Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ENS PoliticaSeguridadUPCT
ENS PoliticaSeguridadUPCT
POLTICADESEGURIDADDELAINFORMACIN
1.ENTRADAENVIGOR
Textoaprobadoelda13deabrilde2011porelConsejodeGobiernodelaUniversidad
PolitcnicadeCartagena.
EstaPolticadeSeguridaddelaInformacinesefectivadesdedichafechayhastaque
seareemplazadaporunanuevaPoltica.
2.INTRODUCCIN
Los sistemas TIC deben estar protegidos contra amenazas de rpida evolucin y con
potencial para incidiren la confidencialidad, integridad, disponibilidad, uso previsto y
valordelainformacinylosservicios.Paradefendersedeestasamenazas,serequiere
una estrategia que se adapte a los cambios en las condiciones del entorno para
garantizarlaprestacincontinuadelosservicios.
EstoimplicaquelaUPCTysupersonaldebeaplicarlasmedidasmnimasdeseguridad
exigidas por el Esquema Nacional de Seguridad, as como realizar un seguimiento
continuodelosnivelesdeprestacindeservicios,seguiryanalizarlasvulnerabilidades
reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la
continuidaddelosserviciosprestados.
LaUPCTdebecerciorarsedequelaseguridadTICesunaparteintegraldecadaetapa
del ciclo de vida del sistema, desde su concepcin hasta su retirada de servicio,
pasandoporlasdecisionesdedesarrollooadquisicinylasactividadesdeexplotacin.
Losrequisitosdeseguridadysusnecesidadesdefinanciacin,debenseridentificadose
incluidos en la planificacin, en la solicitud de ofertas, y en pliegos de licitacin para
proyectosdeTIC.
La UPCT debe estar preparada para prevenir, detectar, reaccionar y recuperarse de
incidentes,deacuerdoalArtculo7delENS.
2.1.PREVENCIN
Estoscontroles,ylosrolesyresponsabilidadesdeseguridaddetodoelpersonal,deben
estar claramente definidos y documentados. Para garantizar el cumplimiento de la
poltica,laUPCTdebe:
Autorizarlossistemasantesdeentrarenoperacin.
Evaluarregularmentelaseguridad,incluyendoevaluacionesdeloscambiosde
configuracinrealizadosdeformarutinaria.
Solicitar la revisin peridica por parte de terceros con el fin de obtener una
evaluacinindependiente.
2.2.DETECCIN
Dadoquelosserviciossepuedendegradarrpidamentedebidoaincidentes,sedebe
monitorizarlaoperacindemaneracontinuadaparadetectaranomalasenlosniveles
de prestacin de los servicios y actuar en consecuencia segn lo establecido en el
Artculo9delENS.
Lamonitorizacinesespecialmenterelevantecuandoseestablecenlneasdedefensa
de acuerdo con el Artculo 8 del ENS. Se establecern mecanismos de deteccin,
anlisis y reporte que lleguen a los responsables regularmente y cuando se produce
una desviacin significativa de los parmetros que se hayan preestablecido como
normales.
2.3.RESPUESTA
LaUPCTdebe:
2.4.RECUPERACIN
3.MISION
4.ALCANCE
Enbaseaello,laUPCTaplicarlapresentepolticasobreelgruesodelossistemasTIC
que conforman el Unidad de Informtica de la UPCT y particularmente sobre todos
aquellos sistemas que estn relacionados con el ejercicio de derechos por medios
electrnicos,conelcumplimientodedeberespormedioselectrnicosoconelaccesoa
lainformacinoalprocedimientoadministrativo.
ServicioERP:
o GestinAcadmica
o GestinEconmica
o GestindeRRHH
o GestindelaInvestigacin
o RegistroPresencial
o GestindeFormacinInterna
o GestindeAyudasSociales
o PortalIntegradodeServicios
ServiciodeAdministracinElectrnica:
o Sede
o TablnOficial
o Portafirmas
o RegistroTelemticoyPlataformadeTramitacin
o FacturaElectrnica
4.1.AmpliacindelAlcance
ServiciodeDocenciaVirtual
ServiciodeWebInstitucional
5.MARCONORMATIVO
EstapolticasesitadentrodelmarcojurdicodefinidoporlasleyesyRealesDecretos
siguientes:
5.1.COMITS:FUNCIONESYRESPONSABILIDADES
ElComitdeSeguridadTICestarformadopor:
- Vicerrector/adeNuevasTecnologas
- Jefe/adelaUnidaddeInformtica
- 2miembrosdelacomisindeNuevasTecnologas.
- 1tcnicodelaUnidaddeInformtica
ElComitdeSeguridadTICtendrlassiguientesfunciones:
DivulgacindelapolticaynormativadeseguridaddelaUPCT.
AprobacindelanormativadeseguridaddelaUPCT.
Revisinanualdelapolticadeseguridad.
Desarrollodelprocedimientodedesignacinderoles.
