EHUko erabiltzaile ekipoetan administratzaile baimenak izateko arautegia

EHUk informazioaren segurtasunerako arloan onartuta dituen arautegiak betetzeko, bai eta Segurtasun Eskema Nazionalak (SEN) ezarritako printzipioak ere, eta informazio sistemen integritatea, erabilgarritasuna eta konfidentzialtasuna bermatu ahal izateko, erabiltzaileei ez zaie emango, oro har, ekipo informatikoen administratzaile lokal izateko baimenik.

Arautegi hau EHUren jarduera eremu osoan aplikatu behar da, eta bere edukiak EHUren Informazioaren Segurtasun Politikan definitutako gidalerro orokorragoetatik datoz. Arautegi hau eta bertatik eratorriak aplikatuko zaizkie EHUrenak diren erabiltzaileen ekipo informatiko guztiei.

Arautegi hau EHUko IKTen Segurtasun Batzordeak onartu du.

SENen jasotako gutxieneko pribilegioen printzipioaren arabera, erabiltzaileek beren eginkizunak betetzeko behar dituzten baimenak baino ez dituzte izango. Pribilegio altuetarako baimena izango dute sistemak kudeatu eta horien mantentze lanak egin eta euskarria emateko behar bezala akreditatutako eta baimendutako teknikariek.

Neurri horren bidez gutxitu egiten dira arrisku batzuk, hala nola baimenik gabeko softwarea instalatzeak edo segurtasun konfigurazioak behar ez bezala aldatzeak sor ditzakeenak, bai eta segurtasun mehatxuen eraginpean egoteak ekar ditzakeenak ere, ingurune teknologiko kontrolatua bermatuz horrela, eskatutako babes neurriekin lerrokatua.

Salbuespenik egin nahi izanez gero, behar bezala justifikatu eta dokumentatu beharko da, eta beharrezkoa izango da Segurtasunaren arduradunak onespena ematea beren-beregi, unibertsitateak horretarako ezarrita duen prozedurari jarraikiz. Halakoetan, erantzukizun hori aldi baterako eskuordetzeko aukera aztertuko da, betiere hertsiki kontrolatutako baldintzetan eta etengabe gainbegiratuta. Ondoren, salbuespena zeintzuk kasutan egin daitekeen zehazten da:

3.1. IKT langileentzako eta erabilera orokorreko ekipoetarako baimenak

Ikastegietako edo sailetako IKT zerbitzuetako langileek –Erabiltzaileentzako Arreta Zerbitzuko langileak izan ezik, horiek badituztelako izan beharreko baimenak– software espezifikoa jarri behar badute erabilera partekatuko ekipoetan (esate baterako, bilera geletako proiektore edo gailuetan), aurkezpenak edo bestelako jarduera programatuak egiteko, pribilegio altuetarako baimena eman ahal izango zaie aldi baterako.

Neurri honen bidez saihestu nahi da Erabiltzaileentzako Arreta Zerbitzuarekin zuzenean aritu behar izatea, aurreikusitako jarduerak behar bezala aurrera eramatea arriskuan jar dezakeen atzerapenik egon ez dadin.

Instalatu behar den softwareak dagokion lizentzia izan beharko du, behar bezala egiaztatuta egon beharko da, eta erakundeak ezarritako betebehar legalak eta segurtasunaren alorrekoak bete beharko ditu.

3.2. Ikertzaileentzako baimena

Informazio eta Komunikazio Teknologien Gerenteordetzak eskatzen du makina birtualak erabiltzea laneko ekipoetan, softwarearen probak eta instalazioak egiteko ingurune isolatu gisa. Neurri horren bidez erabiltzaileak beharrezko dituen pribilegioak izango ditu, baina arriskuan jartzeke ekipoaren integritatea, erabilgarritasuna eta konfidentzialtasuna, ezta ekipo horretan kudeatzen den informazioarena ere.

