Acord de Consell de Govern de 14 de desembre del 2018

 

La Llei 40/2015, d’1 d’octubre, de règim jurídic del sector públic, disposa a l’article 156.2 que l’Esquema Nacional de Seguretat té per objecte establir la política de seguretat en la utilització de mitjans electrònics en l’àmbit d’aquesta mateixa llei i que està constituït pels principis bàsics i pels requisits mínims que garanteixin adequadament la seguretat en la informació tractada.

El Reial Decret 3/2010, de 8 de gener, modificat pel Reial Decret 951/2015 de 23 d’octubre, pel qual es regula l’Esquema Nacional de Seguretat (en endavant, ENS), a l’article 11, determina que tots els òrgans superiors de les administracions públiques, com és el cas de la Universitat Pompeu Fabra (en endavant, UPF), hauran de disposar formalment d’una política pròpia de seguretat en la informació que articuli la gestió continuada de la seguretat i que aquesta política s’establirà d’acord amb els principis bàsics indicats en el mateix Reial Decret i que es desenvoluparà aplicant uns requisits mínims especificats.

Introducció

L’article 177.2 dels Estatuts de la UPF especifica que l’administració de la Universitat ha de fomentar el desenvolupament de les infraestructures i dels recursos necessaris per a l’aplicació de les tecnologies de la informació i la comunicació (TIC) i ha d’assegurar el dret d’accés dels ciutadans als seus serveis per mitjans telemàtics amb plenes garanties jurídiques i de seguretat. Ha de promoure la gestió del coneixement i l’accés a la informació d’acord amb els principis de proximitat, transparència i agilitat.

El Pla Estratègic 2016-2025 defineix com a missió de la UPF:

  • Formar, mitjançant un model educatiu rigorós, innovador i personalitzat, persones amb sòlids coneixements científics i culturals, competències transversals adequades per adaptar-se als canvis i reptes de la societat i capacitats per desenvolupar els seus projectes de vida.
  • Esdevenir una universitat de recerca preeminent.
  • Promoure la innovació i la transformació social.
  • Impulsar el compromís amb la cultura.

Les TIC són un element essencial per a l’assoliment d’aquests objectius. Han de ser administrades amb diligència i s’han de prendre, en tot moment, les mesures de protecció adequades per garantir la disponibilitat dels serveis; la integritat, la confidencialitat i l’autenticitat de la informació tractada; i la traçabilitat dels tràmits realitzats.

Organització de la seguretat

Article 1.Desenvolupament de la política de seguretat en la informació

Aquesta política de seguretat complementa normatives de la UPF en altres matèries, com la protecció de dades de caràcter personal o l’administració electrònica.

La política de seguretat en la informació es desenvoluparà mitjançant normatives TIC de seguretat específiques, que hauran de ser aprovades pel Consell de Govern i que seran de compliment obligatori per part dels membres de la comunitat universitària i per part de qualsevol usuari dels sistemes d’informació de la UPF en general.

Per poder implementar la política de seguretat en la informació i les normatives TIC es podran definir procediments de treball, els quals seran aprovats pel Comitè de seguretat TIC i seran de compliment obligatori pel personal que administri els sistemes TIC de la Universitat, tant si és del Servei d’Informàtica com d’empreses subcontractades.

Quan la UPF presti serveis TIC a altres institucions o organismes, el Servei d’Informàtica els haurà de fer partícips de la política de seguretat en la informació i d’altres normatives TIC associades, haurà d’establir canals de coordinació i haurà d’establir procediments d’actuació per reaccionar adequadament en cas de possibles incidents de seguretat.

Quan la UPF utilitzi serveis TIC d’altres institucions, organismes o empreses o els cedeixi informació, sigui mitjançant la contractació de serveis, la col·laboració o qualsevol altra que no tingui caràcter contractual, els haurà de fer partícips de la política i de la normativa de seguretat relacionada amb aquests serveis i aquesta informació. Aquesta institució, organisme o empresa quedarà subjecta a les obligacions establertes en la normativa esmentada i podrà desenvolupar procediments operatius propis per complir-la. S’hauran d’establir procediments específics per reportar i resoldre incidències. S’haurà de garantir que el seu personal està conscienciat adequadament en matèria de seguretat, si més no al mateix nivell que el que estableix aquesta política. Quan la institució, organisme o empresa no pugui satisfer algun aspecte d’aquesta política, segons el que estableixen els paràgrafs anteriors, el responsable de Seguretat haurà d’elaborar un informe en què especifiqui els riscos a què està exposada i la forma de tractar-los. Els responsables de la informació i els serveis afectats hauran d’aprovar aquest informe per poder utilitzar els serveis.

Article 2.Estructura de responsabilitat

1. El responsable de la informació, a efectes de l’ENS, és el secretari general de la UPF o la persona en qui delegui. Són funcions del responsable de la informació:

  • Establir els requisits de la informació en matèria de seguretat en la informació.
  • Treballar en col·laboració amb els responsables de la seguretat i del sistema en el manteniment dels sistemes catalogats segons l'annex I de l'ENS.
  • Qualsevol altra funció que li atorgui l’ENS o la legislació vigent.

2.El responsable del servei, a efectes de l’ENS, és el gerent de la UPF o la persona en qui delegui. Són funcions del responsable del servei:

  • Establir els requisits dels serveis en matèria de seguretat de les tecnologies de la informació i les comunicacions.
  • Treballar en col·laboració amb els responsables de la seguretat i del sistema en el manteniment dels sistemes catalogats segons l'annex I de l'ENS.
  • Vetllar per la inclusió de clàusules sobre seguretat en els contractes amb altres institucions o organismes i fer que es compleixin.
  • Qualsevol altra funció que li atorgui l’ENS o la legislació vigent.

3. El responsable de la seguretat TIC, a efectes de l’ENS, és el vicegerent de la UPF competent en TIC o la persona en qui delegui. El responsable de seguretat no pot ser la mateixa persona que el responsable del servei. Són funcions del responsable de seguretat:

  • Determinar les decisions per satisfer els requisits de seguretat tant de la informació com dels serveis
  • Mantenir la seguretat de la informació que emmagatzemen i processen les infraestructures TIC de la UPF i els serveis que presten.
  • Realitzar o promoure les auditories periòdiques que permetin verificar el compliment de les obligacions de la UPF en matèria de seguretat.
  • Promoure la formació i la conscienciació del personal TIC dins del seu àmbit de responsabilitat.
  • Verificar que les mesures de seguretat establertes són adequades per a la protecció de la informació que es tracta i els serveis que es presten.
  • Analitzar, completar i aprovar tota la documentació relacionada amb la seguretat dels sistemes.
  • Monitoritzar l'estat de seguretat dels sistemes proporcionat per les eines de gestió d'esdeveniments de seguretat i els mecanismes d'auditoria implementats en els sistemes.
  • Donar suport a la investigació dels incidents de seguretat, des que es notifiquen fins que es resolen, i supervisar-la.
  • Elaborar els informes periòdics de seguretat, els quals han d'incloure els incidents més rellevants del període.
  • Aprovar els procediments de seguretat dels sistemes TIC de la Universitat.
  • Proposar actualitzacions de les normatives de seguretat TIC de la UPF.

Article 3.Comitè de seguretat TIC

1. El Comitè de seguretat TIC de la UPF es reunirà amb una periodicitat biennal, com a mínim, i estarà format per les persones següents:

  • El responsable de la informació.
  • El responsable del servei.
  • El responsable de la seguretat TIC, que actuarà com a secretari.
  • Altres persones convidades en funció de l’ordre del dia de la sessió.

2. El Comitè de seguretat TIC té les funcions següents:

  • Coordinar la seguretat en la informació i dels serveis TIC de la UPF.
  • Fer el seguiment de la política de seguretat en la informació i proposar-ne modificacions al Consell de Govern si així ho estima necessari.
  • Valorar les propostes de creació o modificació de les normatives de seguretat TIC que li arribin i proposar-ne l’aprovació al Consell de Govern si així ho estima necessari.
  • Divulgar la política i les normatives de seguretat TIC de la UPF.
  • Supervisar les auditories de compliment de l’ENS.

Conscienciació i formació

Article 4.Formació

1. L’oferta formativa de la UPF haurà d’incloure cursos de conscienciació i formació en seguretat, tant per al PDI com per al PAS, i haurà de tenir en compte tant la formació contínua com la formació del personal de nova incorporació.

