Seguridad de la información

La Universidad Pontificia de Salamanca considera la información como uno de los activos fundamentales para cumplir con su misión investigadora, docente y cultural. Por ello, estima que los sistemas de Tecnología de la Información y Comunicaciones (TIC) constituyen un elemento estratégico para la consecución de sus objetivos. Esta circunstancia obliga a la Universidad a implementar un modelo de gestión de la seguridad de la información que permita identificar y minimizar los riesgos frente a cualquier amenaza, o daño accidental o deliberado, poniendo en práctica las medidas preventivas y reactivas que permitan resguardar y proteger la información, cumpliendo con los requerimientos legales en la materia, de forma que se garantice la conservación, la confidencialidad, la disponibilidad y la integridad de la información, así como la seguridad de los sistemas que la soportan.

La presente Política de Seguridad será de aplicación para toda la comunidad universitaria así como para cualquier persona, institución o entidad colaboradora que utilice los recursos y servicios TIC de la Universidad. Incluye tanto los recursos que pertenecen a la Universidad como cualquier activo ajeno (móvil, ordenador privado, etc..) que acceda a la red corporativa mediante conexión directa, indirecta o remota, incluyendo sus servicios Web. Estos recursos ajenos quedarán sujetos de la misma manera a las obligaciones contenidas en la presente Política de Seguridad y a toda normativa que la desarrolle.

La presente Política de Seguridad se sustenta, principalmente, en las siguientes normas de ámbito europeo, estatal, autonómico e interno:

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
• Ley Orgánica 6/2001, de 21 de diciembre, de Universidades (LOU).
• Ley 3/2003, de 28 de marzo, de Universidades de Castilla y León.
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE).
• Ley 59/2003, de 19 de diciembre, de Firma Electrónica (LFE).
• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RLOPD).
• Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones vigentes en la materia (LPI).
• Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (ET).
• Estatutos de la Universidad Pontificia de Salamanca, aprobados por la Congregación para la Educación Católica con fecha 30 de julio de 2010.
• Todas aquellas normas, de carácter general o interno, que en la actualidad o en el futuro puedan resultar de aplicación a la Universidad en el marco de esta Política de Seguridad.

La presente Política de Seguridad, así como cualquier norma o instrucción que la desarrolle, deberá fundamentarse en los siguientes principios básicos cuyo objetivo es asegurar que toda actividad relacionada con el uso de información de la Universidad se realiza de forma segura:

Seguridad integral: La seguridad es un proceso integral que comprende todos los elementos humanos, técnicos, materiales y organizativos, siendo esencial que los procedimientos relacionados con ella se implementen desde el momento inicial del diseño de los sistemas, debiendo ser evaluados y autorizados previamente a su implantación y estableciendo como principio rector la seguridad por defecto.

Análisis y gestión de los riesgos: Los procesos analíticos y de gestión perseguirán la obtención de un entorno controlado que minimice el nivel de riesgo de los mismos mediante la implantación de medidas de seguridad apropiadas, permanentemente actualizadas y revisadas, y que procurarán encontrar un equilibrio y proporcionalidad entre la naturaleza de los datos, los tratamientos realizados, los peligros a los que estén expuestos y la eficacia y coste de las medidas de seguridad aplicadas.

Prevención, detección, reacción y recuperación: Será prioritario el establecimiento de medidas de prevención frente a aquellas amenazas que puedan perjudicar los sistemas, el estableciendo mecanismos de detección de incidencias y anomalías en los procesos así como de recuperación de la información que permita la continuidad de los servicios y del uso de la información durante toda su vida útil.

Establecimiento de líneas de defensa: Se establecerá un plan estratégico de protección mediante el establecimiento de múltiples capas de seguridad compuestas por medidas de naturaleza organizativa, operativa, física y lógica, dispuestas de forma fragmentada para que el fallo en una de ellas no comprometa la seguridad de las demás.

Revisión periódica y mejora continua: La gestión de la seguridad de la información será periódicamente revisada para adecuarse en todo momento a la evolución tanto de los riesgos como de los sistemas de protección, contemplándose la elaboración de informes anuales de planificación de mejoras en los sistemas TIC.

La estructura organizativa para la gestión de la seguridad de la información estará compuesta por los siguientes órganos:

1.- Comité de Seguridad de la Información

Es el órgano colegiado que dirige, gestiona, coordina, establece y aprueba las actuaciones en materia de seguridad de la información.

