Política general de seguridadPrivacidad

Cerrar explora esta secciónHamburguesa explora esta secciónMENÚ

OBJETIVO

El objetivo del presente documento es establecer la Política de Seguridad de la Información de la Universidad de Deusto, con la que se garantice una protección adecuada de los activos de información y la prestación continuada de los servicios, de modo tal que esté preparada para prevenir, detectar, reaccionar y recuperarse de incidentes de seguridad. Para ello, deberá contar con las medidas de seguridad necesarias para mantener un nivel de riesgo aceptable, así como realizar un seguimiento continuo de los niveles de prestación de servicios, analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes.

Los servicios de información de la Universidad de Deusto han de realizar sus funciones y custodiar la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones no controladas, y sin que la información pueda llegar a conocimiento de personas no autorizadas. Conforme a ello, la capacidad de las redes y de los sistemas de información de la Universidad de Deusto ha de ser suficiente para resistir, con el nivel de confianza exigible, los accidentes o acciones ilícitas o malintencionadas que pongan en peligro el acceso, la disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, almacenados o transmitidos, así como de los servicios utilizados en medios electrónicos.

La Universidad de Deusto debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida de los sistemas de información, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición, y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación derivadas de cada etapa deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en los pliegos de licitación para proyectos de TIC.

Para dar cumplimiento a lo previsto en esta Política de Seguridad de la Información y así satisfacer el nivel de seguridad exigido por la Universidad, el Comité de Seguridad de la Información elaborará anualmente un informe en el que se especificarán las medidas de seguridad que, conforme al principio de gestión de riesgos, hayan sido aprobadas por el Comité y que deban ser implementadas por su carácter necesario durante el ejercicio económico siguiente, así como aquellas medidas que sería deseable incluir para impulsar la estrategia de seguridad diseñada por el Comité.

ÁMBITO DE APLICACIÓN

En virtud de esta Política de Seguridad de la Información y su normativa de desarrollo, se definirán unas medidas de seguridad que se aplicarán, según se determine en dichas normas, a todos los servicios, sistemas y demás recursos TIC de la Universidad de Deusto que den soporte a sus procesos y que afecten a los diferentes activos de información sustentados en ellos.

Los recursos TIC de la Universidad de Deusto tienen como finalidad el apoyo a la docencia, a la investigación y a las tareas de gestión necesarias para el funcionamiento de la Universidad.

Son recursos TIC de la Universidad de Deusto todos los sistemas centrales y departamentales, estaciones de trabajo, ordenadores de puesto, impresoras y otros periféricos y dispositivos de salida, sistemas de localización, redes internas y externas, sistemas multiusuario y servicios de comunicaciones (transmisión telemática de voz, imagen, datos o documentos) y sistemas de almacenamiento que sean de su propiedad.

En este marco no se considera “recurso TIC de la Universidad de Deusto” aquellos ordenadores o dispositivos personales financiados a título individual, no inventariados a nombre de la universidad, aunque pudieran ocasionalmente ser usados para labores propias de investigación.
Por tanto, quedan fuera de este ámbito dichos elementos, así como las acciones sobre ellos o riesgos de seguridad de tales elementos. No obstante, en el caso de que se acceda a la red corporativa mediante dichos ordenadores o dispositivos personales, quedarán sujetos a las obligaciones establecidas en la presente Política de Seguridad de la Información y a las normas e instrucciones que la desarrollan.

Esta política se aplica también a todas aquellas personas, instituciones, entidades o unidades y servicios, sean internos o externos, que hagan uso de los recursos TIC de la Universidad de Deusto, sea mediante conexión directa o indirecta con los mismos, conexión remota o a través de equipos ajenos a la misma, incluyendo expresamente los servicios prestados a través de Internet. En adelante tales sujetos tendrán la consideración de “usuarios”.

PRINCIPIOS BÁSICOS DE SEGURIDAD

La presente Política de Seguridad de la Información de la Universidad de Deusto, así como la normativa que la desarrolle, se fundamenta en principios básicos de protección cuyo fin es asegurar que una organización podrá cumplir sus objetivos utilizando sistemas de información.

Estos principios básicos, que deberán ser tenidos en cuenta siempre que se adopten decisiones en materia de seguridad de la información, son los siguientes:

a) Seguridad integral.

La seguridad ha de ser entendida como un proceso integral que involucra a todos y cada uno de los elementos humanos, técnicos, materiales y organizativos relacionados con el sistema.

En consecuencia, habrán de adoptarse las medidas oportunas para que todas las personas que intervienen en el proceso conozcan esta Política de Seguridad y desarrollen sus funciones de conformidad con la misma. Todos los implicados en el proceso de seguridad actuarán de manera coordinada en la aplicación y control de las medidas de seguridad. Esta coordinación se extenderá a todas las iniciativas y actuaciones de Deusto.

b) Gestión de riesgos.

