o característica consistente en que una entidad sea quien
dice ser o bien que garantice la fuente de la que proceden los datos.
Bajo estas premisas los objetivos específicos de la Seguridad de la Información en la USC
serán:
- Velar por la seguridad de la información, en las distintas dimensiones antes descritas.
- Gestionar formalmente la seguridad, en base a procesos de análisis de riesgos.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 7
- Elaborar, mantener y probar los planes de contingencias y continuidad de la actividad
que se definan para los distintos servicios ofrecidos por la USC.
- Realizar una adecuada gestión de incidentes que afecten a la seguridad de la
información.
- Mantener informado a todo el personal acerca de los requerimientos de seguridad, y
difundir buenas prácticas en el manejo de la información.
- Proporcionar los niveles de seguridad acordados con terceras partes cuando se
compartan o cedan activos de información.
- Cumplir con la reglamentación y normativa vigente.
Esta Política de Seguridad:
- Se aprobará formalmente por el Consejo de Gobierno.
- Se revisará regularmente de suerte que se adapte las nuevas circunstancias, técnicas
u organizativas, y evite la obsolescencia.
- Se comunicará a todos los empleados y a las empresas u organismos externos que
manejen información de la USC.
2. MARCO NORMATIVO
El marco normativo de las actividades de la USC en el ámbito de esta Política de Seguridad de
la Información está integrado por las siguientes normas:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos).
- Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal
y garantía de los derechos digitales.
- Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector
público.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 8
- Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el ámbito de la Administración Electrónica.
- Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidade en el ámbito de la administración electrónica.
- Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las
administraciones públicas.
- Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público.
- Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010,
de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en ámbito de la
Administración Electrónica.
Igualmente, se deberán tener en cuenta las posibles modificaciones normativas y avances
técnicos que puedan afectar al ámbito de esta Política de Seguridad de la Información.
3. ALCANCE
La Política de Seguridad de la Información se aplica a toda la comunidad universitaria:
personal, alumnado, así como a empresas y organismos, siempre que traten información de
la USC.
Afecta a toda la información generada, procesada y almacenada, independientemente de su
soporte y formato, utilizada en tareas operativas o administrativas; la información cedida
dentro de un marco legal establecido, que será considerada como propia a efectos exclusivos
de su protección; a todos los sistemas utilizados para administrar y gestionar la información,
sean propios de la USC o alquilados o licenciados por ella.
4. PRINCIPIOS GENERALES
La seguridad de la información como proceso integral
- La seguridad de la información incumbe a todos los miembros de la organización.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 9
- La seguridad se entiende como un proceso integral constituido por todos los elementos
que posibilitan un sistema de información: técnicos, humanos, materiales y
organizativos.
- La seguridad de los sistemas de información contemplará los aspectos de prevención,
detección y corrección para conseguir que las amenazas sobre los mismos no se
materialicen o no causen daños graves.
- Se establecerán medidas de seguridad en las distintas capas que intervienen en el
tratamiento de la información
Gestión de la seguridad basada en riesgos
- La selección de medidas de seguridad se realizará en base al análisis de los riesgos a
los que estén sometidos la información y sus sistemas de tratamiento.
- Este análisis se mantendrá permanentemente actualizado dentro de un ciclo de mejora
continua.
Mejora continua
- La seguridad de la información se entiende como un proceso de mejora continua.
- Periódicamente, la universidad definirá un conjunto de objetivos de seguridad que
incluirán una descripción de líneas de actuación previstas, los proyectos en los que se
concretan, los objetivos que se deben alcanzar y los indicadores de cumplimiento y
progreso correspondientes. Estos objetivos, que tomarán en consideración los
resultados de las auditorías y del análisis de riesgos, se revisarán anualmente.
Autorización y control de accesos
- El acceso a los sistemas de información se realizará a través de mecanismos personales
e intransferibles y deberán ser debidamente autorizados.
- El nivel de acceso a los sistemas de información estará basado en las necesidades del
puesto de trabajo del/la usuario/a, aplicando el principio de mínimo privilegio.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 10
Clasificación de la información
- Los activos de información que trata la universidad deberán ser inventariados y
clasificados en función de la confidencialidad de la misma.
- Deberá designarse un/a responsable para cada activo de información.
- El nivel de protección y las medidas de seguridad que se deben aplicar a dichos activos
tendrán en cuenta su clasificación.
