UNIVERSIDAD DE SANTIAGO DE COMPOSTELA POLÍTICA DE ...

UNIVERSIDAD DE SANTIAGO DE COMPOSTELA

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Código: POSI-001

POLÍTICA: Política de Seguridad de la Información

CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 2

Fecha de aprobación: 24 de julio de 2020.

CONTROL DEL DOCUMENTO

Referencia Nombre del Documento Clasificación POSI-001 Política de Seguridad de la Información Público Versión Fecha Propósito/descripción del cambio Fecha Revisión 1.0 2.0 3.0 4.0

Aprobación Adaptación al Esquema Nacional de Seguridad Cambios en la composición del Comité de Seguridad Mejora continua en relación con el ENS

19/07/2018 15/01/2020 07/07/2020

Autor Aprobado por Fecha de

aprobación Comité de Seguridad de la Información

Consejo de Gobierno 24/07/2020

Distribución Este documento se encuentra disponible al público en la web de la Universidad de Santiago de Compostela. Control de versiones El Responsable de Seguridad de la Información es el responsable del control de versiones de este documento. Control de Calidad El Comité de Seguridad de la Información es responsable de la revisión del Documento, en el marco del seguimiento periódico de la Política de Seguridad de la Información, o como consecuencia de cambios significativos, y en coordinación con las auditorías de seguridad.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 3

ÍNDICE

Contenido INTRODUCCIÓN ............................................................................................................ 5

1. OBJETO .................................................................................................................... 6

2. MARCO NORMATIVO ........................................................................................... 7

3. ALCANCE ................................................................................................................ 8

4. PRINCIPIOS GENERALES ..................................................................................... 8

La seguridad de la información como proceso integral .................................................... 8

Gestión de la seguridad basada en riesgos ........................................................................ 9

Mejora continua ................................................................................................................ 9

Autorización y control de accesos .................................................................................... 9

Clasificación de la información ...................................................................................... 10

Seguridad por defecto ..................................................................................................... 10

Gestión de personal ........................................................................................................ 10

Función diferenciada ...................................................................................................... 11

Registros de actividad ..................................................................................................... 11

Gestión de incidentes de seguridad ................................................................................ 11

Protección de las instalaciones ....................................................................................... 12

Adquisición de productos ............................................................................................... 12

Integridad y actualización del sistema ............................................................................ 12

Prevención ante otros sistemas de información interconectados.................................... 13

Continuidad de la actividad ............................................................................................ 13

5. ORGANIZACIÓN DE SEGURIDAD .................................................................... 13

5.1. Estructura organizativa: Funciones y responsabilidades ..................................... 14

Consejo de Gobierno ...................................................................................................... 14

Comité de Seguridad de la Información ......................................................................... 14

5. 2. Roles: Funciones y responsabilidades .................................................................... 16

Responsable de la información ....................................................................................... 16


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 4

Responsable de los servicios .......................................................................................... 17

Responsable de seguridad de la información ................................................................. 17

Responsable de los sistemas ........................................................................................... 19

Organización de la protección de datos .......................................................................... 19

5.3. Jerarquía en el proceso de decisiones ...................................................................... 21

Procedimientos de designación de personas ................................................................... 23

6. GESTIÓN DE RIESGOS ........................................................................................ 23

Justificación .................................................................................................................... 23

Criterios de evaluación de riesgos .................................................................................. 24

Directrices de tratamiento ............................................................................................... 24

Proceso de aceptación del riesgo residual ...................................................................... 24

Necesidad de realizar o actualizar las evaluaciones de riesgos ...................................... 25

7. RELACIÓN CON PROTECCIÓN DE DATOS PERSONALES .......................... 25

8. NORMATIVA DE SEGURIDAD de la INFORMACIÓN .................................... 26

9. OBLIGACIONES ASOCIADAS ........................................................................... 28

9.1 Obligaciones generales de los usuarios .................................................................... 28

9.2. Responsabilidades en caso de incumplimiento ....................................................... 28

10. DEROGACIÓN, APROBACIÓN y ENTRADA EN VIGOR ............................ 29


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 5

INTRODUCCIÓN

La información es un activo estratégico para la Universidad de Santiago de Compostela (USC),

y debe ser adecuadamente protegida, sea cuál sea la forma en la que esté representada,

almacenada o sea procesada.

En este entorno cabe de estacar el papel de las Tecnologías de la Información y de las

Comunicaciones (TIC) por la creciente importancia en el tratamiento de esa información,

siendo el rápido desarrollo de estas tecnologías uno de los factores principales que está

permitiendo que las Administraciones Públicas mejoren su eficiencia, posibilitando acercarse

al ciudadano mediante nuevos canales de comunicación.

Pero la información y las tecnologías que la tratan están sometidas a riesgos, internos y

externos, que es necesario gestionar adecuadamente para situarlos bajo umbrales aceptables.

Para eso, es necesario contar con un sistema de gestión de la seguridad de la información.

Mediante esta herramienta, los órganos de gobierno de la USC podrán establecer objetivos y

medir la efectividad de las acciones que, en este ámbito, lleven a cabo. Esta necesidad está

alineada con la obligatoriedad de cumplir con lo dispuesto en el Real decreto 3/2010, de 23 de

octubre, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS), modificado

por el Real decreto 951/2015. Estas normas definen precisamente un modelo de gestión de la

seguridad de la información y serán, por tanto, la guía que seguirá la USC en este ámbito.

