Ref. ENS/01.

Poltica de Seguridad UPCT Revisin: 3

POLTICADESEGURIDADDELAINFORMACIN
1.ENTRADAENVIGOR
Textoaprobadoelda13deabrilde2011porelConsejodeGobiernodelaUniversidad PolitcnicadeCartagena. EstaPolticadeSeguridaddelaInformacinesefectivadesdedichafechayhastaque seareemplazadaporunanuevaPoltica.

2.INTRODUCCIN

La UNIVERSIDAD POLITCNICA DE CARTAGENA, en adelante UPCT, depende de los sistemas TIC (Tecnologas de Informacin y Comunicaciones) para alcanzar sus objetivosinstitucionales.Enconsecuencia,estossistemasdebenseradministradoscon diligencia, tomando las medidas adecuadas para protegerlos frente a daos accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidaddelainformacintratadaolosserviciosprestados. Por ello, el objetivo de la seguridad de la informacin es garantizar la calidad de la informacin y la prestacin continuada de los servicios, actuando preventivamente, supervisandolaactividaddiariayreaccionandoconprestezaalosincidentes. Los sistemas TIC deben estar protegidos contra amenazas de rpida evolucin y con potencial para incidiren la confidencialidad, integridad, disponibilidad, uso previsto y valordelainformacinylosservicios.Paradefendersedeestasamenazas,serequiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizarlaprestacincontinuadelosservicios. EstoimplicaquelaUPCTysupersonaldebeaplicarlasmedidasmnimasdeseguridad exigidas por el Esquema Nacional de Seguridad, as como realizar un seguimiento continuodelosnivelesdeprestacindeservicios,seguiryanalizarlasvulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidaddelosserviciosprestados. LaUPCTdebecerciorarsedequelaseguridadTICesunaparteintegraldecadaetapa del ciclo de vida del sistema, desde su concepcin hasta su retirada de servicio, pasandoporlasdecisionesdedesarrollooadquisicinylasactividadesdeexplotacin. Losrequisitosdeseguridadysusnecesidadesdefinanciacin,debenseridentificadose incluidos en la planificacin, en la solicitud de ofertas, y en pliegos de licitacin para proyectosdeTIC.

La UPCT debe estar preparada para prevenir, detectar, reaccionar y recuperarse de incidentes,deacuerdoalArtculo7delENS. 2.1.PREVENCIN La UPCT debe evitar, o al menos prevenir en la medida de lo posible, que la informacinolosserviciosseveanperjudicadosporincidentesdeseguridad.Paraello sedebenimplementarlasmedidasmnimasdeseguridaddeterminadasporelENS,as comocualquiercontroladicionalidentificadoatravsdeunaevaluacindeamenazasy riesgos. Estoscontroles,ylosrolesyresponsabilidadesdeseguridaddetodoelpersonal,deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la poltica,laUPCTdebe: Autorizarlossistemasantesdeentrarenoperacin. Evaluarregularmentelaseguridad,incluyendoevaluacionesdeloscambiosde configuracinrealizadosdeformarutinaria. Solicitar la revisin peridica por parte de terceros con el fin de obtener una evaluacinindependiente. 2.2.DETECCIN Dadoquelosserviciossepuedendegradarrpidamentedebidoaincidentes,sedebe monitorizarlaoperacindemaneracontinuadaparadetectaranomalasenlosniveles de prestacin de los servicios y actuar en consecuencia segn lo establecido en el Artculo9delENS. Lamonitorizacinesespecialmenterelevantecuandoseestablecenlneasdedefensa de acuerdo con el Artculo 8 del ENS. Se establecern mecanismos de deteccin, anlisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviacin significativa de los parmetros que se hayan preestablecido como normales. 2.3.RESPUESTA LaUPCTdebe: Establecer mecanismos para responder eficazmente a los incidentes de seguridad.

 Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en reas de la entidad o en otros organismos relacionadosconlaUPCT. Establecer protocolos para el intercambio de informacin relacionada con el incidente.Estoincluyecomunicaciones,enambossentidos,conlosEquiposde Respuesta a Emergencias (CERT) reconocidos a nivel nacional: IrisCERT, CCN CERT, 2.4.RECUPERACIN Para garantizar la disponibilidad de los servicios crticos, la UPCT debe desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidaddenegocioyactividadesderecuperacin.

3.MISION
La Universidad Politcnica de Cartagena es una institucin pblica, especializada en enseanzaseinvestigacindecarctertcnicoydegestinempresarial.Desarrollasus actividades de docencia, investigacin y extensin universitaria con una decidida vocacin de servicio a la sociedad, desde una perspectiva regional, nacional e internacional, favoreciendo el desarrollo socioeconmico y tecnolgico y la insercin laboraldesusalumnos,promoviendolacalidadenelejerciciodesusfunciones. De forma estrechamente relacionada con el cumplimiento de esta misin, la UPCT desea manifestar la necesidad de una infraestructura TIC que prime y fomente las operativas abiertas, enfocadas a la funcionalidad, conectividad y servicio al usuario, como funciones prioritarias para la consecucin de los objetivos estratgicos e institucionales.

4.ALCANCE
Debido a lamisin de la entidad,reflejadaenel punto 3 del presentedocumento, la UPCT desestima la aplicacin de la presente poltica de seguridad sobre todo el conjuntodelsistemadeinformacin. Enbaseaello,laUPCTaplicarlapresentepolticasobreelgruesodelossistemasTIC que conforman el Unidad de Informtica de la UPCT y particularmente sobre todos aquellos sistemas que estn relacionados con el ejercicio de derechos por medios electrnicos,conelcumplimientodedeberespormedioselectrnicosoconelaccesoa lainformacinoalprocedimientoadministrativo.

De forma concreta la presente poltica de seguridad es aplicable sobre los siguientes serviciosylossistemasTICquelosconforman: ServicioERP: o GestinAcadmica o GestinEconmica o GestindeRRHH o GestindelaInvestigacin o RegistroPresencial o GestindeFormacinInterna o GestindeAyudasSociales o PortalIntegradodeServicios ServiciodeAdministracinElectrnica: o Sede o TablnOficial o Portafirmas o RegistroTelemticoyPlataformadeTramitacin o FacturaElectrnica 4.1.AmpliacindelAlcance Adicionalmente y an entendindose que los siguientes servicios no se encuentran directamenteenelalcancemarcadoporelEsquemaNacionaldeSeguridad,debidoa su importancia en la comunidad universitaria, se acuerda extender el alcance a los siguientesserviciosdelaUPCT: ServiciodeDocenciaVirtual ServiciodeWebInstitucional

5.MARCONORMATIVO
Son de aplicacin las leyes y normativas espaolas en relacin a proteccin de datos personales,propiedadintelectualyusodeherramientastelemticas.Portodoello,la UPCTpodrserrequeridaporlosrganosadministrativospertinentesaproporcionar losregistroselectrnicosocualquierotrainformacinrelativaalusodelossistemasde informacin. EstapolticasesitadentrodelmarcojurdicodefinidoporlasleyesyRealesDecretos siguientes:

 Ley Orgnica de Universidades (6/2001) y Ley Orgnica de modificacin de la L.O.U.(4/2007). EsquemaNacionaldeSeguridad(RD3/2010) Leydeaccesoelectrnicodelosciudadanosalosserviciospblicos(11/2007). LeyOrgnicadeProteccindeDatos(15/1999)yReglamentodedesarrollodela LeyOrgnica(RD1720/2007) LeydeServiciosdelaSociedaddelaInformacin(de12deoctubrede2002)

5.ORGANIZACINDELASEGURIDAD
5.1.COMITS:FUNCIONESYRESPONSABILIDADES ElComitdeSeguridadTICestarformadopor: - Vicerrector/adeNuevasTecnologas - Jefe/adelaUnidaddeInformtica - 2miembrosdelacomisindeNuevasTecnologas. - 1tcnicodelaUnidaddeInformtica El Comit de Seguridad TIC nombrar un Secretario y tendr como funciones las propiasdelcargo. El Comit de Seguridad TIC reportar a la Comisin de Nuevas Tecnologas y al SecretarioGeneralcomoResponsabledelaInformacin. ElComitdeSeguridadTICtendrlassiguientesfunciones: DivulgacindelapolticaynormativadeseguridaddelaUPCT. AprobacindelanormativadeseguridaddelaUPCT. Revisinanualdelapolticadeseguridad. Desarrollodelprocedimientodedesignacinderoles. Designacinderolesyresponsabilidades. SupervisinyaprobacindelastareasdeseguimientodelEsquemaNacionalde Seguridad: o Tareasdeadecuacin o AnlisisdeRiesgos o AuditoraBienal 5.2.ROLES:FUNCIONESYRESPONSABILIDADES . ResponsabledelaInformacin