El análisis y la gestión de riesgos es una parte esencial del proceso de seguridad. Los niveles de riesgo han de mantenerse dentro de unos niveles mínimos aceptables, mediante el despliegue de las medidas de seguridad apropiadas y permanentemente actualizadas, de modo tal que se establezca un equilibrio y proporcionalidad entre la naturaleza de los datos y los tratamientos realizados, los riesgos a los que estén expuestos y las medidas de seguridad aplicadas.

c) Prevención y recuperación de sistemas y datos ante desastres.

La seguridad del sistema debe contemplar los aspectos de prevención, detección y recuperación, para conseguir que las amenazas sobre el mismo no se materialicen o no afecten gravemente a los datos que manejan los sistemas de información o los servicios que prestan.

  • Las medidas de prevención contemplarán, entre otras, la disuasión y la reducción de la exposición.
  • Las medidas de detención se acompañarán de medidas de reacción, para garantizar que los incidentes de seguridad se atajen a tiempo.
  • Las medidas de recuperación deben permitir la restauración de la información y los servicios de forma que se pueda hacer frente a las situaciones en las que un incidente de seguridad inhabilite los medios habituales.

El sistema garantizará la conservación de los datos e informaciones en soporte electrónico, y mantendrá disponibles los servicios durante todo el ciclo vital de la información digital.

d) Líneas de defensa.

El sistema ha de disponer de una estrategia de protección constituida por múltiples capas de seguridad, dispuestas de tal forma que, si una de ellas falla por causa de un incidente que no ha podido evitarse, se gane tiempo para una reacción adecuada, se reduzca la posibilidad de que el sistema se vea comprometido en su conjunto, y se minimice el impacto final sobre el mismo.

Las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.

e) Reevaluación periódica.

Las medidas de seguridad adoptadas por la Universidad de Deusto se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección.

La visión de la seguridad que se deriva de la aplicación de estos principios responde igualmente a las exigencias que plantea el artículo 32.1.b) del Reglamento General de Protección de Datos según el cual la seguridad tiene como finalidad garantizar la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

LIDERAZGO Y COMPROMISO

La dirección de la Universidad de Deusto demuestra su liderazgo y compromiso hacia los principios básicos de seguridad de la información mediante la implantación del Sistema de Gestión de Seguridad de la Información (SGSI):

  • Garantizando que la Política de Gestión de Seguridad de la Información, la Política de Seguridad y Normativa de Seguridad de la Información de la Universidad de Deusto, así como los objetivos de esta se han establecido y son compatibles con la dirección estratégica de la compañía;
  • Velando por que los recursos necesarios para el SGSI estén disponibles;
  • Comunicando la importancia de una gestión eficaz del sistema y de satisfacer los requisitos del sistema;
  • Asegurando que el SGSI alcanza sus resultados previstos;
  • Dirigiendo y apoyando a las personas a contribuir a la eficacia del SGSI;
  • Promoviendo la mejora continua; y
  • Apoyando otras funciones de gestión pertinentes para demostrar su liderazgo aplicable a sus áreas de responsabilidad.

POLÍTICA DE GESTIÓN

La Dirección de la Universidad de Deusto acuerda que el desarrollo de las actividades de la compañía y la consecución de los objetivos estratégicos requiere garantizar, en todo momento, el cumplimiento de los niveles establecidos de confidencialidad, disponibilidad, integridad, autenticación y trazabilidad para sus activos de información. Al mismo tiempo, requiere demostrar también su capacidad para proporcionar las soluciones y servicios propios de forma coherente, así como para gestionar eficientemente los servicios de seguridad de la información y ciberseguridad que ofrece a sus clientes.

Con esta finalidad, se ha desarrollado e implantado el SGSI que establece el marco de referencia para tratar de forma segura los activos de la compañía, y que garantiza la confianza y satisfacción de los clientes mediante la integración de una metodología de prestación de servicios eficiente.

El compromiso de la Universidad de Deusto en cuanto a la gestión de la seguridad de la información es el siguiente:

  • Hacer patente el compromiso de la Dirección con el SGSI, con la gestión de la seguridad de la información, tanto propia como la de sus clientes.
  • Garantizar que se integran los requisitos del SGSI en los procesos de negocio de la compañía.
  • Asegurar que se establezcan los objetivos de la seguridad de la información, y que éstos sean compatibles con el contexto y la dirección estratégica de la compañía.
  • Definir, desarrollar y poner en funcionamiento los controles necesarios promoviendo el uso del enfoque a procesos y el pensamiento basado en riesgos para garantizar el cumplimiento, en todo momento, de los niveles de riesgo aprobados por la compañía.
  • Cumplir en todo momento la legislación vigente, además de las normas y especificaciones particulares aplicables a los servicios prestados por la compañía y orientadas a la satisfacción del cliente.
  • Crear una cultura de gestión integrada de los sistemas de información, tanto internamente, a todo el personal, como externamente a los clientes y proveedores.
  • Comprometer, dirigir y apoyar al personal con el fin de contribuir a la eficacia del SGSI, asegurar la disponibilidad de los recursos necesarios para el mismo, así como apoyar a otros roles pertinentes de la dirección en la forma en la que aplique el sistema de gestión en sus áreas de responsabilidad.
  • Tratar la gestión de la seguridad de la información como un proceso de mejora continua.
  • Mantener la confianza y satisfacción de las partes interesadas de la Universidad de Deusto, especialmente de los estudiantes.