Seguridad por defecto
- Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por
defecto.
- Los sistemas proporcionarán la mínima funcionalidad requerida para que la
organización alcance sus objetivos.
Gestión de personal
- Todo el personal deberá ser formado e informado de sus deberes y obligaciones en
materia de seguridad de la información.
- Todos los/as usuarios/as de los sistemas de información son responsables de la
comprensión y cumplimento de la Política de Seguridad de la Información y de las
normas, procedimientos, instrucciones y recomendaciones asociadas.
− El personal que participe en el tratamiento de información o tenga acceso a los locales
donde se custodie la información o se realice el tratamiento de ésta, tendrá que
observar y hacer observar las medidas de seguridad establecidas. Estas obligaciones
serán independientes del tipo de relación jurídica que se mantenga con la universidad.
− El significado y alcance del uso seguro de la información y de los sistemas de
tratamiento se podrán concretar en normas específicas.
− La información, independientemente del soporte en que se encuentre, así como los
medios de tratamiento de la misma, se emplearán para fines estrictamente
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 11
relacionados con funciones profesionales y nunca para fines personales o distintos de
los aprobados.
− Se desarrollarán la concienciación, capacitación y educación en materia de seguridad
de la información.
− En las relaciones con terceras partes, proveedores externos o contratistas, las
unidades responsables velarán para que se incluyan en los contratos o convenios las
cláusulas convenientes para que, en caso de que sea necesario o posible el acceso a
información de la universidad por parte del personal de aquéllas, éste se haga
respetando lo previsto en la política de seguridad de la información de la universidad.
Función diferenciada
- Se evitarán los riesgos derivados de una falta de segregación de funciones.
- Se diferenciará entre responsable de la información, del servicio, de los sistemas de
tratamiento y de seguridad.
Registros de actividad
Con la finalidad exclusiva de lograr el cumplimiento de la presente política, con plenas
garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de
los/as afectados/as, y de acuerdo con la normativa sobre protección de datos personales,
de función pública o laboral, y demás disposiciones que resulten de aplicación, se
registrarán las actividades de los/as usuarios/as, reteniendo la información necesaria para
monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas,
permitiendo identificar en cada momento la persona que actúa.
Gestión de incidentes de seguridad
− Se dispondrá de un procedimiento de gestión de incidentes de seguridad.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 12
− Este procedimiento cubrirá los mecanismos de detección, los criterios de clasificación,
los procedimientos de análisis y resolución, así como los canales de comunicación a
las partes interesadas y el registro de las actuaciones.
− Este registro se empleará para la mejora continua de la seguridad del sistema.
Protección de las instalaciones
− Los sistemas se instalarán en áreas separadas.
− Se diseñará un procedimiento para cumplir con todas las medidas de seguridad físicas
que protejan las instalaciones.
− Será especialmente importante dividir en diferentes zonas todas las instalaciones,
previendo lugares de acceso restringido, que deberán contar con un control de accesos
a las mismas.
− Las instalaciones, especialmente la sala del CPD, contarán con controles de
temperatura y humedad, así como medidas contra incendios e inundaciones, y garantía
de suministro eléctrico.
Adquisición de productos
− Se valorarán positivamente aquellos que tengan certificada la funcionalidad de
seguridad relacionada con el objeto de su adquisición.
− El proceso de adquisición de productos estará sujeto a protocolos, siguiendo fielmente
la legislación aplicable al Sector Público.
− Se tendrá especial cuidado con que los nuevos componentes del sistema de
información no afecten a otros ya existentes, además de confirmar que los nuevos
componentes son congruentes con las distintas capacidades del sistema.
Integridad y actualización del sistema
− Todo elemento físico o lógico requerirá autorización formal previa a su instalación en
el sistema.
− Se deberá conocer en todo momento el estado de seguridad de los sistemas, en
relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 13
actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a
la vista del estado de seguridad de los mismos.
Prevención ante otros sistemas de información interconectados
− El sistema debe proteger el perímetro, en particular, si está conectado a redes
públicas. En todo caso se analizarán los riesgos derivados de la interconexión del
sistema, a través de redes, con otros sistemas y se controlará su punto de unión.
Continuidad de la actividad
− Los sistemas dispondrán de copias de seguridad, estableciéndose los mecanismos
necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de
los medios habituales de trabajo.