La seguridad de la información tiene como objetivo reducir, hasta un nivel aceptable, los

riesgos a que están sometidos la información, sistemas y servicios que dan apoyo a la actividad

universitaria. Este nivel aceptable debe responder a una valoración conjunta de la gravedad

de las amenazas, los recursos disponibles, el respeto a los derechos individuales y al

cumplimiento normativo.

Hay que tener presente que la seguridad de la información precisa de la colaboración e

implicación de toda la comunidad universitaria, desde los órganos directivos, que aprueban la

presente política y son responsables de su divulgación e implantación efectiva, hasta los

usuarios finales de los sistemas de información. Por eso, toda la organización debe estar

preparada para prever, detectar, reaccionar y recuperarse ante posibles incidentes de

seguridad.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 6

1. OBJETO

La USC define la presente Política de Seguridad de la Información, de carácter obligatorio

para toda la comunidad universitaria y empresas colaboradoras, teniendo como objetivo

fundamental garantizar la seguridad de la información y la prestación continuada de los

servicios que proporciona, actuando cautelarmente, supervisando la actividad y reaccionando

con presteza frente a los incidentes que puedan ocurrir.

Esta política se aplicará a toda la información que se genere como consecuencia de las

actividades de la universidad, así como a los tratamientos de los que pueda ser objeto,

independientemente que estos sean manuales o automatizados, y que incluyan o no datos de

carácter personal.

Esta política debe sentar las bases para que el acceso, uso, custodia y salvaguarda de los

activos de información, de los que se sirve la USC para desarrollar sus funciones, se realicen

bajo garantías de seguridad, en sus distintas dimensiones:

- Integridad: propiedad o característica consistente en que el activo de información no

sea alterado de manera no autorizada.

- Disponibilidad: propiedad o característica de los activos consistente en que las

entidades o procesos autorizados tengan acceso a los mismos cuando lo requieran.

- Confidencialidad: propiedad o característica consistente en que la información ni se

ponga la disposición, ni se revele a individuos, entidades o procesos no autorizados.

- Trazabilidad: propiedad o característica consistente en que las actuaciones de una

entidad puedan ser imputadas exclusivamente la dicta entidad.

- Autenticidad: propiedad o característica consistente en que una entidad sea quien

dice ser o bien que garantice la fuente de la que proceden los datos.

Bajo estas premisas los objetivos específicos de la Seguridad de la Información en la USC

serán:

- Velar por la seguridad de la información, en las distintas dimensiones antes descritas.

- Gestionar formalmente la seguridad, en base a procesos de análisis de riesgos.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 7

- Elaborar, mantener y probar los planes de contingencias y continuidad de la actividad

que se definan para los distintos servicios ofrecidos por la USC.

- Realizar una adecuada gestión de incidentes que afecten a la seguridad de la

información.

- Mantener informado a todo el personal acerca de los requerimientos de seguridad, y

difundir buenas prácticas en el manejo de la información.

- Proporcionar los niveles de seguridad acordados con terceras partes cuando se

compartan o cedan activos de información.

- Cumplir con la reglamentación y normativa vigente.

Esta Política de Seguridad:

- Se aprobará formalmente por el Consejo de Gobierno.

- Se revisará regularmente de suerte que se adapte las nuevas circunstancias, técnicas

u organizativas, y evite la obsolescencia.

- Se comunicará a todos los empleados y a las empresas u organismos externos que

manejen información de la USC.

2. MARCO NORMATIVO

El marco normativo de las actividades de la USC en el ámbito de esta Política de Seguridad de

la Información está integrado por las siguientes normas:

- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de

2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento

de datos personales y a la libre circulación de estos datos y por el que se deroga la

Directiva 95/46/CE (Reglamento general de protección de datos).

- Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal

y garantía de los derechos digitales.

- Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector

público.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 8

- Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de

Seguridad en el ámbito de la Administración Electrónica.

- Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de

Interoperabilidade en el ámbito de la administración electrónica.

- Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las

administraciones públicas.

- Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público.

- Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010,

de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en ámbito de la

Administración Electrónica.

Igualmente, se deberán tener en cuenta las posibles modificaciones normativas y avances

técnicos que puedan afectar al ámbito de esta Política de Seguridad de la Información.

3. ALCANCE

La Política de Seguridad de la Información se aplica a toda la comunidad universitaria:

personal, alumnado, así como a empresas y organismos, siempre que traten información de

la USC.

Afecta a toda la información generada, procesada y almacenada, independientemente de su

soporte y formato, utilizada en tareas operativas o administrativas; la información cedida

dentro de un marco legal establecido, que será considerada como propia a efectos exclusivos

de su protección; a todos los sistemas utilizados para administrar y gestionar la información,

sean propios de la USC o alquilados o licenciados por ella.

4. PRINCIPIOS GENERALES

La seguridad de la información como proceso integral

- La seguridad de la información incumbe a todos los miembros de la organización.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 9

- La seguridad se entiende como un proceso integral constituido por todos los elementos

que posibilitan un sistema de información: técnicos, humanos, materiales y

organizativos.

