Interneterako sarbide eta nabigazio segururako arautegia

Arautegi honen helburua da Euskal Herriko Unibertsitatearen (aurrerantzean EHU) Informazio Sistemen erabiltzaileek Internetera egindako sarbidea arautzea, dela bertako egoitzetatik dela sistema horien bidez, erabiltzaile guztiek arauok ezagutu eta bete beharko dituzten erabilera arauak osatuz.

Oro har, EHUko erabiltzaileek Interneterako sarbidea baliatuko dute, produktibitaterako eta jakintzarako tresna gisa, zeinek bere jarduera akademikoetan, irakaskuntzakoetan, ikerkuntzakoetan eta administrazio eta gestiorako prozesuetan.

Bi dira arautegi hori artezten duten printzipio orokorrak:

• EHUren sarearen bidez Internetera sartu eta erabiltzeko arau egokiak eta ezegokiak ezartzea, eta arau horiek betetzen direla zaintzea.
• Unibertsitate komunitatearen eta Interneteko erabiltzaileen eskubideak, arduraz eta legez errespetatu eta babestea.

Dokumentu hori EHUren barne erabileratzat jotzen da eta, beraz, ezingo da zabaldu, segurtasunaren arduradunak baimena eman ezean.

Arau hau EHUren jarduera eremu osoan aplikatu behar da, edukiak EHUren Informazioaren Segurtasun Politikan definitutako gidalerro orokorragoetatik eratorritako edukiak izanik.

Arau hau nahitaez bete beharko dute EHUko zerbitzuak modu iraunkorrean edo aldi baterako erabiltzen dituzten erabiltzaile guztiek, bai eta kanpoko erakundeetako langileek ere, EHUren informazio sistemen erabiltzaile direnean edo berorietarako sarbidea dutenean.

Erabiltzaile guztiek izango duten Interneterako sarbidea izango da:

• Lanpostuen bidez, horretarako dauden EHUko ordenagailuen bidez, betiere ikastegi, gune, informatika gela edo sarbide sare bakoitzaren berezitasunak errespetatuz.
• Norberaren gailuen bidez, erabilera orokorreko sareen edo gonbidatuentzat diren gailuen bidez.

Arautegi hau EHUko IKTen Segurtasun Batzordeak onartu du eta, horrela, ezarri dira EHUk erabiltzaileen eskura jartzen dituen informazio tratamendurako baliabideak behar bezala erabiltzeko jarraibide orokorrak, nork bere eginkizunak bete ditzan eta, hurrenez hurren, deskribatutako betebeharrak gain hartu eta hurrengo epigrafeetan xedatutakoa betetzeko konpromisoa bere egin dutelarik.

3.1 Arau orokorrak

Interneterako sarbidea EHUren aktibo bat da, erabiltzaileen eskura jartzen duena, jarduera akademikoetan, irakaskuntzakoetan eta ikerkuntzakoetan zein administrazio eta kudeaketa prozesuetan laguntzeko. Baliabide hori arlo pertsonalerako erabil liteke noizean behin edo behin-behinean, norberaren edo besteen produktibitatea oztopatu gabe eta EHUren jarduerari trabarik jartzen ez zaion bitartean. Bitarteko horren bidez helarazitako informazio guztiak oro EHUrekin lotutako informazio gisa tratatuko dira eta bat etorri behar dute beherago zerrendatutako arauekin.

Interneten erabilerak dakartzan arriskuak ahalik eta txikienak izan daitezen, gutxieneko segurtasun neurri batzuk hartu behar dira, internet behar bezala baliatzea helburu hartuta.

Honako hauek dira neurriok:

• Internet arduraz erabili behar da, helburu profesionaletarako edo irakaskuntzarekin, ikerkuntzarekin eta kudeaketarekin lotutako helburuetarako.
• Ezin sar daiteke EHUren etika kodea betetzen ez duten webguneetan, iraingarri edo legez kanpokoetan.
• Ez deskargatu Internetetik jabetza eskubidearen legeen bidez babestutako edozein material (softwarea barne), kasuan kasuko baimen edo zuzenbide lizentziarik gabe, zuzeneko estekak zein "peer-to-peer" (P2P) motako programak erabiliz.
• Ezin argitaratu leku pertsonaletan edo beste edozeinetan, UPV/EHUren edozein informazio edo beronen izenean, unean uneko informazioaren edo berori erabiltzeko eskubideen jabearen baimenik gabe.
• Debekatuta dago baimenik gabe sartzea edo ahalegintzea UPV/EHUren edo bereaz kanpoko ekipamendu, zerbitzu, aplikazio, datu edo azpiegituretan.
• Erabat debekatuta dago beste edozein erabiltzaileren informazioa aurrez pentsatuta suntsitu edo aldatzea, bai eta beste edozein erabiltzaileren pribatutasuna eta intimitatea urratzea ere.
• Bisitatutako orriaren egiazkotasuna ziurtatzea. Informazio trukeak edo transakzioak egin behar direnean, garrantzitsua da ziurtatzea bisitatutako orria benetan dela dioena. Web orria ziurtagiri digitalaren bidez (HTTPS protokoloa) autentifikatuta dagoenean, benetakotasuna egiaztatuko du erabiltzaileak.
• Saioak itxi konexioa amaitzean. Oso komenigarria da saioak ixtea konexioa edo informazio trukea amaitzean; izan ere, sarri askotan lehenetsita egoten baita konexioa irekita mantentzea. Gainera, ez da izaten nahikoa nabigatzailea ixtea. Horren ondorioz, gerta liteke beste pertsona batzuek sarbidea izatea behar bezala itxi gabeko saioan erabilitako kontuetara eta informaziora. Webgune gehienek "deskonexio", "logout" edo antzeko aukera bat dute eta komeni da erabiltzea.
• Kode kaltegarriaren aurkako erremintak erabiltzea. Ugaria da oso Interneten barrena dabilen kode kaltegarria, hainbat alderdi desberdin dituena. Era honetako eraso horien aurkako lehenengo babesa da antibirus bat erabiltzea, behar bezala etengabe eguneratuta behar duena. Horrez gain, behar bezala konfiguratuta eduki behar dira firewall edo suebakia, programa espioien aurkako software espezifikoa (spyware) eta abar.
• Sistema eragilea, nabigatzailea eta segurtasun tresnak eguneratuta edukitzea. Ezinbestekoa da sistema eragilea eguneratuta edukitzea, bai eta Internetera sartzeko tresnak (nabigatzaileak) eta segurtasunekoak ere (biruskontrakoak, suebakiak, etab.), fabrikatzaileak igorritako azken segurtasun adabakiak baliatuta. Kode kaltegarria etengabe sortzen denez, oso garrantzitsua da birusen aurkako sinadurak ahalik eta maiztasun handienaz eguneratzea. Sistemek konfiguratuta egon behar dute eguneraketa hori automatikoki egiteko. Era berean, oso garrantzitsua da EAZri eguneratze prozesu honetan hautematen den edozein arazoren berri ematea.
• Nabigatzailearen segurtasun mailak erabiltzea. Web nabigatzaileek badituzte segurtasun maila desberdinetan konfiguratzeko aukerak. Egokiena da segurtasun maila "ertain-altua" mantentzea, "ertainetik" beherako mailak erabiltzea komeni ez delarik. Horretarako, erabil daitezke nabigatzaileak eskainitako tresnak.
• Informazio pribatua ezabatzea. Web nabigatzaileek informazio pribatua biltegiratzen dute erabiltzen diren bitartean, hala nola nabigazio historia, onartutako cookieak, pasahitzak, etab.; informazio hori sisteman sar litekeen erasotzaileak eskura lezakeelarik. Beraz, komeni da informazio hori aldian-aldian ezabatzea, nabigatzaileak eskaintzen dituen tresnak erabiliz.
• Orri edo webgune ez fidagarriak edo susmagarriak ez bisitatzea. Segurtasun-intzidenteak saihesteko, komeni da kode maltzurra izan dezaketen orriak ez bisitatzea.
• Ez deskargatu kode edo programa ez fidagarririk. Ziurtatu behar da programak deskargatzeko baliatzen diren guneen fidagarritasuna, beti ere webgune ofizialak erabiliz.
• Osagarri ezezagunak ez instalatzea. Web orri batzuk kargatzen direnean, bertako edukira sartu ahal izateko, mezu bat agertu ohi da jakinarazteko erabiltzailearen ordenagailuan osagarri bat (plug-in, add-on, etab.) instalatu behar dela. Oso gomendagarria da lehenik eta behin aztertzea osagarri hori instalatzea komeni den eta, nolanahi ere, beti unean uneko osagarriaren banatzaile edo hornitzaile ofizialaren orritik egitea.
• EHUko Erabiltzaileentzako Zerbitzuari berehala jakinarazi beharko zaio Interneten erabileran gertatzen den ezohiko edozein gertaeraren berri.

3.2  Segurtasun neurriak

Informazioa sarearen bidez transmititzea ez da beti segurua. Segurtasun mailak unean une erabiltzen ari den sistema informatikoa araberakoak izango dira, bai eta sistema eguneratuta dagoen eta biruskontrakoak bezalako segurtasun neurri gehigarriak erabiltzen diren ere. Gogoratu behar da informazioa galtzea erabiltzaileen erantzukizuna dela.

EHUk informazioa eskaintzen du informazioaren galtzea saihetsi ahal izateko metodo ohikoenen, baimenik gabeko sarbideen eta abarren inguruan. Horren ondorioz:

• Erabat debekatuta dago pasahitzak eta posta-kontuak beste erabiltzaile batzuekin partekatzea.
• Pasahitz sendoak erabili behar dira, EHUren pasahitzak sortzeko eta erabiltzeko arautegian xedatutakoarekin bat etorrita.