Designacinderolesyresponsabilidades.
SupervisinyaprobacindelastareasdeseguimientodelEsquemaNacionalde
Seguridad:
o Tareasdeadecuacin
o AnlisisdeRiesgos
o AuditoraBienal
5.2.ROLES:FUNCIONESYRESPONSABILIDADES
.
ResponsabledelaInformacin
ElResponsabledelaInformacindelaUPCTtendrlassiguientesfunciones:
Establecimiento de los requisitos de la informacin en materia de
seguridad.
TrabajoencolaboracinconelresponsabledeseguridadyeldelSistema
en el mantenimiento de los sistemas catalogados segn el Anexo I del
EsquemaNacionaldeSeguridad.
ResponsabledelosserviciosTIC
ElResponsabledelosServiciosTICdelaUPCTtendrlassiguientesfunciones:
Establecimiento de los requisitos de los servicios TIC en materia de
seguridad.
TrabajoencolaboracinconelResponsabledeSeguridadyeldesistema
en el mantenimiento de los sistemas catalogados segn el Anexo I del
EsquemaNacionaldeSeguridad.
Velarporlainclusindeclusulassobreseguridadenloscontratoscon
terceraspartesyporsucumplimiento.
ResponsabledeSeguridad
ElResponsabledeSeguridaddelaUPCTtendrlassiguientesfunciones:
Mantener la seguridad de la informacin manejada y de los servicios
prestadosporlossistemasTICensumbitoderesponsabilidad.
Realizar o promover las auditoras peridicas que permitan verificar el
cumplimiento de las obligaciones del organismo en materia de
seguridad.
Promover la formacin y concienciacin de la Unidad de Informtica
dentrodesumbitoderesponsabilidad.
Verificarquelasmedidasdeseguridadestablecidassonadecuadaspara
laproteccindelainformacinmanejadaylosserviciosprestados.
Analizar,completaryaprobartodaladocumentacinrelacionadaconla
seguridaddelsistema.
Monitorizar el estado de seguridad del sistema proporcionado por las
herramientas de gestin de eventos de seguridad y mecanismos de
auditoraimplementadosenelsistema.
Apoyarysupervisarlainvestigacindelosincidentesdeseguridaddesde
sunotificacinhastasuresolucin.
Elaborar el informe peridico de seguridad para el propietario del
sistema,incluyendolosincidentesmsrelevantesdelperiodo.
Aprobacin de los procedimientos de seguridad elaborados por el
ResponsabledelSistema.
Elaboracindelanormativadeseguridaddelaentidad.
ResponsabledelSistema
ElResponsabledelSistemadelaUPCTtendr,dentrodesusreasdeactuacin,
lassiguientesfunciones:
Desarrollar,operarymantenerelSistemadurantetodosuciclodevida,
incluyendolasespecificaciones,instalacinyverificacindesucorrecto
funcionamiento.
Definir la topologa y los procedimientos de gestin del Sistema
estableciendoloscriteriosdeusoylosserviciosdisponiblesenelmismo.
Definir la poltica de conexin o desconexin de equipos y usuarios
nuevosenelSistema.
Aprobarloscambiosqueafectenalaseguridaddelmododeoperacin
delSistema.
Decidir las medidas de seguridad que aplicarn los suministradores de
componentesdelSistemadurantelasetapasdedesarrollo,instalaciny
pruebadelmismo.
ImplantarycontrolarlasmedidasespecficasdeseguridaddelSistemay
cerciorarse de que stas se integren adecuadamente dentro del marco
generaldeseguridad.
Determinarlaconfiguracinautorizadadehardwareysoftwareautilizar
enelSistema.
Aprobar toda modificacin sustancial de la configuracin de cualquier
elementodelSistema.
Llevaracaboelpreceptivoprocesodeanlisisygestinderiesgosenel
Sistema.
Determinarlacategoradelsistemasegnelprocedimientodescritoen
el Anexo I del ENS y determinar las medidas de seguridad que deben
aplicarsesegnsedescribeenelAnexoIIdelENS.
ElaborarladocumentacindeseguridaddelSistema.
Delimitar las responsabilidades de cada entidad involucrada en el
mantenimiento,explotacin,implantacinysupervisindelSistema.
Velar por el cumplimiento de las obligaciones del Administrador de
SeguridaddelSistema(ASS).
Investigar los incidentes de seguridad que afecten al Sistema, y en su
caso, comunicacin al Responsable de Seguridad o a quin ste
determine.
Establecer planes de contingencia y emergencia, llevando a cabo
frecuentesejerciciosparaqueelpersonalsefamiliariceconellos.
Adems, el responsable del sistema puede acordar la suspensin del
manejodeunaciertainformacinolaprestacindeunciertoserviciosi
esinformadodedeficienciasgravesdeseguridadquepudieranafectara
la satisfaccin de los requisitos establecidos. Esta decisin debe ser
acordada con los responsables de la informacin afectada, del servicio
afectadoyelresponsabledeseguridad,antesdeserejecutada.