- La seguridad de los sistemas de información contemplará los aspectos de prevención,

detección y corrección para conseguir que las amenazas sobre los mismos no se

materialicen o no causen daños graves.

- Se establecerán medidas de seguridad en las distintas capas que intervienen en el

tratamiento de la información

Gestión de la seguridad basada en riesgos

- La selección de medidas de seguridad se realizará en base al análisis de los riesgos a

los que estén sometidos la información y sus sistemas de tratamiento.

- Este análisis se mantendrá permanentemente actualizado dentro de un ciclo de mejora

continua.

Mejora continua

- La seguridad de la información se entiende como un proceso de mejora continua.

- Periódicamente, la universidad definirá un conjunto de objetivos de seguridad que

incluirán una descripción de líneas de actuación previstas, los proyectos en los que se

concretan, los objetivos que se deben alcanzar y los indicadores de cumplimiento y

progreso correspondientes. Estos objetivos, que tomarán en consideración los

resultados de las auditorías y del análisis de riesgos, se revisarán anualmente.

Autorización y control de accesos

- El acceso a los sistemas de información se realizará a través de mecanismos personales

e intransferibles y deberán ser debidamente autorizados.

- El nivel de acceso a los sistemas de información estará basado en las necesidades del

puesto de trabajo del/la usuario/a, aplicando el principio de mínimo privilegio.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 10

Clasificación de la información

- Los activos de información que trata la universidad deberán ser inventariados y

clasificados en función de la confidencialidad de la misma.

- Deberá designarse un/a responsable para cada activo de información.

- El nivel de protección y las medidas de seguridad que se deben aplicar a dichos activos

tendrán en cuenta su clasificación.

Seguridad por defecto

- Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por

defecto.

- Los sistemas proporcionarán la mínima funcionalidad requerida para que la

organización alcance sus objetivos.

Gestión de personal

- Todo el personal deberá ser formado e informado de sus deberes y obligaciones en

materia de seguridad de la información.

- Todos los/as usuarios/as de los sistemas de información son responsables de la

comprensión y cumplimento de la Política de Seguridad de la Información y de las

normas, procedimientos, instrucciones y recomendaciones asociadas.

− El personal que participe en el tratamiento de información o tenga acceso a los locales

donde se custodie la información o se realice el tratamiento de ésta, tendrá que

observar y hacer observar las medidas de seguridad establecidas. Estas obligaciones

serán independientes del tipo de relación jurídica que se mantenga con la universidad.

− El significado y alcance del uso seguro de la información y de los sistemas de

tratamiento se podrán concretar en normas específicas.

− La información, independientemente del soporte en que se encuentre, así como los

medios de tratamiento de la misma, se emplearán para fines estrictamente


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 11

relacionados con funciones profesionales y nunca para fines personales o distintos de

los aprobados.

− Se desarrollarán la concienciación, capacitación y educación en materia de seguridad

de la información.

− En las relaciones con terceras partes, proveedores externos o contratistas, las

unidades responsables velarán para que se incluyan en los contratos o convenios las

cláusulas convenientes para que, en caso de que sea necesario o posible el acceso a

información de la universidad por parte del personal de aquéllas, éste se haga

respetando lo previsto en la política de seguridad de la información de la universidad.

Función diferenciada

- Se evitarán los riesgos derivados de una falta de segregación de funciones.

- Se diferenciará entre responsable de la información, del servicio, de los sistemas de

tratamiento y de seguridad.

Registros de actividad

Con la finalidad exclusiva de lograr el cumplimiento de la presente política, con plenas

garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de

los/as afectados/as, y de acuerdo con la normativa sobre protección de datos personales,

de función pública o laboral, y demás disposiciones que resulten de aplicación, se

registrarán las actividades de los/as usuarios/as, reteniendo la información necesaria para

monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas,

permitiendo identificar en cada momento la persona que actúa.

Gestión de incidentes de seguridad

− Se dispondrá de un procedimiento de gestión de incidentes de seguridad.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 12

− Este procedimiento cubrirá los mecanismos de detección, los criterios de clasificación,

los procedimientos de análisis y resolución, así como los canales de comunicación a

las partes interesadas y el registro de las actuaciones.

− Este registro se empleará para la mejora continua de la seguridad del sistema.

Protección de las instalaciones

− Los sistemas se instalarán en áreas separadas.

− Se diseñará un procedimiento para cumplir con todas las medidas de seguridad físicas

que protejan las instalaciones.

− Será especialmente importante dividir en diferentes zonas todas las instalaciones,

previendo lugares de acceso restringido, que deberán contar con un control de accesos

a las mismas.

− Las instalaciones, especialmente la sala del CPD, contarán con controles de

temperatura y humedad, así como medidas contra incendios e inundaciones, y garantía

de suministro eléctrico.

Adquisición de productos

− Se valorarán positivamente aquellos que tengan certificada la funcionalidad de

seguridad relacionada con el objeto de su adquisición.

− El proceso de adquisición de productos estará sujeto a protocolos, siguiendo fielmente

la legislación aplicable al Sector Público.

− Se tendrá especial cuidado con que los nuevos componentes del sistema de

información no afecten a otros ya existentes, además de confirmar que los nuevos

componentes son congruentes con las distintas capacidades del sistema.

Integridad y actualización del sistema

− Todo elemento físico o lógico requerirá autorización formal previa a su instalación en

el sistema.

