Normativa de permisos de administración en equipos de usuario/a de la EHU

En cumplimiento a la normativa actual de la EHU en materia de seguridad de la información y a los principios establecidos por el Esquema Nacional de Seguridad (ENS) y con el objetivo de garantizar la integridad, disponibilidad y confidencialidad de los sistemas de información, de forma general no se otorgarán permisos de administración local a las personas usuarias sobre los equipos informáticos.

La presente normativa es de aplicación a todo el ámbito de actuación de la EHU, y sus contenidos derivan de las directrices de carácter más general definidas en la Política de Seguridad de la Información de la EHU. Esta normativa y derivadas se aplicará a todo "equipo informático de usuario/a propiedad de la EHU".

La presente normativa ha sido aprobada por el comité de Seguridad TIC de la EHU.

De acuerdo con el principio de mínimos privilegios recogido en el ENS, las personas usuarias dispondrán exclusivamente de los permisos necesarios para el desarrollo de sus funciones. El acceso con privilegios elevados se limitará al personal técnico autorizado y debidamente acreditado para la gestión, mantenimiento y soporte de los sistemas.

Esta medida contribuye a minimizar los riesgos asociados a la instalación de software no autorizado, la alteración indebida de configuraciones de seguridad y la posible exposición a amenazas de seguridad, garantizando un entorno tecnológico controlado y alineado con las medidas de protección requeridas.

Cualquier excepción a esta restricción deberá estar debidamente justificada y documentada, y requerirá la aprobación expresa de la persona Responsable de Seguridad, conforme al procedimiento establecido por la organización. En estos casos, se contemplará la posibilidad de delegar temporalmente dicha responsabilidad bajo condiciones estrictamente controladas y con supervisión continua. A continuación, se detallan los escenarios específicos en los que podría considerarse dicha excepción:

3.1. Permisos para personal TIC y equipos de uso general

En aquellas situaciones en las que el personal de los servicios TIC de centros o departamentos -exceptuando al personal del área de atención a usuarios/as, que ya dispone de los permisos correspondientes- que deban usar equipos de uso compartido (como proyectores o dispositivos en salas de reuniones) requieran la instalación de software específico para el desarrollo de presentaciones u otras actividades programadas, podrá autorizarse la concesión temporal de permisos con privilegios elevados.

Esta medida tiene como objetivo evitar la dependencia directa del Centro de Atención a Usuarios y Usuarias (CAU) y prevenir retrasos que puedan comprometer la correcta ejecución de las actividades previstas.

Será imprescindible que el software a instalar cuente con la correspondiente licencia, esté debidamente verificado y cumpla con los requisitos legales y de seguridad establecidos por la organización.

3.2. Permisos para personal de investigación

Desde la Vicegerencia de las Tecnologías de la Información y la Comunicación (VGTIC), se recomienda encarecidamente el uso de máquinas virtuales en los propios equipos de trabajo como entorno aislado para la realización de pruebas e instalaciones de software. Esta medida permite disponer de los privilegios necesarios sin comprometer la integridad, disponibilidad y confidencialidad del equipo ni de la información que en él se gestiona.

No obstante, somos conscientes de que pueden existir limitaciones técnicas o legales -como restricciones de licenciamiento o requisitos específicos del software- que dificulten el uso de entornos virtualizados. Por ello, se establecen a continuación distintas casuísticas en las que la concesión de permisos de administración podrá contemplarse de forma diferenciada:

3.2.1. Estancias fuera de la EHU

En el caso de personal en estancias oficiales fuera de la universidad, se podrá solicitar la concesión temporal de permisos de administración local. La solicitud deberá ser tramitada a través del Centro de Atención a Usuarios y Usuarias (CAU), y los permisos se otorgarán únicamente por el tiempo imprescindible para el desarrollo de la actividad. En ningún caso se concederán con carácter indefinido.

