Propósito

La información recopilada, analizada, almacenada, comunicada y comunicada puede ser objeto de robo, uso indebido, pérdida y corrupción.

La información puede ponerse en riesgo por una educación y formación deficientes, y por el incumplimiento de los controles de seguridad.

Los incidentes de seguridad de la información pueden dar lugar a situaciones embarazosas, pérdidas financieras, incumplimiento de las normas y la legislación, así como a posibles juicios contra la Universidad.

Esta Política de Seguridad de la Información de alto nivel se sitúa junto a la Política de Gestión de Riesgos de la Información y la Política de Protección de Datos para proporcionar el esquema de alto nivel y la justificación de los controles de seguridad de la información de la Universidad basados en el riesgo.

• Política de Gestión de Riesgos de la Información
• Política de Protección de Datos

Objetivos

Los objetivos de seguridad de la Universidad son que:

• Nuestros riesgos de la información se identifiquen, gestionen y traten de acuerdo con una tolerancia al riesgo acordada
• Nuestros usuarios autorizados puedan acceder y compartir la información de forma segura para desempeñar sus funciones
• Nuestros controles físicos, de procedimiento y técnicos equilibren la experiencia del usuario y la seguridad
• Nuestras obligaciones contractuales y legales relacionadas con la seguridad de la información se cumplan
• Nuestra docencia,
• Nuestra actividad docente, investigadora y administrativa tiene en cuenta la seguridad de la información
• Las personas que acceden a nuestra información son conscientes de sus responsabilidades en materia de seguridad de la información
• Los incidentes que afectan a nuestros activos de información se resuelven y se aprende de ellos para mejorar nuestros controles.

Ámbito de aplicación

La Política de Seguridad de la Información y sus controles, procesos y procedimientos de apoyo se aplican a toda la información utilizada en la Universidad, en todos los formatos. Esto incluye la información procesada por otras organizaciones en sus relaciones con la Universidad.

La Política de Seguridad de la Información y sus controles, procesos y procedimientos de apoyo se aplican a todas las personas que tienen acceso a la información y las tecnologías de la Universidad, incluidas las partes externas que prestan servicios de procesamiento de información a la Universidad.

En el documento Marco del Sistema de Gestión de la Seguridad de la Información (SGSI) se incluye un alcance detallado, que incluye un desglose de los usuarios, los activos de información y los sistemas de procesamiento de la información.

Cumplimiento

El cumplimiento de los controles de esta política será supervisado por el equipo de Seguridad de la Información y se informará a la Junta de Gobierno de la Información.

Revisión

El equipo de Seguridad de la Información llevará a cabo una revisión de esta política anualmente o con mayor frecuencia según sea necesario, y será aprobada por la Junta de Gobierno de la Información y el Grupo Ejecutivo de la Universidad.

Declaración de la política

Es política de la Universidad asegurar que la información está protegida de una pérdida de:

• Confidencialidad – la información será accesible sólo a las personas autorizadas
• Integridad – se mantendrá la exactitud e integridad de la información
• Disponibilidad – la información será accesible a los usuarios y procesos autorizados cuando sea necesario

La Universidad implementará un Sistema de Gestión de la Seguridad de la Información basado en la Norma Internacional ISO 27001 para la Seguridad de la Información. La Universidad también hará referencia a otras normas según sea necesario, teniendo en cuenta los enfoques adoptados por sus partes interesadas, incluidos los socios de investigación.

1. Políticas de Seguridad de la Información

Se definirá un conjunto de controles, procesos y procedimientos de nivel inferior para la seguridad de la información, en apoyo de la Política de Seguridad de la Información de alto nivel y sus objetivos declarados. Este conjunto de documentación de apoyo será aprobado por el Consejo de Seguridad de la Información, se publicará y se comunicará a los usuarios de la Universidad y a las partes externas pertinentes.

2. Organización de la seguridad de la información

La Universidad definirá y aplicará disposiciones de gobierno adecuadas para la gestión de la seguridad de la información. Esto incluirá la identificación y asignación de responsabilidades en materia de seguridad, para iniciar y controlar la aplicación y el funcionamiento de la seguridad de la información dentro de la Universidad.

La Universidad designará al menos:

• Un Ejecutivo para presidir la Junta de Gobierno de la Información y asumir la responsabilidad del riesgo de la información
• Una Junta de Gobierno de la Información para influir, supervisar y promover la gestión eficaz de la información de la Universidad
• Un especialista en seguridad de la información para gestionar la función diaria de seguridad de la información
• Propietarios de Activos de Información (IAOs) para asumir la responsabilidad local de la gestión de la información; y los gestores de activos de información (IAM) responsables de la gestión diaria de la información

3. Recursos Humanos Seguridad

Las políticas de seguridad de la Universidad y las expectativas de uso aceptable se comunicarán a todos los usuarios para asegurar que entienden sus responsabilidades. La educación y la formación en materia de seguridad de la información se pondrán a disposición de todo el personal, y se abordarán los comportamientos deficientes e inadecuados.

Siempre que sea posible, las responsabilidades en materia de seguridad se incluirán en las descripciones de las funciones, las especificaciones de las personas y los planes de desarrollo personal.