− Se deberá conocer en todo momento el estado de seguridad de los sistemas, en

relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 13

actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a

la vista del estado de seguridad de los mismos.

Prevención ante otros sistemas de información interconectados

− El sistema debe proteger el perímetro, en particular, si está conectado a redes

públicas. En todo caso se analizarán los riesgos derivados de la interconexión del

sistema, a través de redes, con otros sistemas y se controlará su punto de unión.

Continuidad de la actividad

− Los sistemas dispondrán de copias de seguridad, estableciéndose los mecanismos

necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de

los medios habituales de trabajo.

Los principios generales, anteriormente descritos, podrán ser desarrollados mediante

normativa específica.

5. ORGANIZACIÓN DE SEGURIDAD

Con la finalidad de garantizar la correcta implantación de la presente Política, la USC se

organizará con el objeto de definir las medidas de seguridad que deben aplicarse a los activos

de información.

Dicha organización de la seguridad cuenta con la participación activa de los órganos de

gobierno de la USC, que aprobarán la Política de Seguridad de la Información y asignarán o

delegarán responsabilidades en las personas que considere idóneas, y periódicamente serán

informados para asegurar el seguimiento de la implantación efectiva de la misma.

Así pues, los órganos de gobierno de la entidad cobran una importancia capital: asumen el

compromiso de la entidad con la seguridad y su adecuada implantación, gestión y

mantenimiento.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 14

Igualmente, la organización implicará en distinta medida a todo el personal de la USC, con

objeto de extender la implantación de las prácticas de seguridad idóneas.

A USC podrá crear un sistema de gestión de la seguridad de la información.

5.1. Estructura organizativa: Funciones y responsabilidades

Consejo de Gobierno Los órganos de gobierno de la USC aseguran el compromiso de la universidad en la aplicación

de esta política de seguridad y del ENS aprobando las normas reglamentarias de desarrollo.

En el ámbito de seguridad de la información, el Consejo de Gobierno tiene las siguientes

funciones:

- Aprobar la presente Política de Seguridad de la Información de la USC y sus posteriores

modificaciones a propuesta del Comité de Seguridad de la Información.

- Constituir y realizar el nombramiento de los integrantes del Comité de Seguridad de la

información.

- Aprobar los reglamentos o disposiciones de carácter general en materia de seguridad

de la información.

Comité de Seguridad de la Información A universidad contará con un Comité de Seguridad de la Información, que tendrá la

siguiente composición:

- Secretario/a General o persona que designe, que lo presidirá.

- Responsable de Seguridad de la Información, que ejercerá la secretaría del Comité.

- Vicerrector/a con competencias TIC, o persona que designe.

- Vicerrector/a con competencias en investigación, o persona que designe.

- Gerente/a o persona que designe.

- Secretario/a General Adjunto/a.

- Director/a del Área TIC.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 15

Cada órgano unipersonal designará sus representantes y suplentes, para sustituirlo en caso

de ausencia. Esta designación se hará constar en el documento POSI-003-Miembros del Comité

de Seguridad de la Información.

Además, el comité podrá proponer la incorporación de hasta dos PDI, pertenecientes a

departamentos o áreas de conocimiento relacionados con la seguridad en los sistemas de

información, con objeto de que aporten su experiencia y conocimientos al comité, tanto en el

campo tecnológico como en el campo legal. También podrá invitar a las reuniones a las

personas que considere relevantes en relación con los puntos del orden del día que se

consideren, como invitados permanentes u ocasionales.

Las funciones del Comité de Seguridad de la Información serán las siguientes:

- Promover la integración de los requisitos de seguridad con los objetivos estratégicos

de la USC.

- Asegurarse de que a Política de Seguridad tenga en cuenta el marco legal vigente,

incluyendo lo referido a la protección de datos de carácter personal y a la propiedad

intelectual.

- Coordinar la implantación de la Política de Seguridad de la Información.

- Revisar la efectividad de la Política de Seguridad de la Información y mantenerla

actualizada.

- Definir las pautas generales en materia de seguridad de la información a través de la

normativa desarrollada.

- Publicar y difundir la normativa relativa a la seguridad de la información entre todos/as

os/as afectados/as.

- Revisar los informes de incidentes de seguridad más significativos.

- Controlar las amenazas sobre la información y otros activos.

- Investigar y actuar para prevenir incidentes de seguridad.

- Definir roles y responsabilidades de las distintas funciones relacionadas con la

seguridad de la información.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 16

- Promover el desarrollo de iniciativas destinadas a mejoras de la seguridad.

- Definir las acciones a seguir en el caso de situaciones no previstas, en relación a la

seguridad de la información o ante casos de incumplimiento de la normativa.

- Mantener informado al equipo de alta dirección de la USC de las iniciativas relevantes

en materia de seguridad promovidas en la USC.

- Elaborar instrucciones, guías, modelos-tipo etc., para el mejor funcionamiento de la

USC en materia de seguridad de la información.

- Resolver los conflictos que puedan aparecer entre los diferentes responsables,

elevando aquellos casos en los que non tenga suficiente autoridad para decidir.

5. 2. Roles: Funciones y responsabilidades A continuación, se citan los roles implicados en la organización de la seguridad de la

información en la USC.