ORGANIZACIÓN DE LA SEGURIDAD

Para garantizar que todas las etapas del ciclo de vida de protección de la información sean realizadas de manera apropiada y las responsabilidades para su ejecución sean asignadas adecuadamente, la Universidad de Deusto establece una estructura que permite promover la
aplicación consistente de la presente política y acomodar efectivamente los frecuentes cambios tecnológicos y organizacionales.

Para ello, se definen los siguientes Comités y Roles generales relacionados con su participación en la gestión y supervisión de la seguridad de la información:

  • Comité de Seguridad de la Información.
  • Responsable de Seguridad de la Información.

DATOS DE CARÁCTER PERSONAL

La Universidad de Deusto realiza tratamientos en los que hace uso de datos de carácter personal.
El Registro de Actividades de Tratamiento de Deusto recoge los tratamientos afectados y los responsables correspondientes.

Todos los sistemas de información de la Universidad de Deusto se ajustarán a los niveles de
seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal y, tal y como se ha indicado, las medidas que se adopten en aplicación de esta política de seguridad, así como los análisis de riesgos y evaluaciones de impacto que se realicen en cumplimiento de las obligaciones derivadas del Reglamento General de Protección de Datos, estarán coordinadas con el Responsable de Seguridad y el Comité.

OBLIGACIONES DE LOS USUARIOS

Todos los miembros de la Universidad de Deusto tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad desarrollada a partir de ella, siendo responsabilidad del Comité de Seguridad de la Información disponer de los medios necesarios para que la información llegue a los afectados.

Todo el personal de la Universidad debe ser consciente de la necesidad de garantizar la seguridad de los sistemas de información, así como que ellos mismos son una pieza esencial para el mantenimiento y mejora de la seguridad.

Se establecerá un programa de concienciación continua para atender a todos los miembros de Deusto, en particular a los de nueva incorporación. Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación como si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

RESPONSABILIDADES DE LOS USUARIOS EN CASO DE INCUMPLIMIENTO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

El Comité de Seguridad de la Información podrá apreciar si por parte de los usuarios de la
Universidad de Deusto existe algún tipo de incumplimiento en las obligaciones previstas en la
Política de Seguridad de la Información o en su normativa e instrucciones de desarrollo.

En caso de incumplimiento, se prevén medidas preventivas y correctivas encaminadas a
salvaguardar y proteger las redes y sistemas de información, sin perjuicio de la correspondiente exigencia de responsabilidad disciplinaria.

Constatado un incumplimiento de la Política de Seguridad de la Información de Deusto, el Comité de Seguridad instará, por los cauces establecidos, la depuración de las responsabilidades disciplinarias a las que hubiera lugar.

El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario del personal al servicio de la propia universidad.

RELACIÓN CON TERCERAS PARTES

Cuando la Universidad de Deusto preste servicios a otros organismos o maneje información de los mismos, el responsable de esa relación les hará partícipe de esta política de seguridad y de las normas e instrucciones derivadas. Se establecerán canales de comunicación y coordinación entre los respectivos Comités de Seguridad de la Información, y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Asimismo, cuando Deusto utilice servicios de terceros o ceda información a terceros, el
responsable de esa relación les hará igualmente partícipes de esta política de seguridad y de la normativa e instrucciones de seguridad que atañe a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones y medidas de seguridad establecidas en dicha normativa e instrucciones, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Se establecerán procedimientos específicos de prevención, detección, reporte y resolución de
incidencias. Se garantizará que el personal de terceros esté adecuadamente concienciado en
materia de seguridad, al menos al mismo nivel que el establecido en esta política de seguridad.

En concreto, los terceros deberán garantizar el cumplimiento de políticas de seguridad basadas en estándares auditables y someterse a controles y revisiones de terceros que certifiquen el cumplimiento de estas políticas. Asimismo, se garantizará mediante auditoría o certificado de destrucción y borrado que el tercero cancela y elimina los datos pertenecientes a Deusto a la finalización del contrato.

Cuando algún aspecto de esta política de seguridad no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Comité de Seguridad de la Información antes de seguir adelante.

MARCO NORMATIVO

Esta Política de Seguridad de la Información se dicta de conformidad con lo dispuesto en las
leyes y reales decretos siguientes:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (LPI), regularizando, aclarando y armonizando las disposiciones vigentes en la materia.
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).
  • Todas aquellas normas, de carácter general o interno, que resulten de aplicación a la Universidad en el marco de esta Política de Seguridad.
  • Estatuto de los trabajadores.

APROBACIÓN Y ENTRADA EN VIGOR

Texto aprobado por el Comité de Seguridad en Bilbao a 04 de Mayo de 2023.
Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea
reemplazada por una nueva política.

Quedan derogadas las disposiciones de igual o inferior rango que se opongan a lo dispuesto en la presente Política de Seguridad de la Información.