Los principios generales, anteriormente descritos, podrán ser desarrollados mediante
normativa específica.
5. ORGANIZACIÓN DE SEGURIDAD
Con la finalidad de garantizar la correcta implantación de la presente Política, la USC se
organizará con el objeto de definir las medidas de seguridad que deben aplicarse a los activos
de información.
Dicha organización de la seguridad cuenta con la participación activa de los órganos de
gobierno de la USC, que aprobarán la Política de Seguridad de la Información y asignarán o
delegarán responsabilidades en las personas que considere idóneas, y periódicamente serán
informados para asegurar el seguimiento de la implantación efectiva de la misma.
Así pues, los órganos de gobierno de la entidad cobran una importancia capital: asumen el
compromiso de la entidad con la seguridad y su adecuada implantación, gestión y
mantenimiento.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 14
Igualmente, la organización implicará en distinta medida a todo el personal de la USC, con
objeto de extender la implantación de las prácticas de seguridad idóneas.
A USC podrá crear un sistema de gestión de la seguridad de la información.
5.1. Estructura organizativa: Funciones y responsabilidades
Consejo de Gobierno Los órganos de gobierno de la USC aseguran el compromiso de la universidad en la aplicación
de esta política de seguridad y del ENS aprobando las normas reglamentarias de desarrollo.
En el ámbito de seguridad de la información, el Consejo de Gobierno tiene las siguientes
funciones:
- Aprobar la presente Política de Seguridad de la Información de la USC y sus posteriores
modificaciones a propuesta del Comité de Seguridad de la Información.
- Constituir y realizar el nombramiento de los integrantes del Comité de Seguridad de la
información.
- Aprobar los reglamentos o disposiciones de carácter general en materia de seguridad
de la información.
Comité de Seguridad de la Información A universidad contará con un Comité de Seguridad de la Información, que tendrá la
siguiente composición:
- Secretario/a General o persona que designe, que lo presidirá.
- Responsable de Seguridad de la Información, que ejercerá la secretaría del Comité.
- Vicerrector/a con competencias TIC, o persona que designe.
- Vicerrector/a con competencias en investigación, o persona que designe.
- Gerente/a o persona que designe.
- Secretario/a General Adjunto/a.
- Director/a del Área TIC.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 15
Cada órgano unipersonal designará sus representantes y suplentes, para sustituirlo en caso
de ausencia. Esta designación se hará constar en el documento POSI-003-Miembros del Comité
de Seguridad de la Información.
Además, el comité podrá proponer la incorporación de hasta dos PDI, pertenecientes a
departamentos o áreas de conocimiento relacionados con la seguridad en los sistemas de
información, con objeto de que aporten su experiencia y conocimientos al comité, tanto en el
campo tecnológico como en el campo legal. También podrá invitar a las reuniones a las
personas que considere relevantes en relación con los puntos del orden del día que se
consideren, como invitados permanentes u ocasionales.
Las funciones del Comité de Seguridad de la Información serán las siguientes:
- Promover la integración de los requisitos de seguridad con los objetivos estratégicos
de la USC.
- Asegurarse de que a Política de Seguridad tenga en cuenta el marco legal vigente,
incluyendo lo referido a la protección de datos de carácter personal y a la propiedad
intelectual.
- Coordinar la implantación de la Política de Seguridad de la Información.
- Revisar la efectividad de la Política de Seguridad de la Información y mantenerla
actualizada.
- Definir las pautas generales en materia de seguridad de la información a través de la
normativa desarrollada.
- Publicar y difundir la normativa relativa a la seguridad de la información entre todos/as
os/as afectados/as.
- Revisar los informes de incidentes de seguridad más significativos.
- Controlar las amenazas sobre la información y otros activos.
- Investigar y actuar para prevenir incidentes de seguridad.
- Definir roles y responsabilidades de las distintas funciones relacionadas con la
seguridad de la información.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 16
- Promover el desarrollo de iniciativas destinadas a mejoras de la seguridad.
- Definir las acciones a seguir en el caso de situaciones no previstas, en relación a la
seguridad de la información o ante casos de incumplimiento de la normativa.
- Mantener informado al equipo de alta dirección de la USC de las iniciativas relevantes
en materia de seguridad promovidas en la USC.