ElResponsabledelaInformacindelaUPCTtendrlassiguientesfunciones: Establecimiento de los requisitos de la informacin en materia de seguridad. TrabajoencolaboracinconelresponsabledeseguridadyeldelSistema en el mantenimiento de los sistemas catalogados segn el Anexo I del EsquemaNacionaldeSeguridad. ResponsabledelosserviciosTIC ElResponsabledelosServiciosTICdelaUPCTtendrlassiguientesfunciones: Establecimiento de los requisitos de los servicios TIC en materia de seguridad. TrabajoencolaboracinconelResponsabledeSeguridadyeldesistema en el mantenimiento de los sistemas catalogados segn el Anexo I del EsquemaNacionaldeSeguridad. Velarporlainclusindeclusulassobreseguridadenloscontratoscon terceraspartesyporsucumplimiento. ResponsabledeSeguridad ElResponsabledeSeguridaddelaUPCTtendrlassiguientesfunciones: Mantener la seguridad de la informacin manejada y de los servicios prestadosporlossistemasTICensumbitoderesponsabilidad. Realizar o promover las auditoras peridicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad. Promover la formacin y concienciacin de la Unidad de Informtica dentrodesumbitoderesponsabilidad. Verificarquelasmedidasdeseguridadestablecidassonadecuadaspara laproteccindelainformacinmanejadaylosserviciosprestados. Analizar,completaryaprobartodaladocumentacinrelacionadaconla seguridaddelsistema. Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestin de eventos de seguridad y mecanismos de auditoraimplementadosenelsistema. Apoyarysupervisarlainvestigacindelosincidentesdeseguridaddesde sunotificacinhastasuresolucin. Elaborar el informe peridico de seguridad para el propietario del sistema,incluyendolosincidentesmsrelevantesdelperiodo.

 Aprobacin de los procedimientos de seguridad elaborados por el ResponsabledelSistema. Elaboracindelanormativadeseguridaddelaentidad. ResponsabledelSistema ElResponsabledelSistemadelaUPCTtendr,dentrodesusreasdeactuacin, lassiguientesfunciones: Desarrollar,operarymantenerelSistemadurantetodosuciclodevida, incluyendolasespecificaciones,instalacinyverificacindesucorrecto funcionamiento. Definir la topologa y los procedimientos de gestin del Sistema estableciendoloscriteriosdeusoylosserviciosdisponiblesenelmismo. Definir la poltica de conexin o desconexin de equipos y usuarios nuevosenelSistema. Aprobarloscambiosqueafectenalaseguridaddelmododeoperacin delSistema. Decidir las medidas de seguridad que aplicarn los suministradores de componentesdelSistemadurantelasetapasdedesarrollo,instalaciny pruebadelmismo. ImplantarycontrolarlasmedidasespecficasdeseguridaddelSistemay cerciorarse de que stas se integren adecuadamente dentro del marco generaldeseguridad. Determinarlaconfiguracinautorizadadehardwareysoftwareautilizar enelSistema. Aprobar toda modificacin sustancial de la configuracin de cualquier elementodelSistema. Llevaracaboelpreceptivoprocesodeanlisisygestinderiesgosenel Sistema. Determinarlacategoradelsistemasegnelprocedimientodescritoen el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarsesegnsedescribeenelAnexoIIdelENS. ElaborarladocumentacindeseguridaddelSistema. Delimitar las responsabilidades de cada entidad involucrada en el mantenimiento,explotacin,implantacinysupervisindelSistema. Velar por el cumplimiento de las obligaciones del Administrador de SeguridaddelSistema(ASS). Investigar los incidentes de seguridad que afecten al Sistema, y en su caso, comunicacin al Responsable de Seguridad o a quin ste determine.

 Establecer planes de contingencia y emergencia, llevando a cabo frecuentesejerciciosparaqueelpersonalsefamiliariceconellos. Adems, el responsable del sistema puede acordar la suspensin del manejodeunaciertainformacinolaprestacindeunciertoserviciosi esinformadodedeficienciasgravesdeseguridadquepudieranafectara la satisfaccin de los requisitos establecidos. Esta decisin debe ser acordada con los responsables de la informacin afectada, del servicio afectadoyelresponsabledeseguridad,antesdeserejecutada. Elaboracin de los procedimientos de seguridad necesarios para la operativaenelsistema. 5.3.PROCEDIMIENTODEDESIGNACIN ElResponsabledelaInformacinsernombradoporelRectordelaUPCT. ElResponsabledelosServiciosTICsernombradoporelRectordelaUPCT. El Responsable de Seguridad de la Informacin ser nombrado por el Comit de Seguridad TIC. El nombramiento se revisar cada 2 aos o cuando el puesto quede vacante. La Unidad de Informtica de la UPCT, responsable de la infraestructura para la prestacin electrnica de acuerdo a la Ley 11/2007, designar al Responsable o Responsables del Sistema, precisando sus funciones y responsabilidades dentro del marcoestablecidoporestaPoltica. 5.4.POLTICADESEGURIDAD SermisindelComitdeSeguridadTIClarevisinanualdeestaPolticadeSeguridad delaInformacinylapropuestaderevisinomantenimientodelamisma.LaPoltica ser aprobada por Consejo de Gobierno y difundida para que la conozcan todas las partesafectadas.