3.2.2. Personal Docente e Investigador con requerimientos técnicos específicos

Para personas usuarias cuya actividad profesional implique, de forma recurrente, la instalación y desinstalación de software -como es el caso del Personal Docente e Investigador en los ámbitos de la Informática, Telecomunicaciones y disciplinas afines–, se podrá autorizar el acceso con privilegios de administración sobre su equipo, siempre que se cumplan las siguientes condiciones:

• Deberá comprometerse formalmente a seguir las directrices y buenas prácticas establecidas por la VGTIC (ver Anexo I).
• En caso de detectarse comportamientos anómalos o incumplimiento de las medidas de seguridad por parte de los sistemas de protección de la EHU, dichos permisos podrán ser revocados de manera inmediata y sin previo aviso. Dicha revocación será debidamente notificada a la persona usuaria a través de los canales oficiales de comunicación, tales como el correo electrónico institucional o mediante contacto telefónico.

Esta flexibilización responde a la necesidad de evitar el uso de equipos no gestionados por la EHU para fines de investigación, lo cual supondría un riesgo considerable al no contar con las medidas de seguridad establecidas institucionalmente.

3.3. Equipos de aulas docentes

En aquellos equipos ubicados en aulas docentes en los que, por necesidades derivadas de prácticas académicas, el alumnado o el Personal Docente e Investigador requieran permisos de administración, dichos permisos podrán ser concedidos previa solicitud al personal técnico del centro responsable de la gestión de dichos equipos.

La validación de acceso en estos equipos deberá realizarse mediante el sistema de autenticación corporativo (Active Directory). El procedimiento de escalado de privilegios se efectuará utilizando mecanismos seguros: mediante sudo en sistemas Linux, o bien a través de permisos especiales en sistemas Windows, exigiéndose siempre la introducción de la contraseña correspondiente como parte del proceso de validación.

3.4. Casos en los que no se concederán permisos de administración

Se denegará la concesión de permisos con privilegios elevados en los siguientes casos:

• Equipos asignados a cargos directivos con dedicación exclusiva: A las personas usuarias con dedicación exclusiva en funciones de dirección o gestión no se les concederán permisos de administración local, dado que no se justifica su necesidad operativa.
• Personas usuarias cuyo vínculo contractual no contemple funciones técnicas: No se autorizarán permisos a aquellos perfiles cuyo contrato con la EHU no incluya funciones relacionadas con la instalación, prueba, desarrollo o gestión de software informático.

Todos las personas usuarias tienen la obligación de colaborar con la EHU para corregir, cesar y, en su caso, rectificar el ejercicio de acciones que incumplan esta normativa.

Aquellas personas que, de forma reiterada, deliberada o por negligencia ignoren o infrinjan la presente normativa, podrán verse sujetas a las actuaciones técnicas (para minimizar los efectos de la incidencia) que se estimen oportunas.

Constatado un incumplimiento de las obligaciones derivadas de esta normativa, el Comité de Seguridad de la Información podrá instar la depuración de las responsabilidades disciplinarias a las que hubiera lugar.

El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de estudiantes, del personal al servicio de las Administraciones Públicas o de la propia EHU.

La gestión de esta Normativa de Seguridad corresponde al Comité de Seguridad de la información de la EHU, que es competente para:

• Interpretar las dudas que puedan surgir en su aplicación.
• Proceder a su revisión, cuando sea necesario para actualizar su contenido o se cumplan los plazos máximos establecidos para ello.
• Verificar su efectividad.

Si existen circunstancias que así lo aconsejen, se revisará la presente Normativa de Seguridad, que se someterá, de haber modificaciones, al visto bueno del Comité de Seguridad de la EHU.

La revisión se orientará tanto a la identificación de oportunidades de mejora en la gestión de la seguridad de la información, como a la adaptación a los cambios habidos en el marco legal, infraestructura tecnológica, organización general, etc.

Será la persona Responsable de Seguridad de la información de la EHU la encargada de la custodia y divulgación de la versión aprobada de este documento.