Responsable de la información La figura de responsable de la información recaerá en la Secretaría General.

Tendrá las siguientes funciones y responsabilidades:

- Determinar los requisitos de seguridad de la información tratada, necesarios para

proteger apropiadamente la información de las aplicaciones, y concretar los intereses

a salvaguardar, así como las necesidades a cubrir.

- Definir, para la información bajo su responsabilidad, las dimensiones de seguridad

relevantes (disponibilidad, confidencialidad, integridad, autenticidad y trazabilidad) y

su nivel correspondiente.

- Velar por la inclusión de cláusulas sobre seguridad en los contratos con terceras partes

y por su cumplimiento.

- Determinar la clasificación de la categoría del sistema y las medidas de seguridad que

deben aplicarse en la universidad.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 17

- Cualquiera otra función que pueda ser encomendada por los órganos correspondientes.

Responsable de los servicios La responsabilidad de primer nivel sobre los servicios del Sistema General de Seguridad de la

Información recae sobre el titular de la Gerencia, miembro nato del Comité de Seguridad de

la Información. Las personas responsables de cada servicio podrán participar en las reuniones

del comité cuando se considere oportuno o alguno de los temas tratados afecten a sus

servicios.

Las personas responsables de los distintos servicios o unidades administrativas tendrán las

siguientes funciones y responsabilidades:

- Definir las necesidades de seguridad de los servicios contemplados en el análisis de

riesgos en las diferentes dimensiones de seguridad (disponibilidad, confidencialidad,

integridad, autenticidad y trazabilidad) y su nivel correspondiente.

- Determinar para los servicios electrónicos bajo su responsabilidad la evolución del

impacto de una indisponibilidad en función del tiempo.

- Colaborar en el análisis de impacto de los incidentes que se puedan producir y exponer

las estrategias y salvaguardas ante ellos.

- Determinar, junto con las personas responsables de la información, la clasificación de

la categoría del sistema y las medidas de seguridad que deben aplicarse en la

universidad.

- Dar cuenta de los incidentes de seguridad de los que tengan conocimiento.

- Cualquiera otra función que se entienda pertinente en el ámbito de las funciones

generales que les corresponden.

La universidad, a través del Comité de Seguridad de la Información, mantendrá una relación

de los/as responsables de los servicios afectados por la aplicación de la política de seguridad

de la información.

Responsable de seguridad de la información


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 18

La figura de responsable de seguridad de la información recaerá en la persona que ejerza el

puesto dentro del organigrama de la Secretaría Xeral y no podrá coincidir con ningún otro rol

de los que figuran en el presente documento.

Además de formar parte del Comité de Seguridad de la Información, el/la responsable de

seguridad de la información tendrá las siguientes funciones y responsabilidades específicas:

- Asegurar a definición de metodologías y procesos de seguridad homogéneos en toda

la USC.

- Inventariar la clasificación de la categoría de los sistemas y las medidas de seguridad

que deben aplicarse en la universidad.

- Coordinar las tareas periódicas derivadas de la revisión y mantenimiento del Análisis

de Riesgos y del Análisis de Impacto definido en la universidad.

- Informar del estado de la seguridad al Comité de Seguridad de la Información.

- Impulsar o instar junto con el Comité de Seguridad de la Información la realización de

auditorías periódicas que permitan verificar el cumplimiento de las obligaciones en

materia de seguridad.

- Controlar los incidentes de seguridad y coordinar las acciones correctoras pertinentes.

- Colaborar con el resto del personal técnico en el desarrollo de las iniciativas de

seguridad.

- Asesorar a las distintas unidades técnicas en la definición e implantación de

procedimientos y de medidas técnicas de seguridad.

- Promover en la USC las medidas de concienciación necesarias en materia de seguridad

de la información.

Para determinados Sistemas de Información que, por su complejidad, distribución, separación

física de sus elementos o número de usuarios, precisen de personal adicional para llevar a

cabo las funciones del responsable de la seguridad, podrán designarse responsables de

seguridad delegados o subresponsables. La designación será realizada por el responsable de

seguridad y concretará las funciones que se les delegan. No obstante lo anterior, la

responsabilidad final seguirá recayendo en el delegante.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 19

Responsable de los sistemas

La figura de responsable de los sistemas recaerá en el/la director/a del Área de Tecnologías

de la Información y de las Comunicaciones de la USC, miembro nato del Comité de Seguridad

da Información, que podrá designar como responsables del sistema delegados a cada uno de

los responsables técnicos de dicha área relacionados con los sistemas identificados en el

alcance del ENS; no obstante, la responsabilidad final seguirá recayendo en el delegante.

El/La responsable de los sistemas tiene las siguientes funciones y responsabilidades:

- Garantizar que las tareas propias de la administración de la seguridad de los sistemas

bajo su responsabilidad se llevan a cabo de manera correcta.

- Garantizar que los sistemas de información de los que es responsable permanecen bajo

control.

- Llevar a cabo los procesos de seguridad en el ámbito de su área.

- Implementar la seguridad física y lógica de la universidad.

- Colaborar en las auditorías de seguridad, LOPD y en la gestión de riesgos.

- Cualquiera otra función que se entienda pertinente en el ámbito de las funciones

generales que les corresponden.