Elaboracin de los procedimientos de seguridad necesarios para la
operativaenelsistema.
5.3.PROCEDIMIENTODEDESIGNACIN
ElResponsabledelaInformacinsernombradoporelRectordelaUPCT.
ElResponsabledelosServiciosTICsernombradoporelRectordelaUPCT.
5.4.POLTICADESEGURIDAD
SermisindelComitdeSeguridadTIClarevisinanualdeestaPolticadeSeguridad
delaInformacinylapropuestaderevisinomantenimientodelamisma.LaPoltica
ser aprobada por Consejo de Gobierno y difundida para que la conozcan todas las
partesafectadas.
6.DATOSDECARCTERPERSONAL
La UPCT realiza tratamientos en los que hace uso de datos de carcter personal. El
Documento de Seguridad LOPD (Ley Orgnica de Proteccin de Datos) de la UPCT se
puede encontrar impreso en papel en las dependencias de la Unidad de Informtica.
Estedocumentorecogelosficherosafectadosylosresponsablescorrespondientes.
TodoslossistemasdeinformacindelaUPCTseajustarnalosnivelesdeseguridad
requeridos por la normativa para la naturaleza y finalidad de los datos de carcter
personalrecogidosenelmencionadoDocumentodeSeguridad.
7.GESTINDERIESGOS
Todos los sistemas sujetos a esta Poltica debern realizar un anlisis de riesgos,
evaluando las amenazas y los riesgos a los que estn expuestos. Este anlisis se
repetir:
Regularmente,almenosunavezcadadosaos
Cuandocambielainformacinmanejada
Cuandocambienlosserviciosprestados
Cuandoocurraunincidentegravedeseguridad
Cuandosereportenvulnerabilidadesgraves
Paralaarmonizacindelosanlisisderiesgos,elComitdeSeguridadTICestablecer
unavaloracindereferenciaparalosdiferentestiposdeinformacinmanejadosylos
diferentesserviciosprestados.
ElComitdeSeguridadTICdinamizarladisponibilidadderecursosparaatenderalas
necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de
carcterhorizontal.
8.DESARROLLODELAPOLTICADESEGURIDAD
EstaPolticasedesarrollarpormediodenormativadeseguridadqueafronteaspectos
especficos.Lanormativadeseguridadestaradisposicindetodoslosmiembrosdela
UPCT que necesiten conocerla, en particular para aquellos que utilicen, operen o
administrenlossistemasdeinformacinycomunicaciones.
Lanormativadeseguridadestardisponibleenlaintranetcorporativa,atravsdela
siguientedireccin:https://sede.upct.es/politicadeseguridad.html
AsmismopodrencontrarseimpresaenelVicerrectoradodeNuevasTecnologasyen
laUnidaddeInformtica.
9.OBLIGACIONESDELPERSONAL
TodoslosmiembrosdelaUPCTtienenlaobligacindeconocerycumplirestaPoltica
de Seguridad de la Informacin y la Normativa de Seguridad desarrollada a partir de
ella, siendo responsabilidad del Comit de Seguridad TIC disponer los medios
necesariosparaquelainformacinlleguealosafectados.
AtodoslosmiembrosdelaUPCTselesconvocaraunasesindeconcienciacinen
materia de seguridad TIC al menos una vez al ao. Se establecer un programa de
concienciacincontinuaparaatenderatodoslosmiembrosdelaUPCT,enparticulara
losdenuevaincorporacin.
Laspersonasconresponsabilidadeneluso,operacinoadministracindesistemasTIC
recibirn formacin para el manejo seguro de los sistemas en la medida en que la
necesiten para realizar su trabajo. La formacin ser obligatoria antes de asumir una
responsabilidad,tantosiessuprimeraasignacinosisetratadeuncambiodepuesto
detrabajooderesponsabilidadesenelmismo.
10.TERCERASPARTES
CuandolaUPCTutiliceserviciosdetercerosocedainformacinaterceros,seleshar
partcipes de esta Poltica de Seguridad y de la Normativa de Seguridad que ataa a
dichos servicios o informacin. Dicha tercera parte quedar sujeta a las obligaciones
establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos
operativos para satisfacerla. Se establecern procedimientos especficos de reporte y
resolucin de incidencias. Se garantizar que el personal de terceros est
adecuadamenteconcienciadoenmateriadeseguridad,almenosalmismonivelqueel
establecido en esta Poltica. Cuando algn aspecto de la Poltica no pueda ser
satisfecho por una tercera parte segn se requiere en los prrafos anteriores, se
requeriruninformedelResponsabledeSeguridadquepreciselosriesgosenquese
incurre y la forma de tratarlos. Se requerir la aprobacin de este informe por los
responsablesdelainformacinylosserviciosafectadosantesdeseguiradelante.
DISPOSICINADICIONAL:NOMBRAMIENTOSDERESPONSABLES