Politica Seguridad URJC
Politica Seguridad URJC
Politica Seguridad URJC
Versión 2.0
Mayo 2018
5j0OPWZOpH
Contenido
1 Introducción .............................................................................................................................................3
2 Aspectos generales .................................................................................................................................3
2.1 Prevención .......................................................................................................................................3
2.2 Detección.........................................................................................................................................4
2.3 Respuesta .........................................................................................................................................4
2.4 Recuperación ..................................................................................................................................4
3 Alcance ......................................................................................................................................................4
4 Misión .........................................................................................................................................................5
5 Declaración de la Política de Seguridad de la Información ...........................................................5
6 Marco normativo.....................................................................................................................................6
7 Organización de la Seguridad ...............................................................................................................7
7.1 Responsables ...................................................................................................................................7
7.2 Comité de Seguridad de la Información ...................................................................................7
7.3 Funciones y responsabilidades ....................................................................................................7
7.3.1 Responsable de la Información .......................................................................................................7
7.3.2 Responsable del Servicio..................................................................................................................8
7.3.3 Responsable del Sistema ..................................................................................................................8
7.3.4 Responsable de Seguridad ...............................................................................................................8
7.3.5 Procedimiento de designación........................................................................................................8
8 Principios básicos ....................................................................................................................................9
9 Requisitos mínimos .................................................................................................................................9
10 Obligaciones y deberes del personal .......................................................................................... 10
11 Protección de Datos de Carácter Personal .............................................................................. 10
12 Gestión de Riesgos.......................................................................................................................... 10
13 Acceso a la Información ................................................................................................................. 10
14 Relación con Terceras partes ....................................................................................................... 11
15 Responsabilidades en caso de incumplimiento ......................................................................... 11
16 Aprobación y entrada en vigor..................................................................................................... 11
5j0OPWZOpH
1 Introducción
La Política de Seguridad de la Información de la Universidad Rey Juan Carlos se elabora en cumplimiento
de la exigencia del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad (ENS) en el ámbito de la Administración Electrónica, que en su artículo 11 establece la obligación
para las Administraciones Públicas de disponer de una Política de Seguridad e indica los requisitos mínimos
que debe cumplir.
La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los ciudadanos a los servicios públicos, y
posteriormente la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas que la deroga, consagra igualmente el derecho de los ciudadanos a comunicarse
con las Administraciones mediante medios electrónicos, contando con una protección adecuada de la
información y los servicios telemáticos.
La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza
en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los
datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las
Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Asimismo, se determina la necesidad de precisar los objetivos de la organización, su marco legal y
regulatorio, los roles o funciones de seguridad, así como la composición de los comités para la gestión y
coordinación de la seguridad.
2 Aspectos generales
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir
en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para
defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones
del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos y
servicios deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad,
así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las
vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la
continuidad de los servicios prestados.
Los diferentes departamentos y servicios deben cerciorarse de que la seguridad TIC es una parte integral
de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando
por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad
y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de
ofertas, y en pliegos de licitación para proyectos de TIC.
Los departamentos y servicios deben estar preparados para prevenir, detectar, reaccionar y recuperarse
de incidentes, de acuerdo al Artículo 7 del ENS.
2.1 Prevención
Los departamentos y servicios deben evitar, o al menos prevenir en la medida de lo posible, que la
información o los servicios se vean perjudicados por incidentes de seguridad. Para ello deben implementar
las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional
identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y
responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
5j0OPWZOpH
Para garantizar el cumplimiento de la política, los departamentos y servicios deben:
2.2 Detección
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple
desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para
detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo
establecido en el Artículo 9 del ENS.
2.3 Respuesta
Los departamentos y servicios deben:
2.4 Recuperación
Para garantizar la disponibilidad de los servicios críticos, los departamentos y servicios deben desarrollar
planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y
actividades de recuperación.
3 Alcance
La presente Política de Seguridad de la Información tiene por objeto definir y regular a todos los niveles
los sistemas de información que permiten a la Universidad Rey Juan Carlos prestar el servicio público de
educación superior.