Serán invitados permanentes a las reuniones del Comité de Seguridad de la Información las

personas responsables de las áreas de sistemas y seguridad dentro del ATIC.

responsables das áreas de sistemas e de seguridade dentro da ATIC.

Organización de la protección de datos

Para la prestación del servicio público de enseñanza superior propio de la USC deben ser

tratados datos de carácter personal.

El Registro de Actividades de Tratamiento detalla los archivos afectados y los responsables

correspondientes, así como las medidas adoptadas en este marco. Todos los niveles de

seguridad de los sistemas de información se replicarán en los tratamientos de datos personales

requeridos, según su natureza y finalidad.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 20

En esta materia surgen varias responsabilidades a nivel legal u organizativo.

a) Responsable de tratamiento: es la persona física o jurídica, autoridad pública,

servicio u otro organismo que, solo o con otros, determine los fines y medios del

tratamiento. En este caso, la Universidade de Santiago de Compostela.

b) Encargado de tratamiento: es la persona física o jurídica, autoridad pública, servicio

u otro organismo que trate datos por cuenta del responsable del tratamiento. La

relación entre responsable y encargado deberá estar regulada en un contrato, convenio

o instrumento jurídico.

c) Delegado de protección de datos:

De conformidad con el Reglamento General de Protección de Datos, en los artículos 37

al 39, debe cumplir con los siguientes requisitos, características y funciones:

- Tendrá que ser un profesional que pueda acreditar formación y conocimientos

especializados en materia de protección de datos.

- Deberá asegurar el cumplimento normativo de la protección de datos, haciendo

compatible el funcionamiento de la organización, la consecución de los objetivos

lícitos y legítimos de su actividad y la garantía del derecho a la protección de datos

y a la seguridad de la información.

- Podrá establecerse a través de contratación externa o mediante designación

dentro del cuadro de personal de la organización.

- Será el interlocutor necesario con la Autoridad de Control de la Protección de

Datos.

- Informará y asesorará al responsable y/o al encargado del tratamiento y a los

empleados que se ocupen del tratamiento de los datos personales, de las

obligaciones que les incumben en virtud del Reglamento y otras disposiciones de

protección de datos de la Unión o de los Estados miembros.

- Supervisará el cumplimiento tanto de lo dispuesto en el Reglamento y en otras

disposiciones de protección de datos de la Unión o de los Estados miembros como

de las políticas del responsable o del encargado del tratamiento en materia de

protección de datos personales, incluida la asignación de responsabilidades, la

concienciación y la formación del personal que participa en las operaciones de

tratamiento.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 21

- Supervisará la realización de las auditorías correspondientes.

- Ofrecerá el asesoramiento que se le pida acerca de la evaluación de impacto

relativa a la protección de datos y supervisará su realización.

- Cooperará y actuará en contacto con la autoridad de control, en este caso la

Agencia de Protección de Datos, para las cuestiones relacionadas con el

tratamiento de datos personales, incluida la consulta previa y cualquier otro tipo

de consulta.

Integrado dentro de la Política de Seguridad, tendrá las siguientes funciones y

prerrogativas:

- Ser oído en todos los aspectos relacionados con la seguridad de los datos

personales y violaciones de seguridad de datos personales, entendiendo las

mismas desde la perspectiva de la confidencialidad, integridad y disponibilidad.

- Participar, como invitado permanente, en las reuniones del Comité de Seguridade.

- Emitir su parecer en aquellos aspectos relacionados con la seguridad de los datos

personales, promover, en su caso, revisiones de análisis de riesgos, elaboración

de evaluaciones de impacto en protección de datos, elaboración o modificación de

procedimientos o políticas de seguridad de datos personales, entre otros.

- Promover acciones de formación y concienciación en privacidad.

- En general, todas las que tengan que ver con la protección de datos en la entidad.

d) Secretaría General: corresponde a este órgano la implementación de la política de

protección de datos y la gestión de sus procedimientos.

5.3. Jerarquía en el proceso de decisiones

Los diferentes roles de seguridad de la información (autoridad principal y posibles delegadas)

se limitan a una jerarquía simple:

1.- El Consejo de Gobierno que aprueba la normativa en materia de seguridad.

2.- El Comité de Seguridad de la Información que aprueba instrucciones y guías y da

instrucciones al responsable de seguridad.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 22

3.- El responsable de seguridad de la información ejecuta la normativa, las instrucciones

y guías, supervisando que se implementen las medidas de seguridad según lo establecido en

la política de seguridad aprobada.

4.- Los responsables de los sistemas que informan al responsable de seguridad de la

información:

De las incidencias funcionales relativas a la información que le compete.

De las acciones de configuración, actualización o corrección.

De los incidentes de seguridad de los que tengan conocimiento.

5.- Los responsables de los sistemas informan al responsable de seguridad de la

información de las incidencias funcionales relativas a la información que le compete.

También informan al responsable del servicio de las incidencias funcionales relativas al servicio

que le compete.