EHUko azken erabiltzaileen eta unibertsitateak azaldutako zerbitzuaren babestearren eta Interneterako sarbidea behar bezala funtzionatzen dela eta arautegi hori betetzen dela bermatuko bada, EHUk eskura leudekeen eta hartu beharreko neurri teknikoak hartuko ditu komunikazioen osotasuna, erabilgarritasuna eta konfidentzialtasuna ziurtatzeko. Besteak beste, badira elementuak EHUren sarearen eta Interneten artean trafikoa etengabe kudeatu, kontrolatu eta monitorizatzeko, bai eta sareko suebakiak, sareko antibirusak, eraso banatua detektatzeko sistemak (DDoSen aurkakoa), intrusioak prebenitzeko sistemak (IPS) eta beste ere.

EHUk, helburu bereko segurtasun sistemen bidez, erabili ahal izango ditu elementu horiek erregistratutako datuak, sareak, sistemek eta zerbitzuek behar bezala funtzionatzen dutela jarraitu eta kontrolatzeko, bai eta sarean dagoen informazioa babesteko ere.

Erregistro horiek Datu Pertsonalak Babesteko eta Eskubide Digitalak Bermatzeko abenduaren 5eko 3/2018 Lege Organikoaren 87. artikuluan ezarritako bermeen arabera erabiliko dira.

EHUko erabiltzaile guztiek erantzukizuna dute zein bere eginkizunen garapenari eragiten dioten arauak ezagutzeko, bai eta ez-betetzeak izan ditzakeen ondorioen berri izatekoa ere.

4.1 Erabiltzaileen erantzukizunak

• Interneterako sarbidea duten erabiltzaile guztiak oro dira Interneterako sarbidearen eta norberak egindako erabileraren arduraduna.
• Datu korporatiboen sarera konektatzen diren erabiltzaileek konpromisoa hartzen dute EHUk emandako ordenagailu korporatiboen konfigurazioa errespetatzeko, EHUko zerbitzu informatikoek instalatutako programak besterik erabiliko ez dutelarik.
• Unibertsitate komunitateko erabiltzaileek zerbitzua, sarea eta beste hornitzen dituzten erakundeek ezarritako irizpideetara egokitu beharko dute, kanpo baliabideak erabiltzerakoan. EHUko baliabideak erabiltzen direnean beste sare batzuetara sartzeko, uneoro bete beharko dira sare horietarako ezarritako arauak.

4.2 EHUren erantzukizunak

• Internetera behar bezala sartzeko behar diren baliabide teknologikoak edukitzea eta mantentzea.
• Zaintzea erabiltzaileek Interneteko zerbitzuak arautegi instituzionalaren arabera eta indarrean dauden arauak errespetatuz erabil ditzaten.
• Internet gaizki erabiltzeagatik ezarri beharreko zehapenak ezartzea.
• EHUk onartutako etika kodean oinarrituta desegokitzat iritzitako guneetarako sarbidea mugatzea.

Arautegi hau ez betetzeak, hala balegokio, egindako arau haustearen ondoriozko diziplina erantzukizuna lekarke, aplikatu beharreko arautegian aurreikusitako arau hausteen, zehapenen eta prozeduraren araubideari jarraiki. Aurrekoari kalterik egin gabe, unibertsitateak, xede horretarako izapidetutako prozeduraren ondoren, eskatuko du ez betetze horren ondorioz ondasunetan eta eskubideetan eragindako kalte-galerak ordain daitezen, administrazio publikoen zerbitzuko agintari eta langileen ondare erantzukizuna arautzen duten xedapenekin bat etorriz.

EHUko Segurtasun Batzordeari dagokio segurtasun arautegi hau kudeatzea eta eskumena du honako hauek egiteko:

• Arauak aplikatzerakoan sortutako zalantzak interpretatzea.
• Arautegia berrikustea, edukia eguneratzeko beharrezkoa denean edo berrikusteko ezarritako gehieneko epeak betetzean.
• Eraginkortasuna egiaztatzea.

Berrikusteko beharra gomendatuko luketen inguruabarrak egonez gero, segurtasun arautegi hau berrikusiko da eta, aldaketarik egonez gero, EHUko Segurtasun Batzordeak onartu beharko du.

Berrikuspena bideratuko da informazioaren segurtasunaren kudeaketa hobetzeko aukerak identifikatzera, bai eta lege esparruan, azpiegitura teknologikoan, antolaketa orokorrean eta abarretan izandako aldaketetara egokitzera ere.

Informazioaren Segurtasuneko arduraduna izango da onartutako dokumentu honen bertsioa zaindu eta zabaltzeko erantzukizuna.

Barnekoak:

• Informazioaren Segurtasun Politika, Gobernu Kontseiluak 2013ko martxoaren 21ean onartutakoa 

Kanpokoak:

• Segurtasun Eskema Nazionala arautzen duen 311/2022 Errege Dekretua, maiatzaren 3koa