Dena den, jakin badakigu muga teknikoak edo legalak egon daitezkeela –lizentzia murrizketak edo softwarearen baldintza espezifikoak, esate baterako–, ingurune birtualak erabiltzeko oztopo izan daitezkeenak. Hori dela eta, jarraian aipatzen diren kasuetan administratzaile baimenak modu bereizian eman ahal izango dira:

3.2.1. EHUtik kanpo egonaldiak egiten ari diren erabiltzaileak

Unibertsitatetik kanpo egonaldi ofizialak egiten ari diren langileek administratzaile lokal izateko baimena eskatu ahal izango dute aldi baterako. Eskaera Erabiltzaileentzako Arreta Zerbitzuaren bitartez bideratuko da eta baimena emango da bakar-bakarrik jarduera egiteko behar den denborarako. Inola ere ez da emango mugagabeko baimenik.

3.2.2. Behar tekniko espezifikoak dituzten irakasle-ikertzaileak

Laneko jarduerak direla-eta softwarea behin eta berriz instalatu eta desinstalatu behar duten erabiltzaileen kasuan –adibidez, Informatikako, Telekomunikazioetako eta antzeko arloetako irakasle-ikertzaileak– beren ekipoetako administratzaile izateko baimenak eman ahal izango zaizkie, betiere baldintzak hauek betetzen badituzte:

• IKTen Gerenteordetzak ezarritako jarraibideak eta jardunbide egokiak betetzeko konpromisoa hartu beharko du erabiltzaileak, formalki (ikusi I. eranskina).
• EHUko babes sistemek portaera anomaloak antzemanez gero, edota segurtasun neurriak ez direla betetzen, baimenak segituan baliogabetu ahal izango dira, horren berri emateke aldez aurretik. Erabiltzaileari komunikazio kanal ofizialen bidez (mezu elektronikoa edo telefono deia) jakinaraziko zaio baimenak baliogabetu zaizkiola.

Malgutasun honen bidez eragotzi nahi da EHUk kudeatzen ez dituen ekipoak erabiltzea ikerketarako, hau da, erakundeak ezarritako segurtasun neurriak ez dituzten ekipoak, oso arriskutsua izan daiteke eta.

3.3. Ikasgeletako ekipoak

Praktika akademikoak direla-eta ikasleek edo irakasle-ikertzaileek administratzaile baimenak behar badituzte ikasgeletako ekipoetarako, eskaera egin beharko diete, aldez aurretik, ekipo horiek kudeatzeaz arduratzen diren ikastegiko teknikariei.

Ekipo horietan sartzeko balidazioa autentifikazio sistema korporatiboaren bidez egin beharko da (Active Directory). Pribilegio gehiago emateko, mekanismo seguruak erabiliko dira: sudo komandoa Linux sistemetan eta baimen bereziak Windows sistemetan. Edonola ere, balidazio prozesuan beti eskatuko da kasuan kasuko pasahitza sartzea.

3.4. Administratzaile baimena emango ez diren kasuak

Kasu hauetan ez da emango pribilegio altuetarako baimenik:

• Arduraldi esklusiboko zuzendarien ekipoak: zuzendaritza zein kudeaketa lanak egiten dituzten arduraldi esklusiboko erabiltzaileei ez zaie emango administratzaile lokal izateko baimenik, behar hori ez baitago justifikatuta.
• Kontratuaren arabera lan teknikoak egin behar ez dituzten erabiltzaileak: EHUrekin duten kontratuaren arabera software informatikoa instalatu, probatu, garatu edo kudeatu behar ez duten erabiltzaileei ez zaie emango baimenik.

Erabiltzaile guztiek dute EHUrekin lankidetzan aritzeko betebeharra, arautegi hau betetzen ez duten ekintzak bideratu, eten eta, hala badagokio, zuzentzeko.