- Elaborar instrucciones, guías, modelos-tipo etc., para el mejor funcionamiento de la
USC en materia de seguridad de la información.
- Resolver los conflictos que puedan aparecer entre los diferentes responsables,
elevando aquellos casos en los que non tenga suficiente autoridad para decidir.
5. 2. Roles: Funciones y responsabilidades A continuación, se citan los roles implicados en la organización de la seguridad de la
información en la USC.
Responsable de la información La figura de responsable de la información recaerá en la Secretaría General.
Tendrá las siguientes funciones y responsabilidades:
- Determinar los requisitos de seguridad de la información tratada, necesarios para
proteger apropiadamente la información de las aplicaciones, y concretar los intereses
a salvaguardar, así como las necesidades a cubrir.
- Definir, para la información bajo su responsabilidad, las dimensiones de seguridad
relevantes (disponibilidad, confidencialidad, integridad, autenticidad y trazabilidad) y
su nivel correspondiente.
- Velar por la inclusión de cláusulas sobre seguridad en los contratos con terceras partes
y por su cumplimiento.
- Determinar la clasificación de la categoría del sistema y las medidas de seguridad que
deben aplicarse en la universidad.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 17
- Cualquiera otra función que pueda ser encomendada por los órganos correspondientes.
Responsable de los servicios La responsabilidad de primer nivel sobre los servicios del Sistema General de Seguridad de la
Información recae sobre el titular de la Gerencia, miembro nato del Comité de Seguridad de
la Información. Las personas responsables de cada servicio podrán participar en las reuniones
del comité cuando se considere oportuno o alguno de los temas tratados afecten a sus
servicios.
Las personas responsables de los distintos servicios o unidades administrativas tendrán las
siguientes funciones y responsabilidades:
- Definir las necesidades de seguridad de los servicios contemplados en el análisis de
riesgos en las diferentes dimensiones de seguridad (disponibilidad, confidencialidad,
integridad, autenticidad y trazabilidad) y su nivel correspondiente.
- Determinar para los servicios electrónicos bajo su responsabilidad la evolución del
impacto de una indisponibilidad en función del tiempo.
- Colaborar en el análisis de impacto de los incidentes que se puedan producir y exponer
las estrategias y salvaguardas ante ellos.
- Determinar, junto con las personas responsables de la información, la clasificación de
la categoría del sistema y las medidas de seguridad que deben aplicarse en la
universidad.
- Dar cuenta de los incidentes de seguridad de los que tengan conocimiento.
- Cualquiera otra función que se entienda pertinente en el ámbito de las funciones
generales que les corresponden.
La universidad, a través del Comité de Seguridad de la Información, mantendrá una relación
de los/as responsables de los servicios afectados por la aplicación de la política de seguridad
de la información.
Responsable de seguridad de la información
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 18
La figura de responsable de seguridad de la información recaerá en la persona que ejerza el
puesto dentro del organigrama de la Secretaría Xeral y no podrá coincidir con ningún otro rol
de los que figuran en el presente documento.
Además de formar parte del Comité de Seguridad de la Información, el/la responsable de
seguridad de la información tendrá las siguientes funciones y responsabilidades específicas:
- Asegurar a definición de metodologías y procesos de seguridad homogéneos en toda
la USC.
- Inventariar la clasificación de la categoría de los sistemas y las medidas de seguridad
que deben aplicarse en la universidad.
- Coordinar las tareas periódicas derivadas de la revisión y mantenimiento del Análisis
de Riesgos y del Análisis de Impacto definido en la universidad.
- Informar del estado de la seguridad al Comité de Seguridad de la Información.
- Impulsar o instar junto con el Comité de Seguridad de la Información la realización de
auditorías periódicas que permitan verificar el cumplimiento de las obligaciones en
materia de seguridad.
- Controlar los incidentes de seguridad y coordinar las acciones correctoras pertinentes.
- Colaborar con el resto del personal técnico en el desarrollo de las iniciativas de
seguridad.
- Asesorar a las distintas unidades técnicas en la definición e implantación de
procedimientos y de medidas técnicas de seguridad.
- Promover en la USC las medidas de concienciación necesarias en materia de seguridad
de la información.