La presente Política de Seguridad de la Información se aplicará a todos los servicios, sistemas y demás
recursos de Tecnologías de la Información y Comunicaciones (TIC en adelante) de la Universidad Rey
Juan Carlos, que den soporte a sus procesos y que afecten a los diferentes activos de información
sustentados en ellos.
Los recursos TIC de la Universidad Rey Juan Carlos tienen como finalidad el apoyo a la docencia, a la
investigación y a las tareas administrativas necesarias para su funcionamiento. Son recursos TIC de la
5j0OPWZOpH
Universidad todos los sistemas centrales y departamentales, estaciones de trabajo, ordenadores de
puesto, impresoras y otros periféricos y dispositivos de salida, redes internas y externas, servicios de
comunicaciones (transmisión telemática de voz, imagen, datos o documentos) y sistemas de
almacenamiento que sean de su propiedad, así como las aplicaciones informáticas (software) que estén
alojadas en cualquiera de los sistemas o infraestructuras referidos.
En este sentido, no se considera un recurso TIC de la Universidad, y, por tanto, quedan fuera del ámbito
de aplicación de la presente Política de Seguridad de la Información, aquellos ordenadores personales
financiados a título individual y no inventariados a nombre de la Universidad Rey Juan Carlos. No obstante,
en el caso de que se acceda a la red corporativa mediante dichos ordenadores personales, quedarán
sujetos a las obligaciones establecidas en la presente Política de Seguridad de la Información y normas e
instrucciones de desarrollo. De igual modo, la Universidad Rey Juan Carlos se reserva el derecho de
proporcionar acceso a la red de este tipo de recursos ajenos a la misma si no se proporcionan unos
mínimos requisitos de seguridad o existen indicios o evidencias de un incidente potencial de seguridad
que pueda comprometer o bien la seguridad de la información de los sistemas TIC o bien su buen nombre
o imagen corporativa.
La Política de Seguridad de la Información se aplica también a todas aquellas personas, indistintamente del
colectivo al que pertenezcan, Centros, Departamentos, Institutos, entidades, unidades o servicios, sean
internos o externos, que hagan uso de los recursos de las TIC de la Universidad Rey Juan Carlos.
4 Misión
La Universidad Rey Juan Carlos es una institución de Derecho público, dotada de personalidad jurídica y
patrimonio propio, que goza de autonomía de acuerdo con la Constitución y las Leyes, sin perjuicio de las
tareas de coordinación que correspondan a la Conferencia General de Política Universitaria y a la
Administración educativa competente.
De forma estrechamente relacionada con el cumplimiento de esta misión, la infraestructura y los sistemas
TIC de la Universidad Rey Juan Carlos deben primar y fomentar las operativas abiertas, enfocadas a la
funcionalidad, conectividad y servicio al usuario, como funciones prioritarias para la consecución de los
objetivos estratégicos e institucionales. El análisis de riesgos determinará los niveles de seguridad asumibles
según estas prioridades. Además, la Universidad Rey Juan Carlos reconoce que la colaboración y
comunicación con otras Universidades, Administraciones Públicas y CERTs es un aspecto fundamental en
su estrategia para la gestión de la seguridad.
d) Se cumplen los requisitos del servicio respecto a la seguridad de la información y los sistemas de
información.
5
5j0OPWZOpH
e) Las incidencias de seguridad son comunicadas y tratadas apropiadamente.
Asimismo, cuando un sistema al que afecte el Esquema Nacional de Seguridad maneje datos de carácter
personal, le será de aplicación lo dispuesto en la Ley Orgánica de Protección de Datos de Carácter
Personal y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema Nacional de
Seguridad.
6 Marco normativo
El marco normativo en materia de seguridad de la información en el que la Universidad Rey Juan Carlos
desarrolla su actividad, esencialmente, es el siguiente:
a) Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
d) Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el
ámbito de la administración electrónica, modificado por el Real Decreto 951/2015, de 23 de octubre.
e) Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero,
por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
f) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Asimismo, la Universidad Rey Juan Carlos establece un marco normativo en materia de seguridad de la
información estructurado en diferentes niveles, de forma que los objetivos marcados por el presente
documento tengan un desarrollo específico:
2) Segundo nivel: las normativas generales de seguridad que emanan de la Política de Seguridad de
la Información.