Inork, behin eta berriz, nahita edo zabarkeriaz, arautegi hau betetzen ez badu, edo urratzen badu, egokitzat jotzen diren jarduera teknikoak aplikatuko zaizkio (gorabeheraren ondorioak txikiagotzeko).

Arautegi honetatik eratorritako betebeharrak betetzen ez direla egiaztatuz gero, Informazioaren Segurtasun Batzordeak diziplina erantzukizunak argitzeko eskatu ahal izango du.

Aplikatu beharreko prozedura eta zehapenak izango dira ikasleen eta administrazio publikoetako zein EHUko langileen diziplina araubideari buruzko legerian zehaztutakoak.

EHUko Informazioaren Segurtasun Batzordeari dagokio arautegi hau kudeatzea, eta eskumena du honako hauek egiteko:

• Arautegia aplikatzerakoan sor daitezkeen zalantzak interpretatu.
• Arautegia berrikusi, edukia eguneratzeko beharrezkoa denean edo horretarako ezarritako epeak betetzean.
• Arautegiaren eraginkortasuna egiaztatu.

Arautegi hau berrikusiko da beharrekotzat hartzen denean eta, aldaketarik egonez gero, EHUko Segurtasun Batzordeak eman beharko ditu ontzat.

Arautegia berrikusiko da informazioaren segurtasunaren kudeaketa hobetzeko aukerak identifikatu ahal izateko, bai eta lege esparruan, azpiegitura teknologikoan, antolaketa orokorrean eta abarretan izandako aldaketetara egokitu ahal izateko ere.

EHUko Informazioaren Segurtasunaren arduradunak izango du onartutako dokumentu honen bertsioa zaindu eta zabaltzeko erantzukizuna.

• Software egiaztatua: software egiaztatutzat hartzen da erabilera lizentzia legala duena, dela ordainketa bidez, dela erabilera libreko modalitate baten bidez. Bere erabilera arautzen duten baldintza guzti-guztiak ezagutu eta bete behar dira. Gainera, segurtasun analisia egin behar zaio, adibidez, Virus Total tresnaren bidez, software maltzurrik ez duela bermatzeko.
• Baimenik gabeko softwarea: halako softwaretzat hartzen da lizentzia legalik izan gabe instalatzen, erabiltzen edo banatzen dena, edo exekutatzen den inguruneko erakunde arduradunaren berariazko baimenik izan gabe. Erabiltzailearen funtzio akademikoekin, administratiboekin edo ikerketakoekin zerikusirik ez duten aplikazioak software mota honetan sartzen dira, bai eta jatorri ezezaguneko programak ere, segurtasuna egiaztatuta ez dutenak.
• Erabiltzaile ekipoa: pertsona batek zeregin informatiko edo digitaletarako zuzenean erabiltzen dituen gailu teknologikoak dira. Erabiltzaileak zerbitzu, aplikazio, sare edo edukietan sartzeko erabiltzen dituen tresnak dira. Adibideak: ordenagailu eramangarria edo mahai gainekoa, tabletak, smartphoneak...
• Ekipo informatikoa: termino zabalagoa da, eta azpiegitura teknologiko baten parte diren gailu eta sistema guztiak biltzen ditu, bai banakako erabilerarako, bai sare edo informazio sistema baten funtzionamendu orokorrerako. Adibideak: zerbitzariak, sareko ekipoak, biltegiratze sistemak, erabiltzaile ekipoak.