6.DATOSDECARCTERPERSONAL
La UPCT realiza tratamientos en los que hace uso de datos de carcter personal. El Documento de Seguridad LOPD (Ley Orgnica de Proteccin de Datos) de la UPCT se puede encontrar impreso en papel en las dependencias de la Unidad de Informtica. Estedocumentorecogelosficherosafectadosylosresponsablescorrespondientes. TodoslossistemasdeinformacindelaUPCTseajustarnalosnivelesdeseguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carcter personalrecogidosenelmencionadoDocumentodeSeguridad.

7.GESTINDERIESGOS
Todos los sistemas sujetos a esta Poltica debern realizar un anlisis de riesgos, evaluando las amenazas y los riesgos a los que estn expuestos. Este anlisis se repetir: Regularmente,almenosunavezcadadosaos Cuandocambielainformacinmanejada Cuandocambienlosserviciosprestados Cuandoocurraunincidentegravedeseguridad Cuandosereportenvulnerabilidadesgraves Paralaarmonizacindelosanlisisderiesgos,elComitdeSeguridadTICestablecer unavaloracindereferenciaparalosdiferentestiposdeinformacinmanejadosylos diferentesserviciosprestados. ElComitdeSeguridadTICdinamizarladisponibilidadderecursosparaatenderalas necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carcterhorizontal.

8.DESARROLLODELAPOLTICADESEGURIDAD
EstaPolticasedesarrollarpormediodenormativadeseguridadqueafronteaspectos especficos.Lanormativadeseguridadestaradisposicindetodoslosmiembrosdela UPCT que necesiten conocerla, en particular para aquellos que utilicen, operen o administrenlossistemasdeinformacinycomunicaciones.

Lanormativadeseguridadestardisponibleenlaintranetcorporativa,atravsdela siguientedireccin:https://sede.upct.es/politicadeseguridad.html AsmismopodrencontrarseimpresaenelVicerrectoradodeNuevasTecnologasyen laUnidaddeInformtica.

9.OBLIGACIONESDELPERSONAL
TodoslosmiembrosdelaUPCTtienenlaobligacindeconocerycumplirestaPoltica de Seguridad de la Informacin y la Normativa de Seguridad desarrollada a partir de ella, siendo responsabilidad del Comit de Seguridad TIC disponer los medios necesariosparaquelainformacinlleguealosafectados. AtodoslosmiembrosdelaUPCTselesconvocaraunasesindeconcienciacinen materia de seguridad TIC al menos una vez al ao. Se establecer un programa de concienciacincontinuaparaatenderatodoslosmiembrosdelaUPCT,enparticulara losdenuevaincorporacin. Laspersonasconresponsabilidadeneluso,operacinoadministracindesistemasTIC recibirn formacin para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formacin ser obligatoria antes de asumir una responsabilidad,tantosiessuprimeraasignacinosisetratadeuncambiodepuesto detrabajooderesponsabilidadesenelmismo.

10.TERCERASPARTES
Cuando la UPCT preste servicios a otros organismos o maneje informacin de otros organismos, se les har partcipesde esta Poltica de Seguridad de la Informacin, se establecern canales para reporte y coordinacin de los respectivos Comits de Seguridad TIC y se establecern procedimientos de actuacin para la reaccin ante incidentesdeseguridad. CuandolaUPCTutiliceserviciosdetercerosocedainformacinaterceros,seleshar partcipes de esta Poltica de Seguridad y de la Normativa de Seguridad que ataa a dichos servicios o informacin. Dicha tercera parte quedar sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecern procedimientos especficos de reporte y resolucin de incidencias. Se garantizar que el personal de terceros est adecuadamenteconcienciadoenmateriadeseguridad,almenosalmismonivelqueel establecido en esta Poltica. Cuando algn aspecto de la Poltica no pueda ser satisfecho por una tercera parte segn se requiere en los prrafos anteriores, se requeriruninformedelResponsabledeSeguridadquepreciselosriesgosenquese

incurre y la forma de tratarlos. Se requerir la aprobacin de este informe por los responsablesdelainformacinylosserviciosafectadosantesdeseguiradelante.

DISPOSICINADICIONAL:NOMBRAMIENTOSDERESPONSABLES
El Rector de la UPCT propone como Responsable de la Informacin al Secretario GeneraldelaUPCT,comoResponsabledelosServiciosTICalaVicerrectoradeNuevas Tecnologas, como Responsable de Seguridad al Jefe de la Unidad de Informtica y como Responsables de los Sistemas a los Jefes de las Secciones de la Unidad de Informtica(enmbitodelascompetenciasdecadaunodeellos).