3) Tercer nivel: los procedimientos de seguridad, que son el conjunto de documentos que describen
paso a paso cómo realizar una cierta actividad.
5j0OPWZOpH
La Política de Seguridad de la Información, las normativas generales y los procedimientos, instrucciones y
directrices de seguridad de la información formadas por el segundo nivel, serán aprobados por Resolución
del Rector, a propuesta del Comité de Seguridad de la Información.
El Comité de Seguridad de la Información establecerá los plazos en los que se desarrollará la normativa e
instrucciones técnicas derivadas de la presente Política de Seguridad de la Información.
7 Organización de la Seguridad
7.1 Responsables
Los responsables de la seguridad se detallan a continuación:
a) Responsable de la Información o persona en quien delegue, que será el Presidente del Comité.
c) Responsable de Seguridad.
5j0OPWZOpH
- Aprobar formalmente el nivel de seguridad de la información.
5j0OPWZOpH
8 Principios básicos
Siguiendo las directrices del Esquema Nacional de Seguridad, la Universidad Rey Juan Carlos asegurará el
cumplimiento de sus objetivos utilizando sistemas de información, para lo cual se tendrán en cuenta los
siguientes principios básicos:
a) Seguridad integral.
b) Gestión de riesgos.
d) Líneas de defensa.
e) Reevaluación periódica.
9 Requisitos mínimos
Siguiendo las directrices del Esquema Nacional de Seguridad, la Universidad Rey Juan Carlos velará por el
cumplimiento y gestión continuada de la seguridad atendiendo los siguientes requisitos básicos:
c) Gestión de personal.
d) Profesionalidad.
g) Adquisición de productos.
l) Registro de actividad.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
5j0OPWZOpH
10 Obligaciones y deberes del personal
Todos los miembros de la Universidad Rey Juan Carlos tienen la obligación de conocer y cumplir esta
Política de Seguridad de la Información, los Procedimientos y la Normativa de Seguridad, siendo
responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la
información llegue a los afectados, de acuerdo con la normativa vigente.
Todos los miembros de la Universidad Rey Juan Carlos recibirán formación o concienciación en seguridad
de la información. Para ello se establecerá un programa de concienciación continua para atender a todos
los miembros de la Universidad Rey Juan Carlos, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán
formación o concienciación para el manejo seguro de los sistemas en la medida en que la necesiten para
realizar su trabajo. Para ello se incluirá en el plan de formación de la Universidad formación específica en
esta materia.
12 Gestión de Riesgos
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas
y los riesgos a los que están expuestos. Este análisis se repetirá:
13 Acceso a la Información
Quienes traten información de la Universidad Rey Juan Carlos que no sea de acceso público, deberán
estar debidamente identificados y tener los privilegios de acceso a la información estrictamente necesarios
para desempeñar su cometido. Es por ello que el acceso a los sistemas de información debe estar
controlado y limitado exclusivamente a las personas usuarias, procesos, dispositivos y sistemas de
información que estén debidamente autorizadas, de forma que el acceso quede restringido exclusivamente
a las funciones permitidas.
10
5j0OPWZOpH
14 Relación con Terceras partes
Cuando la Universidad Rey Juan Carlos preste servicios o maneje información de otros organismos, se
les hará partícipe de esta Política de Seguridad de la Información. Se establecerán canales para reporte y
coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos
de actuación para la reacción ante incidentes de seguridad.
Cuando la Universidad Rey Juan Carlos utilice servicios de terceros o ceda información a terceros, se les
hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o
información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa,
pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán
procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de
terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el
establecido en esta Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en
los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en
que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Responsable de
la Información y el Responsable de los Servicios, antes de seguir adelante.
Esta Política es efectiva desde su fecha de aprobación y hasta que sea reemplazada por una nueva Política.
Dicha Política estará sujeta a un proceso de revisión regular, a fin de adaptarla a las nuevas circunstancias
técnicas y organizativas.
11
5j0OPWZOpH