Barnekoak:

• Informazioaren Segurtasun Politika, Gobernu Kontseiluak 2013ko martxoaren 21ean onartutakoa 

Kanpokoak:

• Segurtasun Eskema Nazionala arautzen duen 311/2022 Errege Dekretua, maiatzaren 3koa

Erabiltzaileari baimena ematea administratzaile izateko bere ekipoan

Dokumentu honen bidez administratzaile izateko baimena ematen zaio [erabiltzailearen izena] erabiltzaileari, ekipo informatiko honetarako: [IKTen Gerenteordetzaren ekipoaren kodea]. Baimena ematen zaion erabiltzaileak hertsiki bete beharko ditu ondoren aipatzen diren segurtasun neurriak eta erabilera baldintzak, Komunikazio eta Informazio Teknologien Gerenteordetzaren irizpideei jarraikiz:

Erabilera eta segurtasun baldintzak

Erabiltzailearen identifikazioa ekipoan

Ekipoa, ahal den neurrian, EHUren domeinuan (AD) egon beharko da, EHUren kredentzial korporatiboak (LDAP kredentzialak) erabilita sartu ahal izateko.

Ezin bada, EHUren kontu korporatiboa (LDAP) erabiliko da edo erabiltzailearen posta elektroniko instituzionala, erabiltzailearen kontuarekin egindako ekintzen trazabilitatea lortu ahal izateko zibersegurtasuneko tresnen bitartez.

Nahitaez instalatu beharreko segurtasun tresnak

IKTen Gerenteordetzak zehaztuko dituen segurtasun tresnak instalatu beharko dira ekipoan, babesa bermatu eta urrunetik kudeatu ahal izateko. Besteak, beste, hauek dira:

• Antibirusa
• Ransomarearen aurkako babesa
• EDR/XDR soluzioak
• Urruneko kudeaketarako tresna (Ivanti, Intunes, etab).

Oharra: soluzio horietako batzuk Windows inguruneetarako bakarrik badaude ere, beste sistema eragile batzuekin bateragarriak diren bertsioak egongo direnean, instalatu egin beharko dira.

Sistema eragile gomendatua

Windows 11 sistema eragilea daukaten ekipoak erabiltzea gomendatzen da, edota IKTen Gerenteordetzak gomendatutakoa irudi korporatiboetan. Linux erabili behar den kasuetan, Linux Windowsen integratzeko funtzionalitateak erabiltzea lehenetsiko da (WSL – Windows Subsystem for Linux).

Segurtasuneko gorabeheren kudeaketa

Segurtasuneko gorabeheraren bat antzemanez gero ekipoan, IKTen Gerenteordetzak, Segurtasunaren arduradunak baimena eman ondoren eta Segurtasun Batzordeari jakinarazi, ekipoa isolatu edo blokeatu ahal izango du, bai eta gorabehera konpondu arte beharrezkoa izan daitekeen beste edozein neurri ere.

Softwarearen lizentzia

Software legal eta lizentziaduna baino ezingo da erabili. Debekatuta dago baimenik gabeko softwarea edo jabetza intelektualeko eskubideak urratzen dituena erabiltzea.

Administratzaile baimen partekatua

Ekipoaren administratzaileak izango dira erabiltzailea eta IKTen Gerenteordetza. Gerenteordetzak honako hauek egin ahal izango ditu:

•  Arrazoi instituzionalak, zerbitzukoak edo segurtasunekoak direla eta, EHUko ekipo guztietan egon behar duen softwarea instalatu.
• Software instituzionalaren funtzionamendua eragozten duen edo ekipoaren segurtasuna arriskuan jartzen duen softwarea desinstalatu. Halakoetan, erabiltzaileari komunikazio kanal ofizialen bidez (mezu elektronikoa edo telefono deia) jakinaraziko zaio softwarea desinstalatu dela.

Erabiltzailearen mugak

• Erabiltzaileak ezingo du desinstalatu IKTen Gerenteordetzak aldez aurretik ekipoan instalatutako softwarerik.
• Erabiltzaileak errespetatu egin beharko ditu ekipoan sortutako kontuak eta taldeak, bai eta horien baimenak ere; hau da, guztiz debekatuta dago pribilegioak dituzten edo ez dituzten kontuak zein taldeak aldatu edo sortzea ekipoan.

Onarpena

Erabiltzaileak dokumentu hau onartu behar du, nahitaez, administratzaile lokalaren baimenak izateko bere ekipoan.