Por su parte, reportan al responsable de la seguridad actuaciones en materia de seguridad, en

particular en lo relativo a decisiones de:

arquitectura del sistema

resumen consolidado de los incidentes de seguridad

medidas de la eficacia de las medidas de protección que se deben implantar

6.- El responsable de la seguridad informa:

a) al responsable de la información de las decisiones e incidentes en materia de

seguridad que afecten a la información que le compete, en particular de la estimación

de riesgo residual y de las desviaciones significativas de riesgo respecto de los

márgenes aprobados.

b) Al responsable del servicio de las decisiones e incidentes en materia de seguridad

que afecten al servicio que le compete, en particular de la estimación de riesgo residual

y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.

c) Al Comité de Seguridad reporta como secretario:

resumen consolidado de actuaciones en materia de seguridad

resumen consolidado de incidentes relativos a la seguridad de la información


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 23

estado de la seguridad del sistema, en particular del riesgo residual al que el

sistema está expuesto

Procedimientos de designación de personas

La USC, mediante el sistema legalmente establecido, nombrará formalmente:

- al responsable de la información; que será la Secretaría General de la USC

- al responsable del servicio; que será el responsable de las unidades administrativas

nombradas conforme a la normativa aplicable.

- al responsable de la seguridad de la información, que debe reportar directamente

al Comité de Seguridad de la Información y a la Dirección.

- al responsable de los sistemas, conforme a la normativa aplicable.

Procedimientos para resolución de conflictos y coordinación entre dichos responsables En caso de conflicto, prevalecerán las decisiones del nivel superior jerárquico, que atienden al

orden expuesto en el apartado anterior de jerarquía.

Para la coordinación e implantación de la Política de Seguridad el Comité de Seguridad de la

Información será el órgano competente en donde deberán resolverse todas las cuestiones de

coordinación y resolución de conflictos que se planteen en materia de seguridad de la

información.

6. GESTIÓN DE RIESGOS

Justificación Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando

las amenazas y los riesgos a los que están expuestos.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 24

El análisis de riesgos será la base para determinar las medidas de seguridad que se deben

adoptar, además de los mínimos establecidos por el Esquema Nacional de Seguridad, según lo

previsto en el Artículo 6 del ENS.

Criterios de evaluación de riesgos Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información

establecerá una valoración de referencia para los diferentes tipos de información manejados y

los diferentes servicios prestados.

Los criterios de evaluación de riesgos detallados se especificarán en la metodología de

evaluación de riesgos que elaborará la organización, basándose en estándares y buenas

prácticas reconocidas.

Deberán tratarse, como mínimo, todos los riesgos que puedan impedir la prestación de los

servicios o el cumplimiento de la misión de la organización de forma grave.

Se priorizarán especialmente los riesgos que impliquen un cese en la prestación de servicios a

los ciudadanos.

Directrices de tratamiento

El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender

a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de

carácter horizontal.

Proceso de aceptación del riesgo residual Los riesgos residuales serán determinados por el Responsable de Seguridad de la Información.

Los niveles de riesgo residuales esperados sobre cada Información tras la implementación de

las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad

previstas en el Anexo II del ENS) deberán ser aceptados previamente por su responsable de

esa Información.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 25

Los niveles de riesgo residuales esperados sobre cada Servicio tras la implementación de las

opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad

previstas en el Anexo II del ENS) deberán ser aceptados previamente por su responsable de

ese Servicio.

Los niveles de riesgo residuales serán presentados por el responsable de seguridad al Comité

de Seguridad de la Información, para que éste proceda, en su caso, a evaluar, aprobar o

rectificar las opciones de tratamiento propuestas.

Necesidad de realizar o actualizar las evaluaciones de riesgos El análisis de los riesgos y su tratamiento deben ser una actividad repetida regularmente,

según lo establecido en el Artículo 9 del ENS. Este análisis se repetirá:

- regularmente, al menos una vez al año.

- cuando se produzcan cambios significativos en la información manejada.

- cuando se produzcan cambios significativos en los servicios prestados.

- cuando se produzcan cambios significativos en los sistemas que tratan la información

e intervienen en la prestación de los servicios.

- cuando ocurra un incidente grave de seguridad.

- cuando se reporten vulnerabilidades graves.

7. RELACIÓN CON PROTECCIÓN DE DATOS PERSONALES

En materia de protección de datos, la entidad, siguiendo la misma línea que la expuesta hasta

el momento, actuará bajo los siguientes principios adicionales:

- Licitud, lealtad y transparencia: los datos de carácter personal serán tratados de

manera lícita, leal y transparente en relación con el interesado;

- Legitimación en el tratamiento de datos personales: solo se tratarán los datos de

carácter personal cuando dicho tratamiento se encuentre amparado en alguna de las

causas de legitimación establecidas en los artículos 6 y 9 del RGPD;


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 26

- Limitación de la finalidad: los datos de carácter personal serán tratados para el

cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados

ulteriormente de manera incompatible con dichos fines;

- Minimización de datos: los datos de carácter personal serán adecuados, pertinentes

y limitados a lo necesario en relación con los fines para los que son tratados;

- Exactitud: los datos de carácter personal serán exactos y, si fuera necesario,

actualizados; se adoptarán todas las medidas razonables para que se supriman o

rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines

para los que se tratan;

- Protección de datos y seguridad desde el diseño: USC promoverá la implantación

del principio de protección de datos desde el diseño con el objetivo de cumplir los

requisitos definidos en el RGPD y, por tanto, los derechos de los interesados de forma

que la protección de datos se encuentre presente en las primeras fases de concepción

de cualquier tipo de proyecto o sistema que implique un tratamiento de datos

personales.