2. El Servei d’Informàtica vetllarà perquè tot el personal d’empreses subcontractades que administri infraestructures TIC de la Universitat conegui i apliqui tant les normatives de seguretat com els procediments de treball TIC de la UPF.

Implementació de la seguretat

Article 5.Prevenció

La UPF ha d’evitar o, com a mínim, prevenir que la informació o els serveis siguin perjudicats per incidents de seguretat. Per això, s’han d’implementar, si més no, les mesures de seguretat que defineix l’ENS així com qualsevol altra millora que s’identifiqui durant una avaluació d’amenaces o qualsevol altre control. Aquests controls i els rols i les responsabilitats de seguretat de tot el personal, han d’estar clarament definits i documentats.

Per tal de garantir el compliment de la política:

  • S’haurà de validar que els sistemes compleixen les mesures de seguretat abans que comencin a funcionar.
  • Se n’haurà d’avaluar regularment la seguretat, incloent-hi avaluacions dels canvis de configuració que es fan de forma rutinària.
  • S’haurà de sol·licitar que organismes o entitats independents els revisin periòdicament, amb la finalitat d’obtenir una avaluació independent.

Article 6.Detecció i reacció

1. És responsabilitat del Servei d’Informàtica monitoritzar de manera continuada el funcionament dels serveis TIC de la UPF, per tal de detectar anomalies en els nivells de prestació de serveis i actuar-hi en conseqüència, tal com estableix l’article 7.3 de l’ENS.

2. És responsabilitat del Servei d’Informàtica disposar de procediments de restauració de la informació i de recuperació del servei per poder fer front a situacions en què un incident de seguretat els inhabilita, tal com estableix l’article 7.4 de l’ENS.
 
3. És responsabilitat del Servei d’Informàtica establir mecanismes per respondre eficaçment als incidents de seguretat i definir protocols per a l’intercanvi d’informació relacionada amb els incidents amb els equips de resposta a emergències de seguretat (comunament coneguts com CERT, Computer Emergency Response Team).

Article 7.Gestió de la seguretat

1. Línies de defensa

La infraestructura TIC haurà de comptar amb una estratègia de protecció constituïda per diverses capes de seguretat, que poden ser de naturalesa física, lògica o organitzativa, i que permetin la minimització de l’impacte de possibles incidents de seguretat, tal i com estableix l’article 8 de l’ENS.

2. Anàlisi i gestió de riscos

L’anàlisi i la gestió de riscos serà part essencial del procés de seguretat i haurà de mantenir-se actualitzat. La gestió de riscos permetrà el manteniment d’un entorn controlat, minimitzant els riscos fins a nivells admissibles.

S’haurà de realitzar una anàlisi de riscos sobre les infraestructures TIC, en què s’avaluïn les amenaces i els riscos als quals estan exposades. Aquesta anàlisi s’haurà de repetir:

  • Quan canviï la informació que es tracta.
  • Quan canviïn els serveis prestats.
  • Quan esdevingui un incident greu de seguretat.
  • Quan es reportin vulnerabilitats greus.

​Article 8.Estructuració de la documentació de seguretat del sistema

1. Aquesta política de seguretat en la informació, que estableix els requisits i els criteris de seguretat TIC en l’àmbit de la Universitat, s’haurà de desenvolupar per mitjà de normatives de seguretat TIC que afrontin aspectes específics. 

2. Es desenvoluparan també procediments de gestió operativa per al personal que utilitzi, faci funcionar o administri els sistemes d’informació i de comunicacions.

3. Les normatives de seguretat hauran d’estar a disposició de tots els membres de la UPF que necessitin conèixer-les.

Article 9.Auditoria de compliment de l’ENS

1. Biennalment la UPF se sotmetrà a una auditoria de verificació de compliment de l’ENS, la qual serà coordinada pel responsable de la seguretat TIC.

2. El resultat de l’auditoria haurà de ser presentat al Comitè de seguretat TIC, que podrà decidir mesures correctores per tal d’esmenar possibles deficiències o riscos excessius identificats durant el procés d’auditoria. Aquestes mesures correctores seran de compliment obligatori.