Para determinados Sistemas de Información que, por su complejidad, distribución, separación
física de sus elementos o número de usuarios, precisen de personal adicional para llevar a
cabo las funciones del responsable de la seguridad, podrán designarse responsables de
seguridad delegados o subresponsables. La designación será realizada por el responsable de
seguridad y concretará las funciones que se les delegan. No obstante lo anterior, la
responsabilidad final seguirá recayendo en el delegante.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 19
Responsable de los sistemas
La figura de responsable de los sistemas recaerá en el/la director/a del Área de Tecnologías
de la Información y de las Comunicaciones de la USC, miembro nato del Comité de Seguridad
da Información, que podrá designar como responsables del sistema delegados a cada uno de
los responsables técnicos de dicha área relacionados con los sistemas identificados en el
alcance del ENS; no obstante, la responsabilidad final seguirá recayendo en el delegante.
El/La responsable de los sistemas tiene las siguientes funciones y responsabilidades:
- Garantizar que las tareas propias de la administración de la seguridad de los sistemas
bajo su responsabilidad se llevan a cabo de manera correcta.
- Garantizar que los sistemas de información de los que es responsable permanecen bajo
control.
- Llevar a cabo los procesos de seguridad en el ámbito de su área.
- Implementar la seguridad física y lógica de la universidad.
- Colaborar en las auditorías de seguridad, LOPD y en la gestión de riesgos.
- Cualquiera otra función que se entienda pertinente en el ámbito de las funciones
generales que les corresponden.
Serán invitados permanentes a las reuniones del Comité de Seguridad de la Información las
personas responsables de las áreas de sistemas y seguridad dentro del ATIC.
responsables das áreas de sistemas e de seguridade dentro da ATIC.
Organización de la protección de datos
Para la prestación del servicio público de enseñanza superior propio de la USC deben ser
tratados datos de carácter personal.
El Registro de Actividades de Tratamiento detalla los archivos afectados y los responsables
correspondientes, así como las medidas adoptadas en este marco. Todos los niveles de
seguridad de los sistemas de información se replicarán en los tratamientos de datos personales
requeridos, según su natureza y finalidad.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 20
En esta materia surgen varias responsabilidades a nivel legal u organizativo.
a) Responsable de tratamiento: es la persona física o jurídica, autoridad pública,
servicio u otro organismo que, solo o con otros, determine los fines y medios del
tratamiento. En este caso, la Universidade de Santiago de Compostela.
b) Encargado de tratamiento: es la persona física o jurídica, autoridad pública, servicio
u otro organismo que trate datos por cuenta del responsable del tratamiento. La
relación entre responsable y encargado deberá estar regulada en un contrato, convenio
o instrumento jurídico.
c) Delegado de protección de datos:
De conformidad con el Reglamento General de Protección de Datos, en los artículos 37
al 39, debe cumplir con los siguientes requisitos, características y funciones:
- Tendrá que ser un profesional que pueda acreditar formación y conocimientos
especializados en materia de protección de datos.
- Deberá asegurar el cumplimento normativo de la protección de datos, haciendo
compatible el funcionamiento de la organización, la consecución de los objetivos
lícitos y legítimos de su actividad y la garantía del derecho a la protección de datos
y a la seguridad de la información.
- Podrá establecerse a través de contratación externa o mediante designación
dentro del cuadro de personal de la organización.
- Será el interlocutor necesario con la Autoridad de Control de la Protección de
Datos.
- Informará y asesorará al responsable y/o al encargado del tratamiento y a los
empleados que se ocupen del tratamiento de los datos personales, de las
obligaciones que les incumben en virtud del Reglamento y otras disposiciones de
protección de datos de la Unión o de los Estados miembros.
- Supervisará el cumplimiento tanto de lo dispuesto en el Reglamento y en otras
disposiciones de protección de datos de la Unión o de los Estados miembros como
de las políticas del responsable o del encargado del tratamiento en materia de
protección de datos personales, incluida la asignación de responsabilidades, la
concienciación y la formación del personal que participa en las operaciones de
tratamiento.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 21
- Supervisará la realización de las auditorías correspondientes.
- Ofrecerá el asesoramiento que se le pida acerca de la evaluación de impacto
relativa a la protección de datos y supervisará su realización.
- Cooperará y actuará en contacto con la autoridad de control, en este caso la
Agencia de Protección de Datos, para las cuestiones relacionadas con el
tratamiento de datos personales, incluida la consulta previa y cualquier otro tipo
de consulta.
Integrado dentro de la Política de Seguridad, tendrá las siguientes funciones y
prerrogativas:
- Ser oído en todos los aspectos relacionados con la seguridad de los datos
personales y violaciones de seguridad de datos personales, entendiendo las
mismas desde la perspectiva de la confidencialidad, integridad y disponibilidad.
- Participar, como invitado permanente, en las reuniones del Comité de Seguridade.
- Emitir su parecer en aquellos aspectos relacionados con la seguridad de los datos
personales, promover, en su caso, revisiones de análisis de riesgos, elaboración
de evaluaciones de impacto en protección de datos, elaboración o modificación de
procedimientos o políticas de seguridad de datos personales, entre otros.
- Promover acciones de formación y concienciación en privacidad.
- En general, todas las que tengan que ver con la protección de datos en la entidad.
d) Secretaría General: corresponde a este órgano la implementación de la política de
protección de datos y la gestión de sus procedimientos.
5.3. Jerarquía en el proceso de decisiones
Los diferentes roles de seguridad de la información (autoridad principal y posibles delegadas)
se limitan a una jerarquía simple:
1.- El Consejo de Gobierno que aprueba la normativa en materia de seguridad.
2.- El Comité de Seguridad de la Información que aprueba instrucciones y guías y da
instrucciones al responsable de seguridad.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 22
3.- El responsable de seguridad de la información ejecuta la normativa, las instrucciones
y guías, supervisando que se implementen las medidas de seguridad según lo establecido en
la política de seguridad aprobada.
4.- Los responsables de los sistemas que informan al responsable de seguridad de la
información:
De las incidencias funcionales relativas a la información que le compete.
De las acciones de configuración, actualización o corrección.
De los incidentes de seguridad de los que tengan conocimiento.
5.- Los responsables de los sistemas informan al responsable de seguridad de la
información de las incidencias funcionales relativas a la información que le compete.
También informan al responsable del servicio de las incidencias funcionales relativas al servicio
que le compete.
Por su parte, reportan al responsable de la seguridad actuaciones en materia de seguridad, en
particular en lo relativo a decisiones de:
arquitectura del sistema
resumen consolidado de los incidentes de seguridad
medidas de la eficacia de las medidas de protección que se deben implantar
6.- El responsable de la seguridad informa:
a) al responsable de la información de las decisiones e incidentes en materia de
seguridad que afecten a la información que le compete, en particular de la estimación
de riesgo residual y de las desviaciones significativas de riesgo respecto de los
márgenes aprobados.
b) Al responsable del servicio de las decisiones e incidentes en materia de seguridad
que afecten al servicio que le compete, en particular de la estimación de riesgo residual
y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.
c) Al Comité de Seguridad reporta como secretario:
resumen consolidado de actuaciones en materia de seguridad
resumen consolidado de incidentes relativos a la seguridad de la información
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 23
estado de la seguridad del sistema, en particular del riesgo residual al que el
sistema está expuesto
Procedimientos de designación de personas
La USC, mediante el sistema legalmente establecido, nombrará formalmente:
- al responsable de la información; que será la Secretaría General de la USC
- al responsable del servicio; que será el responsable de las unidades administrativas
nombradas conforme a la normativa aplicable.
- al responsable de la seguridad de la información, que debe reportar directamente
al Comité de Seguridad de la Información y a la Dirección.
- al responsable de los sistemas, conforme a la normativa aplicable.
Procedimientos para resolución de conflictos y coordinación entre dichos responsables En caso de conflicto, prevalecerán las decisiones del nivel superior jerárquico, que atienden al
orden expuesto en el apartado anterior de jerarquía.
Para la coordinación e implantación de la Política de Seguridad el Comité de Seguridad de la
Información será el órgano competente en donde deberán resolverse todas las cuestiones de
coordinación y resolución de conflictos que se planteen en materia de seguridad de la
información.
6. GESTIÓN DE RIESGOS
Justificación Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando
las amenazas y los riesgos a los que están expuestos.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 24
El análisis de riesgos será la base para determinar las medidas de seguridad que se deben
adoptar, además de los mínimos establecidos por el Esquema Nacional de Seguridad, según lo
previsto en el Artículo 6 del ENS.
Criterios de evaluación de riesgos Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información
establecerá una valoración de referencia para los diferentes tipos de información manejados y
los diferentes servicios prestados.
Los criterios de evaluación de riesgos detallados se especificarán en la metodología de
evaluación de riesgos que elaborará la organización, basándose en estándares y buenas
prácticas reconocidas.
Deberán tratarse, como mínimo, todos los riesgos que puedan impedir la prestación de los
servicios o el cumplimiento de la misión de la organización de forma grave.
Se priorizarán especialmente los riesgos que impliquen un cese en la prestación de servicios a
los ciudadanos.
Directrices de tratamiento
El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender
a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de
carácter horizontal.
Proceso de aceptación del riesgo residual Los riesgos residuales serán determinados por el Responsable de Seguridad de la Información.
Los niveles de riesgo residuales esperados sobre cada Información tras la implementación de
las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad
previstas en el Anexo II del ENS) deberán ser aceptados previamente por su responsable de
esa Información.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 25
Los niveles de riesgo residuales esperados sobre cada Servicio tras la implementación de las
opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad
previstas en el Anexo II del ENS) deberán ser aceptados previamente por su responsable de
ese Servicio.
Los niveles de riesgo residuales serán presentados por el responsable de seguridad al Comité
de Seguridad de la Información, para que éste proceda, en su caso, a evaluar, aprobar o
rectificar las opciones de tratamiento propuestas.
Necesidad de realizar o actualizar las evaluaciones de riesgos El análisis de los riesgos y su tratamiento deben ser una actividad repetida regularmente,
según lo establecido en el Artículo 9 del ENS. Este análisis se repetirá:
- regularmente, al menos una vez al año.
- cuando se produzcan cambios significativos en la información manejada.
- cuando se produzcan cambios significativos en los servicios prestados.
- cuando se produzcan cambios significativos en los sistemas que tratan la información
e intervienen en la prestación de los servicios.
- cuando ocurra un incidente grave de seguridad.
- cuando se reporten vulnerabilidades graves.
7. RELACIÓN CON PROTECCIÓN DE DATOS PERSONALES
En materia de protección de datos, la entidad, siguiendo la misma línea que la expuesta hasta
el momento, actuará bajo los siguientes principios adicionales:
- Licitud, lealtad y transparencia: los datos de carácter personal serán tratados de
manera lícita, leal y transparente en relación con el interesado;
- Legitimación en el tratamiento de datos personales: solo se tratarán los datos de
carácter personal cuando dicho tratamiento se encuentre amparado en alguna de las
causas de legitimación establecidas en los artículos 6 y 9 del RGPD;
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 26
- Limitación de la finalidad: los datos de carácter personal serán tratados para el
cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados
ulteriormente de manera incompatible con dichos fines;
- Minimización de datos: los datos de carácter personal serán adecuados, pertinentes
y limitados a lo necesario en relación con los fines para los que son tratados;
- Exactitud: los datos de carácter personal serán exactos y, si fuera necesario,
actualizados; se adoptarán todas las medidas razonables para que se supriman o
rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines
para los que se tratan;
- Protección de datos y seguridad desde el diseño: USC promoverá la implantación
del principio de protección de datos desde el diseño con el objetivo de cumplir los
requisitos definidos en el RGPD y, por tanto, los derechos de los interesados de forma
que la protección de datos se encuentre presente en las primeras fases de concepción
de cualquier tipo de proyecto o sistema que implique un tratamiento de datos
personales.
- Protección de datos por defecto: USC promoverá que los sistemas de información
de su titularidad se diseñen y configuren de forma que garanticen la protección de
datos por defecto.
8. NORMATIVA DE SEGURIDAD de la INFORMACIÓN La USC establece un marco documental estructurado en diferentes niveles, de forma que las
directrices marcadas por el presente documento tengan un desarrollo específico. En cualquier
caso, las diferentes políticas, normativas y regulaciones específicas que se desarrollen deben
estar alineadas con la presente política de seguridad de la información y derivarse de la misma.
La composición del citado marco documental es la siguiente:
- Política de Seguridad de la Información: Está constituida por el presente documento y
es de obligado cumplimiento
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 27
- Normativas: Emanan de la presente Política de Seguridad de la Información y soportan
los diferentes ámbitos de la seguridad. Serán aprobadas por el Consejo de Gobierno
de la USC.
- Procedimientos de seguridad: Emanan de la presente Política de Seguridad de la
Información y soportan los diferentes ámbitos de la seguridad. Serán aprobados por el
Comité de Seguridad de la Información.
- Guías específicas de TI o instrucciones técnicas: Conjunto de documentos que
describen las pautas específicas a seguir a la hora de realizar una determinada
actividad técnica relacionada con la seguridad de la información. Serán aprobados por
el Comité de Seguridad de la Información o por el órgano técnico que se designe.
- Otros documentos: Además de los documentos citados, la documentación de seguridad
podrá contar con otros adicionales, como recomendaciones, buenas prácticas,
informes, registros, evidencias electrónicas, presentaciones, etc.
La Política de Seguridad de la Información (primer nivel) y las normas de carácter general
(segundo nivel) serán aprobadas por el Consejo de Gobierno de la universidad, a propuesta
del Comité de Seguridad de la Información.
Su incumplimiento puede dar lugar a la correspondiente responsabilidad disciplinaria.
Los procedimientos y guías de seguridad o instrucciones de seguridad (tercer y cuarto nivel)
son aprobadas por el Comité de Seguridad de la Información a propuesta del/a responsable
de Seguridad de la Información en colaboración con los/as responsables de los Servicios y de
los Sistemas.
La presente Política de Seguridad de la Información y las normativas que se aprueben deben
ser comunicadas a todos/as os/as responsables de los servicios afectados, debiendo estar
publicadas no Tablón de Anuncios Electrónico Oficial de la USC. El resto de documentación
específica deberá estar accesible en la intranet de la universidad o en la página web pública,
siempre que su aplicación pueda afectar a todas las personas usuarias.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 28
9. OBLIGACIONES ASOCIADAS
9.1 Obligaciones generales de los usuarios Todos los/as usuarios/as de la universidad tienen la obligación de conocer y cumplir esta
Política de Seguridad de la Información y la normativa e instrucciones de seguridad
desarrolladas a partir de ella, siendo responsabilidad del Comité de Seguridad de la
Información disponer los medios necesarios para que la información llegue a los/as
afectados/as.
Todos/as los/as usuarios/as de la universidad deben ser conscientes de la necesidad de
garantizar la seguridad de los sistemas de información, así como de que ellos/as mismos/as
son una pieza esencial para el mantenimiento y mejora de la seguridad.
Se establecerán, a través de los programas de formación del personal, actividades de
concienciación continua para atender a todos/as los/as usuarios/as de la universidad, en
particular a los/as de nueva incorporación. Todas las personas con responsabilidad en el uso,
operación o administración de sistemas TIC deberán recibir formación para el manejo seguro
de los sistemas en la medida en que la necesiten para realizar su trabajo.
9.2. Responsabilidades en caso de incumplimiento
El Comité de Seguridad de la Información podrá apreciar si por parte de los/as usuarios/as de
la universidad podría existir algún tipo de incumplimiento en las obligaciones previstas en la
Política de Seguridad de la Información o en su normativa e instrucciones de desarrollo.
En caso de que se aprecie un posible incumplimiento, se adoptarán medidas preventivas y
correctoras encaminadas a salvaguardar y proteger la información y los medios de tratamiento.
Igualmente, apreciado un posible incumplimiento de la Política de Seguridad de la Información
de la universidad, el Comité de Seguridad de la Información podrá instar a los órganos
correspondientes la instrucción de los procedimientos disciplinarios que se consideren
convenientes.
POLÍTICA: Política de Seguridad de la Información
CÓDIGO POSI-001
VERSIÓN 4
FECHA 07.07.2020
PÁGINA 29
El procedimiento y las sanciones a aplicar serán las establecidas en la legislación estatal o
autonómica sobre régimen disciplinario del personal al servicio de las Administraciones
Públicas.
10. DEROGACIÓN, APROBACIÓN y ENTRADA EN VIGOR
Esta Política de Seguridad de la Información deroga la aprobada con fecha de 20 de febrero
de 2020.
Entrará en vigor en la fecha de publicación en el Tablón de Anuncios Electrónico de la USC.
Esta Política tendrá plena validez y eficacia desde su entrada en vigor hasta su sustitución por
una nueva.