Ref. ENS/01.

Poltica de Seguridad UPCT

Revisin: 3

POLTICADESEGURIDADDELAINFORMACIN

1.ENTRADAENVIGOR

Textoaprobadoelda13deabrilde2011porelConsejodeGobiernodelaUniversidad
PolitcnicadeCartagena.

EstaPolticadeSeguridaddelaInformacinesefectivadesdedichafechayhastaque
seareemplazadaporunanuevaPoltica.

2.INTRODUCCIN

La UNIVERSIDAD POLITCNICA DE CARTAGENA, en adelante UPCT, depende de los

sistemas TIC (Tecnologas de Informacin y Comunicaciones) para alcanzar sus
objetivosinstitucionales.Enconsecuencia,estossistemasdebenseradministradoscon
diligencia, tomando las medidas adecuadas para protegerlos frente a daos
accidentales o deliberados que puedan afectar a la disponibilidad, integridad o
confidencialidaddelainformacintratadaolosserviciosprestados.

Por ello, el objetivo de la seguridad de la informacin es garantizar la calidad de la

informacin y la prestacin continuada de los servicios, actuando preventivamente,
supervisandolaactividaddiariayreaccionandoconprestezaalosincidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rpida evolucin y con
potencial para incidiren la confidencialidad, integridad, disponibilidad, uso previsto y
valordelainformacinylosservicios.Paradefendersedeestasamenazas,serequiere
una estrategia que se adapte a los cambios en las condiciones del entorno para
garantizarlaprestacincontinuadelosservicios.

EstoimplicaquelaUPCTysupersonaldebeaplicarlasmedidasmnimasdeseguridad
exigidas por el Esquema Nacional de Seguridad, as como realizar un seguimiento
continuodelosnivelesdeprestacindeservicios,seguiryanalizarlasvulnerabilidades
reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la
continuidaddelosserviciosprestados.

LaUPCTdebecerciorarsedequelaseguridadTICesunaparteintegraldecadaetapa
del ciclo de vida del sistema, desde su concepcin hasta su retirada de servicio,
pasandoporlasdecisionesdedesarrollooadquisicinylasactividadesdeexplotacin.

Losrequisitosdeseguridadysusnecesidadesdefinanciacin,debenseridentificadose
incluidos en la planificacin, en la solicitud de ofertas, y en pliegos de licitacin para
proyectosdeTIC.
La UPCT debe estar preparada para prevenir, detectar, reaccionar y recuperarse de
incidentes,deacuerdoalArtculo7delENS.

2.1.PREVENCIN

La UPCT debe evitar, o al menos prevenir en la medida de lo posible, que la

informacinolosserviciosseveanperjudicadosporincidentesdeseguridad.Paraello
sedebenimplementarlasmedidasmnimasdeseguridaddeterminadasporelENS,as
comocualquiercontroladicionalidentificadoatravsdeunaevaluacindeamenazasy
riesgos.

Estoscontroles,ylosrolesyresponsabilidadesdeseguridaddetodoelpersonal,deben
estar claramente definidos y documentados. Para garantizar el cumplimiento de la
poltica,laUPCTdebe:

Autorizarlossistemasantesdeentrarenoperacin.
Evaluarregularmentelaseguridad,incluyendoevaluacionesdeloscambiosde
configuracinrealizadosdeformarutinaria.
Solicitar la revisin peridica por parte de terceros con el fin de obtener una
evaluacinindependiente.

2.2.DETECCIN

Dadoquelosserviciossepuedendegradarrpidamentedebidoaincidentes,sedebe
monitorizarlaoperacindemaneracontinuadaparadetectaranomalasenlosniveles
de prestacin de los servicios y actuar en consecuencia segn lo establecido en el
Artculo9delENS.

Lamonitorizacinesespecialmenterelevantecuandoseestablecenlneasdedefensa
de acuerdo con el Artculo 8 del ENS. Se establecern mecanismos de deteccin,
anlisis y reporte que lleguen a los responsables regularmente y cuando se produce
una desviacin significativa de los parmetros que se hayan preestablecido como
normales.