4. Gestión de activos

Todos los activos (información, software, equipos de procesamiento electrónico de la información, utilidades de servicio y personas) se documentarán y contabilizarán. Se identificarán los propietarios de todos los activos y éstos serán responsables del mantenimiento y la protección de sus activos.

Todos los activos de información se clasificarán de acuerdo con sus requisitos legales, su valor empresarial, su criticidad y su sensibilidad, y la clasificación indicará los requisitos de manipulación adecuados. Todos los activos de información tendrán un calendario de retención y eliminación definido.

5. Control de acceso

El acceso a toda la información será controlado y será impulsado por los requisitos del negocio. Se concederá el acceso o se adoptarán medidas para los usuarios en función de su función y de la clasificación de la información, únicamente hasta un nivel que les permita desempeñar sus funciones.

Se mantendrá un procedimiento formal de registro y cancelación de usuarios para el acceso a todos los sistemas y servicios de información. Esto incluirá métodos de autenticación obligatorios basados en la sensibilidad de la información a la que se accede, e incluirá la consideración de múltiples factores según corresponda.

Se implementarán controles específicos para los usuarios con privilegios elevados, a fin de reducir el riesgo de uso indebido del sistema por negligencia o deliberadamente. Se implementará la segregación de funciones, cuando sea práctico.

6. La Universidad proporcionará orientación y herramientas para garantizar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y la integridad de la información y los sistemas.

7. Seguridad física y medioambiental

Las instalaciones de procesamiento de la información se alojan en zonas seguras, protegidas físicamente del acceso no autorizado, los daños y las interferencias mediante perímetros de seguridad definidos. Se establecerán controles de seguridad internos y externos por capas para disuadir o impedir el acceso no autorizado y proteger los activos, especialmente los que son críticos o sensibles, contra ataques forzados o subrepticios.

8. Seguridad de las operaciones

La Universidad garantizará el funcionamiento correcto y seguro de los sistemas de tratamiento de la información.

Esto incluirá:

• Procedimientos operativos documentados
• El uso de una gestión formal del cambio y de la capacidad
• Controles contra el malware
• Uso definido del registro
• Gestión de la vulnerabilidad

9. Seguridad de las comunicaciones

La Universidad mantendrá controles de seguridad de la red para garantizar la protección de la información dentro de sus redes, y proporcionará las herramientas y la orientación necesarias para garantizar la transferencia segura de la información tanto dentro de sus redes como con entidades externas, en consonancia con los requisitos de clasificación y manejo asociados a dicha información.

10. Adquisición, desarrollo y mantenimiento de sistemas

Los requisitos de seguridad de la información se definirán durante el desarrollo de los requisitos de negocio para los nuevos sistemas de información o los cambios en los sistemas de información existentes.

Se implementarán controles para mitigar cualquier riesgo identificado cuando sea apropiado.

El desarrollo de los sistemas estará sujeto al control de cambios y a la separación de los entornos de prueba, desarrollo y operación.

11. Relaciones con los proveedores

Los requisitos de seguridad de la información de la Universidad se tendrán en cuenta a la hora de establecer relaciones con los proveedores, para garantizar la protección de los activos a los que tengan acceso.

La actividad de los proveedores se supervisará y auditará en función del valor de los activos y de los riesgos asociados.

12. Gestión de incidentes de seguridad de la información

Se dispondrá de orientación sobre lo que constituye un incidente de seguridad de la información y cómo debe notificarse.

Las infracciones reales o presuntas de la seguridad de la información deben notificarse y se investigarán.

Se tomarán medidas correctivas adecuadas y se incorporará cualquier aprendizaje a los controles.

13. Gestión de incidentes de seguridad de la información. Aspectos de la seguridad de la información en la gestión de la continuidad de las actividades

La Universidad dispondrá de disposiciones para proteger los procesos empresariales críticos de los efectos de los fallos importantes de los sistemas de información o de las catástrofes y para garantizar su recuperación oportuna de acuerdo con las necesidades empresariales documentadas.

Esto incluirá rutinas de copia de seguridad apropiadas y resistencia incorporada.

Los planes de continuidad del negocio deben mantenerse y probarse en apoyo de esta política.

Se llevará a cabo un análisis del impacto en el negocio de las consecuencias de los desastres, los fallos de seguridad, la pérdida de servicio y la falta de disponibilidad del servicio.

14. Cumplimiento

El diseño, el funcionamiento, el uso y la gestión de los sistemas de información deben cumplir con todos los requisitos de seguridad legales, reglamentarios y contractuales.

Actualmente, esto incluye la legislación de protección de datos, la norma de la industria de tarjetas de pago (PCI-DSS), la orientación del Gobierno en materia de prevención y los compromisos contractuales de la Universidad.

La Universidad utilizará una combinación de auditorías internas y externas para demostrar el cumplimiento de las normas y las mejores prácticas elegidas, incluidas las políticas y los procedimientos internos.

Esto incluirá comprobaciones de la salud de las TI, análisis de las deficiencias con respecto a las normas documentadas, comprobaciones internas del cumplimiento del personal y declaraciones de los propietarios de los activos de información.