Normativa General de uso de los recursos TIC de la EHU

Conforme a lo dispuesto en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante ENS), este documento contiene la normativa general básica de utilización de los recursos TIC y sistemas de información de la Euskal Herriko Unibertsitatea (en adelante EHU), remarcando los compromisos que deben adquirir las personas usuarias (en adelante usuarias) respecto a la seguridad de la información y buen uso de estos recursos TIC.

Esta normativa se complementa con todas aquellas normas. procedimientos e instrucciones técnicas que regulan de manera específica las obligaciones de las usuarias en el uso de los recursos TIC y que son aprobados por el Comité de Seguridad TIC de la EHU, aprobado por el Consejo de Gobierno de la EHU el 24 de abríl de 2024.

Los recursos TIC y sistemas de información constituyen elementos básicos para la EHU. Por tanto, sus usuarias deben utilizar estos recursos y sistemas de manera que se preserven en todo momento la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad tanto de la información como de los servicios.

El uso de los recursos TIC en la EHU, tanto el equipamiento informático como de comunicaciones, es actualmente una necesidad para el desarrollo de sus actividades relacionadas con la docencia, investigación y gestión, es por ello que la EHU debe determinar las normas, procedimientos, etc que regulen el buen uso de estos y delimitar su uso.

Por tanto, la presente Normativa General tiene como objetivo establecer y desplegar normas encaminadas a alcanzar la mayor eficacia y seguridad en su uso.

La presente normativa es de aplicación a todo el ámbito de actuación de la EHU, y sus contenidos derivan de las directrices de carácter más general definidas en la Política de Seguridad de la Información de la EHU. Esta normativa y derivadas se aplicará a todo "recurso TIC de la EHU" y a cualquier dispositivo conectado bien de forma local o remota a la red de datos de la EHU.

Esta normativa afecta a todas las usuarias que hagan uso de los recursos TIC de la EHU.

La presente normativa ha sido aprobada por el Comité de Seguridad TIC de la EHU.

La presente normativa regula el marco general de los usos de los recursos TIC y los sistemas de información de la EHU.

4.1 Uso aceptable y obligaciones de las usuarias

1. Para acceder a los sistemas de información de la EHU es necesario tener asignada previamente una cuenta. Las usuarias tendrán configuradas las funcionalidades y privilegios en los sistemas TIC según las competencias atribuidas.
2. Se adoptará la política de asignación de los privilegios mínimos necesarios para la realización de las funciones encomendadas.
3. En todo momento se debe hacer un uso ético y legal de los recursos TIC.
4. Los recursos TIC deben utilizarse únicamente para el desarrollo de las funciones encomendadas de conformidad con la relación de la usuaria con la EHU.
5. Únicamente el personal autorizado por TI podrá distribuir, instalar o desinstalar software y hardware, o modificar la configuración de cualquiera de los elementos de la infraestructura de los sistemas de información de la EHU.
6. Las usuarias (de forma general) no tendrán privilegio de administración sobre los recursos TIC, salvo autorización expresa de la persona responsable de Seguridad de la EHU. El privilegio de administración se solicitará por la usuaria mediante escrito motivado en el que describa su necesidad.
7. Quien detectase cualquier anomalía que indicase una utilización de los recursos TIC contraria a la presente normativa, lo comunicará al Centro de Atención a Usuarios/as (CAU), que tomará las medidas oportunas.
8. Todo recurso TIC de la EHU deberá estar asignado a una usuaria o responsable concreta. Tales personas son responsables de su correcto uso.
9. La usuaria se compromete a garantizar la privacidad de la información sensible, confidencial y protegida, propiedad de la EHU, que está accesible desde los recursos TIC y a evitar la difusión de la misma.
10. Cuando una usuaria deje de atender un equipo informático durante un cierto tiempo, es necesario bloquear la sesión o activar el salvapantallas, siendo necesaria la introducción de la contraseña para desactivarlo. Con ello se evitará que alguna persona pueda hacer un mal uso de sus credenciales, pudiendo llegar a suplantarla.
11. Cualquier documento, soporte informático, dispositivo de almacenamiento que pueda contener datos de carácter personal o información confidencial deberá protegerse frente a posibles revelaciones o robos de terceras partes no autorizadas. En caso de considerarse necesario, esa información deberá almacenarse de forma cifrada.
12. Se deben seguir las normas y procedimientos definidos y tomar las medidas de seguridad para el uso de recursos TIC en las instalaciones de la EHU.
13. Las medidas mínimas de seguridad que deben cumplir los equipos conectados a la red de la EHU son:
    • Cortafuegos activado.
    • Equipos actualizados, tanto el sistema operativo como las aplicaciones instaladas.
    • Antivirus instalado y actualizado. En los equipos de la EHU, será instalado el antivirus corporativo siguiendo las directrices dadas por la EHU.