• Software verificado: Se entiende por software verificado aquel del que se posee una licencia legal de uso, ya sea mediante pago o bajo una modalidad de uso libre, con pleno conocimiento y cumplimiento de las condiciones que regulan su utilización. Además, debe haber sido sometido a un análisis de seguridad, como por ejemplo mediante herramientas como VirusTotal, para garantizar que está libre de software malicioso.
• Software no autorizado: Se considera software no autorizado aquel que se instala, utiliza o distribuye sin contar con la correspondiente licencia legal o sin el consentimiento explícito de la organización responsable del entorno donde se ejecuta. También incluye cualquier aplicación que no esté relacionada con las funciones académicas, administrativas o de investigación del usuario. Esto abarca programas de origen desconocido sin verificación de seguridad.
• Equipo de usuario/a: Se refiere a los dispositivos tecnológicos utilizados directamente por una persona para realizar tareas informáticas o digitales. Son las herramientas que emplea la persona usuaria final para acceder a servicios, aplicaciones, redes o contenidos. Ejemplos: ordenador portátil o de sobremesa, tabletas, smartphones,...
• Equipo informático: Es un término más amplio que incluye todos los dispositivos y sistemas que forman parte de una infraestructura tecnológica, tanto para el uso individual como para el funcionamiento general de una red o sistema de información. Ejemplos: servidores, equipos de red, sistemas de almacenamiento, equipos de usuario/a.

Internas:

• Política de Seguridad de la Información aprobado por el Consejo de Gobierno del 21 de Marzo de 2013 

Externas:

• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad

Concesión de permisos de administrador en el equipo asignado al usuario

Por medio del presente documento, se concede a la persona usuaria [Nombre de la persona usuaria] permisos de administración en el equipo informático [Código equipo VGTIC]. Esta concesión queda condicionada al cumplimiento estricto de las siguientes medidas de seguridad y normas de uso, conforme a las directrices establecidas por la Vicegerencia de Gestión de las Tecnologías de la Información y la Comunicación (VGTIC):

Condiciones de uso y seguridad

Identificación de la persona usuaria en el equipo

El equipo en la medida de los posible deberá estar en el dominio (AD) de la EHU para poder realizar el acceso al mismo usando las credenciales corporativas de la EHU (LDAP).

En caso de no ser viable, se utilizará la cuenta LDAP de la EHU o la cuenta de correo electrónico institucional de la persona usuaria para poder tener trazabilidad con las herramientas de ciberseguridad de las acciones realizadas usando la cuenta de la persona usuaria.

Instalación obligatoria de herramientas de seguridad

El equipo deberá contar con las soluciones de seguridad que determine la VGTIC, con el fin de garantizar su protección y permitir su gestión remota. Estas incluyen, entre otras:

• Antivirus
• Protección contra ransomware
• Soluciones EDR/XDR
• Herramienta de gestión remota (ejmp: lvanti, lntunes, etc).

Nota: Aunque algunas de estas soluciones están disponibles únicamente para entornos Windows, en cuanto existan versiones compatibles con otros sistemas operativos, deberán ser igualmente instaladas.

Sistema operativo recomendado

Se recomienda el uso de equipos con sistema operativo Windows 11 o el recomendado por la VGTIC en las imágenes corporativas. En aquellos casos en que se requiera el uso de Linux, se priorizará el uso de las funcionalidades de integración de Linux en Windows (WSL- Windows Subsystem for Linux).

Gestión de incidentes de seguridad

En caso de detectarse un incidente de seguridad relacionado con el equipo, la VGTIC, previa autorización de la persona Responsable de Seguridad y notificación al Comité de Seguridad, podrá proceder al aislamiento del equipo, su bloqueo o cualquier otra medida necesaria, hasta la resolución del incidente junto con la persona usuaria responsable.

Licenciamiento del software

Solo podrá utilizarse software legal y debidamente licenciado. Queda prohibido el uso de software no autorizado o que infrinja derechos de propiedad intelectual.

Administración compartida del equipo

La administración del equipo será compartida entre la persona usuaria y la VGTIC. Esta última se reserva el derecho de:

• Instalar software que, por motivos institucionales, de servicio o de seguridad, deba estar presente en todos los equipos de la EHU.
• Desinstalar software que interfiera con el funcionamiento del software institucional o comprometa la seguridad del equipo. En este caso, será debidamente notificada a la persona usuaria a través de los canales oficiales de comunicación, tales como el correo electrónico institucional o mediante contacto telefónico.

Restricciones de la persona usuaria

• La persona usuaria no podrá desinstalar ningún software previamente instalado por la VGTIC en el equipo.
• La persona usuaria deberá respetar las cuentas y grupos creados en los equipos y sus permisos asociados, es decir, quedará totalmente prohibido la modificación o creación de cuentas o grupos privilegiados o no en el equipo.

Aceptación

Este documento debe ser aceptado por la persona usuaria como condición indispensable para la concesión de permisos de administración local en su equipo.