Está integrado por:

• Vicerrector con competencias en materia de TIC, que actuará como Presidente.
• Secretario General.
• Director de la Unidad Técnica de Calidad.
• Director del Centro de Servicios Informáticos.
• Responsable del Área de Infraestructuras Tecnológicas del Centro de Servicios Informáticos.
• Responsable del Área de SS.II. de Secretaría General del Centro de Servicios Informáticos.
• Delegado de Protección de Datos.
• Responsable de Seguridad de la Información, que actuará como Secretario.

Son funciones del Comité:

• Informar regularmente del estado de seguridad de la información al Rector.
• Proponer a la Junta Permanente de Gobierno el establecimiento y modificación de la Política de Seguridad de la Información.
• Aprobar la normativa y procedimientos de seguridad elaborados en desarrollo de la Política de Seguridad de la Información.
• Promover la mejora continua del sistema de gestión de seguridad de la información mediante la elaboración de la estrategia y nuevas líneas de trabajo priorizando las actuaciones en materia de seguridad.
• Revisar anualmente la Política de Seguridad.
• Interpretar la normativa de seguridad y resolver los conflictos que puedan surgir entre los distintos responsables.
• Comunicar a los órganos competentes las infracciones de la Política de Seguridad e instar, en su caso, la adopción de medidas preventivas y correctivas así como disciplinarias, cuando proceda.

Se reunirá con carácter ordinario dos veces al año y podrá recabar del personal propio o externo la información y asesoramiento pertinentes para la toma de sus decisiones.

2.- Responsable de Seguridad de la Información

El responsable de Seguridad de la Información tendrá asignadas las siguientes funciones:

• Promover la seguridad de la información manejada y de los servicios prestados por los sistemas TIC.
• Llevar a cabo el seguimiento de la Política de Seguridad de la Información de manera operativa, así como las seguridad física y lógica de los recursos TIC.
• Supervisar la investigación de los incidentes de seguridad y monitorizar el estado de seguridad del sistema.
• Determinar y proponer las medidas de seguridad a adoptar con objeto de garantizar la seguridad de los datos personales y documentar las actuaciones para demostrar el cumplimiento de la legalidad vigente.
• Coordinar y controlar las medidas de seguridad implementadas.
• Analizar los informes de auditorías.
• Controlar los mecanismos del registro de accesos.
• Revisar la información de control del registro de accesos y elaborar un informe de las revisiones realizadas y problemas detectados.
• En relación a los accesos autorizados, delegar a un usuario autorizaciones o funciones.
• Proponer el establecimiento de nueva normativa de seguridad o la modificación de la existente al Comité de Seguridad de la Información.
• Estará auxiliado para el desarrollo de sus funciones por la totalidad del personal interno o externo que forma parte del Centro de Servicios Informáticos de la Universidad.

3.- Delegado de Protección de Datos

Le corresponden las siguientes funciones:

• Informar y asesorar a la Universidad y al Comité de Seguridad de la Información de las obligaciones de la normativa de protección de datos.
• Supervisar el cumplimiento de la normativa de protección de datos y las políticas de privacidad, incluida la asignación de responsabilidades.
• Contribuir a la concienciación y formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes.
• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
• Cooperar con la autoridad de control y actuar como punto de contacto de la misma.

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los potenciales peligros a los que están expuestos. Este análisis se revisará de forma anual y se podrá repetir cuando:

• cambie la información manejada.
• cambien los servicios prestados.
• ocurra un incidente grave de seguridad.
• se reporten vulnerabilidades graves.
• Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

La gestión de riesgos quedará documentada en el informe de Análisis y Gestión de Riesgos.

Todos los miembros de la comunidad universitaria tienen el derecho de conocer y la obligación de cumplir esta Política de Seguridad de la Información así como toda normativa e instrucciones que la desarrollen. La Universidad se compromete a promover la concienciación y formación en esta materia, poniendo a disposición de sus responsables los medios necesarios para dichas labores, encaminadas a transmitir al personal de la Universidad el papel esencial que desempeña en el mantenimiento y mejora de la seguridad de la información.

Quienes traten información de la Universidad que no sea de acceso público están obligados a utilizar los sistemas de acceso y de identificación personales que les han sido proporcionados y a acceder únicamente a la información necesaria para el desarrollo de las labores que tienen encomendadas, respetando las medidas de seguridad implantadas por la normativa y en especial las referidas al tratamiento de uso de datos de carácter personal.