- Protección de datos por defecto: USC promoverá que los sistemas de información

de su titularidad se diseñen y configuren de forma que garanticen la protección de

datos por defecto.

8. NORMATIVA DE SEGURIDAD de la INFORMACIÓN La USC establece un marco documental estructurado en diferentes niveles, de forma que las

directrices marcadas por el presente documento tengan un desarrollo específico. En cualquier

caso, las diferentes políticas, normativas y regulaciones específicas que se desarrollen deben

estar alineadas con la presente política de seguridad de la información y derivarse de la misma.

La composición del citado marco documental es la siguiente:

- Política de Seguridad de la Información: Está constituida por el presente documento y

es de obligado cumplimiento


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 27

- Normativas: Emanan de la presente Política de Seguridad de la Información y soportan

los diferentes ámbitos de la seguridad. Serán aprobadas por el Consejo de Gobierno

de la USC.

- Procedimientos de seguridad: Emanan de la presente Política de Seguridad de la

Información y soportan los diferentes ámbitos de la seguridad. Serán aprobados por el

Comité de Seguridad de la Información.

- Guías específicas de TI o instrucciones técnicas: Conjunto de documentos que

describen las pautas específicas a seguir a la hora de realizar una determinada

actividad técnica relacionada con la seguridad de la información. Serán aprobados por

el Comité de Seguridad de la Información o por el órgano técnico que se designe.

- Otros documentos: Además de los documentos citados, la documentación de seguridad

podrá contar con otros adicionales, como recomendaciones, buenas prácticas,

informes, registros, evidencias electrónicas, presentaciones, etc.

La Política de Seguridad de la Información (primer nivel) y las normas de carácter general

(segundo nivel) serán aprobadas por el Consejo de Gobierno de la universidad, a propuesta

del Comité de Seguridad de la Información.

Su incumplimiento puede dar lugar a la correspondiente responsabilidad disciplinaria.

Los procedimientos y guías de seguridad o instrucciones de seguridad (tercer y cuarto nivel)

son aprobadas por el Comité de Seguridad de la Información a propuesta del/a responsable

de Seguridad de la Información en colaboración con los/as responsables de los Servicios y de

los Sistemas.

La presente Política de Seguridad de la Información y las normativas que se aprueben deben

ser comunicadas a todos/as os/as responsables de los servicios afectados, debiendo estar

publicadas no Tablón de Anuncios Electrónico Oficial de la USC. El resto de documentación

específica deberá estar accesible en la intranet de la universidad o en la página web pública,

siempre que su aplicación pueda afectar a todas las personas usuarias.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 28

9. OBLIGACIONES ASOCIADAS

9.1 Obligaciones generales de los usuarios Todos los/as usuarios/as de la universidad tienen la obligación de conocer y cumplir esta

Política de Seguridad de la Información y la normativa e instrucciones de seguridad

desarrolladas a partir de ella, siendo responsabilidad del Comité de Seguridad de la

Información disponer los medios necesarios para que la información llegue a los/as

afectados/as.

Todos/as los/as usuarios/as de la universidad deben ser conscientes de la necesidad de

garantizar la seguridad de los sistemas de información, así como de que ellos/as mismos/as

son una pieza esencial para el mantenimiento y mejora de la seguridad.

Se establecerán, a través de los programas de formación del personal, actividades de

concienciación continua para atender a todos/as los/as usuarios/as de la universidad, en

particular a los/as de nueva incorporación. Todas las personas con responsabilidad en el uso,

operación o administración de sistemas TIC deberán recibir formación para el manejo seguro

de los sistemas en la medida en que la necesiten para realizar su trabajo.

9.2. Responsabilidades en caso de incumplimiento

El Comité de Seguridad de la Información podrá apreciar si por parte de los/as usuarios/as de

la universidad podría existir algún tipo de incumplimiento en las obligaciones previstas en la

Política de Seguridad de la Información o en su normativa e instrucciones de desarrollo.

En caso de que se aprecie un posible incumplimiento, se adoptarán medidas preventivas y

correctoras encaminadas a salvaguardar y proteger la información y los medios de tratamiento.

Igualmente, apreciado un posible incumplimiento de la Política de Seguridad de la Información

de la universidad, el Comité de Seguridad de la Información podrá instar a los órganos

correspondientes la instrucción de los procedimientos disciplinarios que se consideren

convenientes.


CÓDIGO POSI-001

VERSIÓN 4

FECHA 07.07.2020

PÁGINA 29

El procedimiento y las sanciones a aplicar serán las establecidas en la legislación estatal o

autonómica sobre régimen disciplinario del personal al servicio de las Administraciones

Públicas.

10. DEROGACIÓN, APROBACIÓN y ENTRADA EN VIGOR

Esta Política de Seguridad de la Información deroga la aprobada con fecha de 20 de febrero

de 2020.

Entrará en vigor en la fecha de publicación en el Tablón de Anuncios Electrónico de la USC.

Esta Política tendrá plena validez y eficacia desde su entrada en vigor hasta su sustitución por

una nueva.

UNIVERSIDAD DE SANTIAGO DE COMPOSTELA POLÍTICA DE ...

Documents

Transcript of UNIVERSIDAD DE SANTIAGO DE COMPOSTELA POLÍTICA DE ...