Organización de la seguridad de la información
La UPV/EHU apoya su actividad en las tecnologías de la información y comunicación (TIC) para alcanzar sus objetivos institucionales. En consecuencia, los sistemas y recursos TIC deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, confidencialidad, integridad o conservación de la información y de los sistemas y servicios electrónicos que la sustenten.
A ello ha venido a dar respuesta el artículo 42.2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, mediante la creación del Esquema Nacional de Seguridad (ENS, Real Decreto 311/2022), cuyo objeto es el establecimiento de los principios y requisitos de una política de seguridad en la utilización de los medios electrónicos que permita la adecuada protección de la información.
Más concretamente, el artículo 2 del ENS dispone que el real decreto por el que se regula el ENS es de aplicación a todo el sector público.
Para promover la aplicación de la seguridad de la información en la UPV/EHU y su política, así como demás normativa e instrucciones de seguridad de la información, se establece una estructura organizativa basada en una distribución de funciones con una asignación de responsabilidades de las mismas.
Dicha estructura fue aprobada por el consejo de gobierno de la UPV/EHU el 24 de abril de 2024 quedando establecida de la siguiente forma:
Órganos:
Comité de Seguridad TIC
Integrado por:
- Presidencia: El Vicerrector o Vicerrectora que tenga asignadas las competencias relativa a las Tecnologías de la Información y de las Comunicaciones (TIC).
- Secretaria: El o la Secretaria General.
- Miembros Permanentes:
- Responsable de los Sistemas de Información y comunicación.
- Responsable de Seguridad de la información.
- Responsables de información y Servicios de la UPV/EHU según los temas a tratar:
- Jefes de Área de la VGTIC.
- Vicegerente o Vicerrector del área correspondiente al tema a tratar.
- Asesores: Dos personas de la UPV/EHU de reconocido prestigio en el ámbito de la seguridad de la información nombradas por el o la presidenta del comité.
- Delegado o delegada de Protección de Datos (con voz, pero sin voto).
Corresponden al Comité de Seguridad TIC las siguientes funciones:
- Liderar, coordinar y velar por el correcto desarrollo del Proyecto de Adecuación al ENS, adoptando las medidas que correspondan, de acuerdo a los fines del Proyecto.
- Alentar el proceso de Certificación de la Conformidad con el ENS para los servicios transversales prestados por la universidad.
- Debatir en segunda instancia y decidir sobre la idoneidad de las propuestas realizadas por la Oficina de Seguridad TIC para aprobarlas o trasladarlas, en su caso, al Órgano que las Aprobará formalmente.
- Proponer para su análisis, y en su caso, redactar y publicar Normas, Criterios o Buenas Prácticas en materia de Seguridad.
- Asesorar al personal de la universidad de los procedimientos, herramientas y criterios en materia de Certificación de la Conformidad con el ENS y, en general, con su implantación, orientando su gestión al mejor servicio del sector público y la mayor y mejor colaboración con el sector privado, fabricantes y suministradores de productos o servicios.
Oficina de Seguridad TIC
Integrado por:
- Dirección: La persona Responsable de la seguridad de la información.
- Secretaría: La persona del equipo de la Gerencia que tiene encomendadas las funciones de TIC.
- Los y las jefes de área de la Vicegerencia de TIC (Producción, Proyectos, Clientes, CIG), como administradores especialistas de seguridad.
- Expertos en ciberseguridad:
- Las dos personas expertas nombradas para el Comité de seguridad TIC.
- Según el tema a tratar, a propuesta del Comité de seguridad TIC, se podrán incorporar más personas expertas.
Las funciones de la Oficina de Seguridad TIC serán, además de otras que les puedan ser encomendadas por el Comité de Seguridad TIC, las siguientes:
- Gestión y operativa de la seguridad del Proyecto de Adecuación, Implantación y gestión de la Conformidad en el ENS, análisis y gestión de riesgos, explotación, normativa y mantenimiento.
- Redacción y presentación de propuestas al Comité de Seguridad TIC. Elaborará los aspectos relacionados con la ciberseguridad y los debatirá en primera instancia, para ser trasladados al Comité.
- Proponer, redactar, publicar y aprobar Normas, Procedimientos, Criterios o Buenas Prácticas en materia de ciberseguridad y Adecuación al ENS en los procesos internos de la VGTIC.
- Promover la mejora continua del sistema de gestión de la Seguridad de la Información. Para ello se encargará de:
- Elaborar (y revisar regularmente) la Política de Seguridad de la Información para su traslado al Comité de Seguridad TIC para su revisión y posterior aprobación del órgano superior.
- Elaborar la normativa de Seguridad de la Información para su aprobación por parte del o la Responsable de Seguridad, con conocimiento del Comité.
- Verificar los procedimientos de seguridad de la información y demás documentación para su aprobación.
- Elaborar programas de formación destinados a formar y sensibilizar al personal en materia de seguridad de la información y protección de datos.
- Proponer planes de mejora de la seguridad de la información, priorizando las actuaciones en materia de seguridad cuando los recursos sean limitados.
- Realizar un seguimiento de los principales riesgos residuales asumidos y recomendar posibles actuaciones respecto de ellos.
- Promover la realización de las auditorías periódicas del ENS que permitan verificar el cumplimiento de las obligaciones de las universidades en materia de seguridad de la Información y protección de datos
Centro de operaciones de Ciberseguridad
El Centro de Operación en Ciberseguridad, en adelante COC, estará bajo la responsabilidad y dirección del o la directora de la Oficina de Seguridad TIC o la persona designada por el Comité de Seguridad TIC de la UPV/EHU.
Las funciones principales de las cuales deberá encargarse el COC son las siguientes:
- Monitorizar la seguridad de los sistemas y de los dispositivos de seguridad.
- Analizar los eventos generados y establecer las correlaciones entre ellos.
- Configurar los sistemas de seguridad o dar las pautas para que los responsables de los sistemas los configuren.
- Gestionar las vulnerabilidades de las aplicaciones y servicios, promoviendo el parcheado o tomando medidas necesarias para su subsanación.
- En su caso, análisis forenses y de seguridad.