2.3.RESPUESTA

LaUPCTdebe:

Establecer mecanismos para responder eficazmente a los incidentes de

seguridad.
 Designar un punto de contacto para las comunicaciones con respecto a
incidentes detectados en reas de la entidad o en otros organismos
relacionadosconlaUPCT.
Establecer protocolos para el intercambio de informacin relacionada con el
incidente.Estoincluyecomunicaciones,enambossentidos,conlosEquiposde
Respuesta a Emergencias (CERT) reconocidos a nivel nacional: IrisCERT, CCN
CERT,

2.4.RECUPERACIN

Para garantizar la disponibilidad de los servicios crticos, la UPCT debe desarrollar

planes de continuidad de los sistemas TIC como parte de su plan general de
continuidaddenegocioyactividadesderecuperacin.

3.MISION

La Universidad Politcnica de Cartagena es una institucin pblica, especializada en

enseanzaseinvestigacindecarctertcnicoydegestinempresarial.Desarrollasus
actividades de docencia, investigacin y extensin universitaria con una decidida
vocacin de servicio a la sociedad, desde una perspectiva regional, nacional e
internacional, favoreciendo el desarrollo socioeconmico y tecnolgico y la insercin
laboraldesusalumnos,promoviendolacalidadenelejerciciodesusfunciones.

De forma estrechamente relacionada con el cumplimiento de esta misin, la UPCT

desea manifestar la necesidad de una infraestructura TIC que prime y fomente las
operativas abiertas, enfocadas a la funcionalidad, conectividad y servicio al usuario,
como funciones prioritarias para la consecucin de los objetivos estratgicos e
institucionales.

4.ALCANCE

Debido a lamisin de la entidad,reflejadaenel punto 3 del presentedocumento, la

UPCT desestima la aplicacin de la presente poltica de seguridad sobre todo el
conjuntodelsistemadeinformacin.

Enbaseaello,laUPCTaplicarlapresentepolticasobreelgruesodelossistemasTIC
que conforman el Unidad de Informtica de la UPCT y particularmente sobre todos
aquellos sistemas que estn relacionados con el ejercicio de derechos por medios
electrnicos,conelcumplimientodedeberespormedioselectrnicosoconelaccesoa
lainformacinoalprocedimientoadministrativo.

De forma concreta la presente poltica de seguridad es aplicable sobre los siguientes

serviciosylossistemasTICquelosconforman:

ServicioERP:
o GestinAcadmica
o GestinEconmica
o GestindeRRHH
o GestindelaInvestigacin
o RegistroPresencial
o GestindeFormacinInterna
o GestindeAyudasSociales
o PortalIntegradodeServicios

ServiciodeAdministracinElectrnica:
o Sede
o TablnOficial
o Portafirmas
o RegistroTelemticoyPlataformadeTramitacin
o FacturaElectrnica

4.1.AmpliacindelAlcance

Adicionalmente y an entendindose que los siguientes servicios no se encuentran

directamenteenelalcancemarcadoporelEsquemaNacionaldeSeguridad,debidoa
su importancia en la comunidad universitaria, se acuerda extender el alcance a los
siguientesserviciosdelaUPCT:

ServiciodeDocenciaVirtual
ServiciodeWebInstitucional

5.MARCONORMATIVO

Son de aplicacin las leyes y normativas espaolas en relacin a proteccin de datos

personales,propiedadintelectualyusodeherramientastelemticas.Portodoello,la
UPCTpodrserrequeridaporlosrganosadministrativospertinentesaproporcionar
losregistroselectrnicosocualquierotrainformacinrelativaalusodelossistemasde
informacin.

EstapolticasesitadentrodelmarcojurdicodefinidoporlasleyesyRealesDecretos
siguientes:

 Ley Orgnica de Universidades (6/2001) y Ley Orgnica de modificacin de la

L.O.U.(4/2007).
EsquemaNacionaldeSeguridad(RD3/2010)
Leydeaccesoelectrnicodelosciudadanosalosserviciospblicos(11/2007).
LeyOrgnicadeProteccindeDatos(15/1999)yReglamentodedesarrollode
laLeyOrgnica(RD1720/2007)
LeydeServiciosdelaSociedaddelaInformacin(de12deoctubrede2002)

5.ORGANIZACINDELASEGURIDAD

5.1.COMITS:FUNCIONESYRESPONSABILIDADES

ElComitdeSeguridadTICestarformadopor:

- Vicerrector/adeNuevasTecnologas
- Jefe/adelaUnidaddeInformtica
- 2miembrosdelacomisindeNuevasTecnologas.
- 1tcnicodelaUnidaddeInformtica

El Comit de Seguridad TIC nombrar un Secretario y tendr como funciones las

propiasdelcargo.

El Comit de Seguridad TIC reportar a la Comisin de Nuevas Tecnologas y al

SecretarioGeneralcomoResponsabledelaInformacin.

ElComitdeSeguridadTICtendrlassiguientesfunciones:

DivulgacindelapolticaynormativadeseguridaddelaUPCT.
AprobacindelanormativadeseguridaddelaUPCT.
Revisinanualdelapolticadeseguridad.
Desarrollodelprocedimientodedesignacinderoles.
Designacinderolesyresponsabilidades.
SupervisinyaprobacindelastareasdeseguimientodelEsquemaNacionalde
Seguridad:
o Tareasdeadecuacin
o AnlisisdeRiesgos
o AuditoraBienal

5.2.ROLES:FUNCIONESYRESPONSABILIDADES
.
ResponsabledelaInformacin

 ElResponsabledelaInformacindelaUPCTtendrlassiguientesfunciones:

Establecimiento de los requisitos de la informacin en materia de
seguridad.
TrabajoencolaboracinconelresponsabledeseguridadyeldelSistema
en el mantenimiento de los sistemas catalogados segn el Anexo I del
EsquemaNacionaldeSeguridad.

ResponsabledelosserviciosTIC

ElResponsabledelosServiciosTICdelaUPCTtendrlassiguientesfunciones:

Establecimiento de los requisitos de los servicios TIC en materia de
seguridad.
TrabajoencolaboracinconelResponsabledeSeguridadyeldesistema
en el mantenimiento de los sistemas catalogados segn el Anexo I del
EsquemaNacionaldeSeguridad.
Velarporlainclusindeclusulassobreseguridadenloscontratoscon
terceraspartesyporsucumplimiento.

ResponsabledeSeguridad

ElResponsabledeSeguridaddelaUPCTtendrlassiguientesfunciones:

Mantener la seguridad de la informacin manejada y de los servicios
prestadosporlossistemasTICensumbitoderesponsabilidad.
Realizar o promover las auditoras peridicas que permitan verificar el
cumplimiento de las obligaciones del organismo en materia de
seguridad.
Promover la formacin y concienciacin de la Unidad de Informtica
dentrodesumbitoderesponsabilidad.
Verificarquelasmedidasdeseguridadestablecidassonadecuadaspara
laproteccindelainformacinmanejadaylosserviciosprestados.
Analizar,completaryaprobartodaladocumentacinrelacionadaconla
seguridaddelsistema.
Monitorizar el estado de seguridad del sistema proporcionado por las
herramientas de gestin de eventos de seguridad y mecanismos de
auditoraimplementadosenelsistema.
Apoyarysupervisarlainvestigacindelosincidentesdeseguridaddesde
sunotificacinhastasuresolucin.
Elaborar el informe peridico de seguridad para el propietario del
sistema,incluyendolosincidentesmsrelevantesdelperiodo.
 Aprobacin de los procedimientos de seguridad elaborados por el
ResponsabledelSistema.
Elaboracindelanormativadeseguridaddelaentidad.

ResponsabledelSistema

ElResponsabledelSistemadelaUPCTtendr,dentrodesusreasdeactuacin,
lassiguientesfunciones:

Desarrollar,operarymantenerelSistemadurantetodosuciclodevida,
incluyendolasespecificaciones,instalacinyverificacindesucorrecto
funcionamiento.
Definir la topologa y los procedimientos de gestin del Sistema
estableciendoloscriteriosdeusoylosserviciosdisponiblesenelmismo.
Definir la poltica de conexin o desconexin de equipos y usuarios
nuevosenelSistema.
Aprobarloscambiosqueafectenalaseguridaddelmododeoperacin
delSistema.
Decidir las medidas de seguridad que aplicarn los suministradores de
componentesdelSistemadurantelasetapasdedesarrollo,instalaciny
pruebadelmismo.
ImplantarycontrolarlasmedidasespecficasdeseguridaddelSistemay
cerciorarse de que stas se integren adecuadamente dentro del marco
generaldeseguridad.
Determinarlaconfiguracinautorizadadehardwareysoftwareautilizar
enelSistema.
Aprobar toda modificacin sustancial de la configuracin de cualquier
elementodelSistema.
Llevaracaboelpreceptivoprocesodeanlisisygestinderiesgosenel
Sistema.
Determinarlacategoradelsistemasegnelprocedimientodescritoen
el Anexo I del ENS y determinar las medidas de seguridad que deben
aplicarsesegnsedescribeenelAnexoIIdelENS.
ElaborarladocumentacindeseguridaddelSistema.
Delimitar las responsabilidades de cada entidad involucrada en el
mantenimiento,explotacin,implantacinysupervisindelSistema.
Velar por el cumplimiento de las obligaciones del Administrador de
SeguridaddelSistema(ASS).
Investigar los incidentes de seguridad que afecten al Sistema, y en su
caso, comunicacin al Responsable de Seguridad o a quin ste
determine.
 Establecer planes de contingencia y emergencia, llevando a cabo
frecuentesejerciciosparaqueelpersonalsefamiliariceconellos.
Adems, el responsable del sistema puede acordar la suspensin del
manejodeunaciertainformacinolaprestacindeunciertoserviciosi
esinformadodedeficienciasgravesdeseguridadquepudieranafectara
la satisfaccin de los requisitos establecidos. Esta decisin debe ser
acordada con los responsables de la informacin afectada, del servicio
afectadoyelresponsabledeseguridad,antesdeserejecutada.
Elaboracin de los procedimientos de seguridad necesarios para la
operativaenelsistema.

5.3.PROCEDIMIENTODEDESIGNACIN

ElResponsabledelaInformacinsernombradoporelRectordelaUPCT.

ElResponsabledelosServiciosTICsernombradoporelRectordelaUPCT.

El Responsable de Seguridad de la Informacin ser nombrado por el Comit de

Seguridad TIC. El nombramiento se revisar cada 2 aos o cuando el puesto quede
vacante.

La Unidad de Informtica de la UPCT, responsable de la infraestructura para la

prestacin electrnica de acuerdo a la Ley 11/2007, designar al Responsable o
Responsables del Sistema, precisando sus funciones y responsabilidades dentro del
marcoestablecidoporestaPoltica.

5.4.POLTICADESEGURIDAD

SermisindelComitdeSeguridadTIClarevisinanualdeestaPolticadeSeguridad
delaInformacinylapropuestaderevisinomantenimientodelamisma.LaPoltica
ser aprobada por Consejo de Gobierno y difundida para que la conozcan todas las
partesafectadas.

6.DATOSDECARCTERPERSONAL

La UPCT realiza tratamientos en los que hace uso de datos de carcter personal. El
Documento de Seguridad LOPD (Ley Orgnica de Proteccin de Datos) de la UPCT se
puede encontrar impreso en papel en las dependencias de la Unidad de Informtica.
Estedocumentorecogelosficherosafectadosylosresponsablescorrespondientes.

TodoslossistemasdeinformacindelaUPCTseajustarnalosnivelesdeseguridad
requeridos por la normativa para la naturaleza y finalidad de los datos de carcter
personalrecogidosenelmencionadoDocumentodeSeguridad.

7.GESTINDERIESGOS

Todos los sistemas sujetos a esta Poltica debern realizar un anlisis de riesgos,
evaluando las amenazas y los riesgos a los que estn expuestos. Este anlisis se
repetir:

Regularmente,almenosunavezcadadosaos
Cuandocambielainformacinmanejada
Cuandocambienlosserviciosprestados
Cuandoocurraunincidentegravedeseguridad
Cuandosereportenvulnerabilidadesgraves

Paralaarmonizacindelosanlisisderiesgos,elComitdeSeguridadTICestablecer
unavaloracindereferenciaparalosdiferentestiposdeinformacinmanejadosylos
diferentesserviciosprestados.

ElComitdeSeguridadTICdinamizarladisponibilidadderecursosparaatenderalas
necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de
carcterhorizontal.

8.DESARROLLODELAPOLTICADESEGURIDAD

EstaPolticasedesarrollarpormediodenormativadeseguridadqueafronteaspectos
especficos.Lanormativadeseguridadestaradisposicindetodoslosmiembrosdela
UPCT que necesiten conocerla, en particular para aquellos que utilicen, operen o
administrenlossistemasdeinformacinycomunicaciones.

Lanormativadeseguridadestardisponibleenlaintranetcorporativa,atravsdela
siguientedireccin:https://sede.upct.es/politicadeseguridad.html

AsmismopodrencontrarseimpresaenelVicerrectoradodeNuevasTecnologasyen
laUnidaddeInformtica.

9.OBLIGACIONESDELPERSONAL

TodoslosmiembrosdelaUPCTtienenlaobligacindeconocerycumplirestaPoltica
de Seguridad de la Informacin y la Normativa de Seguridad desarrollada a partir de
ella, siendo responsabilidad del Comit de Seguridad TIC disponer los medios
necesariosparaquelainformacinlleguealosafectados.

AtodoslosmiembrosdelaUPCTselesconvocaraunasesindeconcienciacinen
materia de seguridad TIC al menos una vez al ao. Se establecer un programa de
concienciacincontinuaparaatenderatodoslosmiembrosdelaUPCT,enparticulara
losdenuevaincorporacin.

Laspersonasconresponsabilidadeneluso,operacinoadministracindesistemasTIC
recibirn formacin para el manejo seguro de los sistemas en la medida en que la
necesiten para realizar su trabajo. La formacin ser obligatoria antes de asumir una
responsabilidad,tantosiessuprimeraasignacinosisetratadeuncambiodepuesto
detrabajooderesponsabilidadesenelmismo.

10.TERCERASPARTES

Cuando la UPCT preste servicios a otros organismos o maneje informacin de otros

organismos, se les har partcipesde esta Poltica de Seguridad de la Informacin, se
establecern canales para reporte y coordinacin de los respectivos Comits de
Seguridad TIC y se establecern procedimientos de actuacin para la reaccin ante
incidentesdeseguridad.

CuandolaUPCTutiliceserviciosdetercerosocedainformacinaterceros,seleshar
partcipes de esta Poltica de Seguridad y de la Normativa de Seguridad que ataa a
dichos servicios o informacin. Dicha tercera parte quedar sujeta a las obligaciones
establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos
operativos para satisfacerla. Se establecern procedimientos especficos de reporte y
resolucin de incidencias. Se garantizar que el personal de terceros est
adecuadamenteconcienciadoenmateriadeseguridad,almenosalmismonivelqueel
establecido en esta Poltica. Cuando algn aspecto de la Poltica no pueda ser
satisfecho por una tercera parte segn se requiere en los prrafos anteriores, se
requeriruninformedelResponsabledeSeguridadquepreciselosriesgosenquese
incurre y la forma de tratarlos. Se requerir la aprobacin de este informe por los
responsablesdelainformacinylosserviciosafectadosantesdeseguiradelante.


DISPOSICINADICIONAL:NOMBRAMIENTOSDERESPONSABLES

El Rector de la UPCT propone como Responsable de la Informacin a la Secretaria

General de la UPCT, como Responsable de los Servicios TIC al Vicerrector de
TecnologasdelaInformacinylasComunicaciones,comoResponsabledeSeguridada
D. Francisco J. Sampalo Lainz, Analista de la Unidad de Informtica, y como
ResponsablesdelosSistemasalosJefesdelasSeccionesdelaUnidaddeInformtica
(enmbitodelascompetenciasdecadaunodeellos).