4.2 Uso no aceptable

1. Se prohíbe la utilización en el equipamiento informático de cualquier tipo de software dañino.
2. Queda explícitamente prohibido que las usuarias revelen o entreguen sus credenciales de acceso, certificados digitales, etc. a terceras partes.
3. Las usuarias no podrán usar credenciales de terceras personas, aunque dispongan de la autorización de su titular.
4. No se podrá instalar o utilizar software que no disponga de la licencia correspondiente o cuya utilización no sea conforme con la legislación vigente en materia de Propiedad Intelectual.
5. En ningún caso se podrán eliminar o deshabilitar las aplicaciones informáticas relacionadas con la seguridad, tales como: antivirus, antiransomware, cortafuegos, etc.
6. No está permitido almacenar información de carácter privado en los recursos de almacenamiento compartido.
7. No se podrá modificar la configuración de los equipos TIC sin previa autorización por parte de la EHU, especialmente en aquellos aspectos que puedan repercutir en la seguridad de los recursos TIC.
8. Se prohíbe toda transmisión, distribución o almacenamiento de cualquier material obsceno, difamatorio, amenazador o que constituya un atentado contra la dignidad de las personas.
9. Se prohíbe toda actuación que pueda suponer la violación de la intimidad, del secreto de las comunicaciones y del derecho a la protección de los datos personales.
10. Se prohíbe el uso de los sistemas de información para fines ajenos a los determinados por la EHU.
11. Se prohíbe, en general, cualquier uso de los sistemas de informacíón de la EHU contrario a la legalidad vigente.

Todas las usuarias tienen la obligación de colaborar con la EHU para corregir, cesar y, en su caso, rectificar el ejercicio de acciones que incumplan esta normativa.

Aquellas personas que, de forma reiterada, deliberada o por negligencia ignoren o infrinjan la presente normativa, podrán verse sujetas a las actuaciones técnicas (para minimizar los efectos de la incidencia) que se estimen oportunas.

Constatado un incumplimiento de la Normativa de Seguridad de la Información de la EHU, instará por los cauces establecidos en los Estatutos de la EHU, la depuración de las responsabilidades disciplinarias a las que hubiera lugar.

El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de estudiantes, del personal al servicio de las Administraciones Públicas o de la propia EHU.

La gestión de esta Normativa de Seguridad corresponde al Comité de Seguridad de la información de la EHU, que es competente para:

• Interpretar las dudas que puedan surgir en su aplicación.
• Proceder a su revisión, cuando sea necesario para actualizar su contenido o se cumplan los plazos máximos establecidos para ello.
• Verificar su efectividad.

Si existen circunstancias que así lo aconsejen, se revisará la presente Normativa de Seguridad, que se someterá, de haber modificaciones, al visto bueno del Comité de Seguridad de la EHU.

La revisión se orientará tanto a la identificación de oportunidades de mejora en la gestión de la seguridad de la información, como a la adaptación a los cambios habidos en el marco legal, infraestructura tecnológica, organización general, etc.

Será la persona Responsable de Seguridad de la información de la EHU la encargada de la custodia y divulgación de la versión aprobada de este documento.

Internas:

• Política de Seguridad de la Información aprobado por el Consejo de Gobierno del 21 de Marzo de 2013 

Externas:

• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad