Seguridad de la información

La Universidad Pontificia de Salamanca considera la información como uno de los activos fundamentales para cumplir con su misión investigadora, docente y cultural. Por ello, estima que los sistemas de Tecnología de la Información y Comunicaciones (TIC) constituyen un elemento estratégico para la consecución de sus objetivos. 

Esta circunstancia obliga a la Universidad a implementar un modelo de gestión de la seguridad de la información que permita identificar y minimizar los riesgos frente a cualquier amenaza, o daño accidental o deliberado, poniendo en práctica las medidas preventivas y reactivas que permitan resguardar y proteger la información, cumpliendo con los requerimientos legales en la materia, de forma que se garantice la conservación, la confidencialidad, la disponibilidad y la integridad de la información, así como la seguridad de los sistemas que la soportan.

La presente Política de Seguridad será de aplicación para toda la comunidad universitaria, así como para cualquier persona, institución o entidad colaboradora que utilice los recursos y servicios TIC de la Universidad. 

Incluye tanto los recursos que pertenecen a la Universidad como cualquier activo ajeno (móvil, ordenador privado, etc..) que acceda a la red corporativa mediante conexión directa, indirecta o remota, incluyendo sus servicios Web. Estos recursos ajenos quedarán sujetos de la misma manera a las obligaciones contenidas en la presente Política de Seguridad y a toda normativa que la desarrolle.

La presente Política de seguridad se sustenta, principalmente, en las siguientes normas de ámbito europeo, estatal, autonómico e interno:

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Ley Orgánica 2/2023, de 22 de marzo, del Sistema Universitario (LOSU).
• Ley 3/2003, de 28 de marzo, de Universidades de Castilla y León.
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE).
• Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
• Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones vigentes en la materia (LPI).
• Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (ET).
• Estatutos de la Universidad Pontificia de Salamanca, aprobados por la Congregación para la Educación Católica con fecha 30 de julio de 2010.
• Todas aquellas normas, de carácter general o interno, que en la actualidad o en el futuro puedan resultar de aplicación a la Universidad en el marco de esta Política de Seguridad.

La presente Política de Seguridad, así como cualquier norma o instrucción que la desarrolle, deberá fundamentarse en los siguientes principios básicos cuyo objetivo es asegurar que toda actividad relacionada con el uso de información de la Universidad se realiza de forma segura:

1.Seguridad integral: La seguridad es un proceso integral que comprende todos los elementos humanos, técnicos, materiales y organizativos, siendo esencial que los procedimientos relacionados con ella se implementen desde el momento inicial del diseño de los sistemas, debiendo ser evaluados y autorizados previamente a su implantación y estableciendo como principio rector la seguridad por defecto.

2.Análisis y gestión de los riesgos: Los procesos analíticos y de gestión perseguirán la obtención de un entorno controlado que minimice el nivel de riesgo de los mismos mediante la implantación de medidas de seguridad apropiadas, permanentemente actualizadas y revisadas, y que procurarán encontrar un equilibrio y proporcionalidad entre la naturaleza de los datos, los tratamientos realizados, los peligros a los que estén expuestos y la eficacia y coste de las medidas de seguridad aplicadas.

3.Prevención, detección, reacción y recuperación: Será prioritario el establecimiento de medidas de prevención frente a aquellas amenazas que puedan perjudicar los sistemas, el estableciendo mecanismos de detección de incidencias y anomalías en los procesos, así como de recuperación de la información que permita la continuidad de los servicios y del uso de la información durante toda su vida útil.

4. Establecimiento de líneas de defensa: Se establecerá un plan estratégico de protección mediante el establecimiento de múltiples capas de seguridad compuestas por medidas de naturaleza organizativa, operativa, física y lógica, dispuestas de forma fragmentada para que el fallo en una de ellas no comprometa la seguridad de las demás.

5. Revisión periódica y mejora continua: La gestión de la seguridad de la información será periódicamente revisada para adecuarse en todo momento a la evolución tanto de los riesgos como de los sistemas de protección, contemplándose la elaboración de informes anuales de planificación de mejoras en los sistemas TIC.

La estructura organizativa para la gestión de la seguridad de la información estará compuesta por los siguientes órganos:

• Comité de Seguridad de la Información.
• Responsable de Seguridad de la Información.
• Delegado de Protección de Datos.

COMITÉ DE SEGURIDAD DE LA INFORMACIÓN

Está integrado por:

• Presidente: Rector/a o persona en quien delegue.
• Responsable del Servicio: Gerente de la UPSA.
• Responsable de la Información: titular de la Secretaría General de la UPSA.
• Responsable de la Seguridad de la Información y del Sistema: Director CSI,
• que actuará como Secretario.
• Delegado de Protección de Datos: Delegado/a de Protección de Datos de la UPSA.

En la actualidad, y con fecha de nombramiento de 15 de enero de 2024, las personas asociadas por cargo o delegación, a cada uno de los miembros integrantes del comité, serían:

• Presidente: Rector/a o persona en quien delegue:  Vicerrectora de Investigación y Transferencia por delegación del rector – Ana Mª Fermoso García
• Responsable del Servicio: Gerente de la UPSA: Daniel Salvador Macías
• Responsable de la Información: titular de la Secretaría General de la UPSA: Miriam Cortes Diéguez
• Responsable de la Seguridad de la Información y del Sistema: Director CSI, que actuará como Secretario: José Antonio Huerga Fernández.
• Delegado de Protección de Datos: Delegado/a de Protección de Datos de la UPSA: Laura Blanco Ágreda

Son funciones del Comité:

• Informar regularmente del estado de seguridad de la información al Rector.
• Proponer a la Junta Permanente de Gobierno el establecimiento y modificación de la Política de Seguridad de la Información.
• Aprobar la normativa y procedimientos de seguridad elaborados en desarrollo de la Política de Seguridad de la Información.
• Promover la mejora continua del sistema de gestión de seguridad de la información mediante la elaboración de la estrategia y nuevas líneas de trabajo priorizando las actuaciones en materia de seguridad.
• Revisar anualmente la Política de Seguridad.
• Interpretar la normativa de seguridad y resolver los conflictos que puedan surgir entre los distintos responsables.
• Comunicar a los órganos competentes las infracciones de la Política de Seguridad e instar, en su caso, la adopción de medidas preventivas y correctivas así como disciplinarias, cuando proceda.

Se reunirá con carácter ordinario dos veces al año y podrá recabar del personal propio o externo la información y asesoramiento pertinentes para la toma de sus decisiones.

2.- Responsable de Seguridad de la Información

El responsable de Seguridad de la Información tendrá asignadas las siguientes funciones:

• Promover la seguridad de la información manejada y de los servicios prestados por los sistemas TIC.
• Llevar a cabo el seguimiento de la Política de Seguridad de la Información de manera operativa, así como las seguridad física y lógica de los recursos TIC.
• Supervisar la investigación de los incidentes de seguridad y monitorizar el estado de seguridad del sistema.
• Determinar y proponer las medidas de seguridad a adoptar con objeto de garantizar la seguridad de los datos personales y documentar las actuaciones para demostrar el cumplimiento de la legalidad vigente.
• Coordinar y controlar las medidas de seguridad implementadas. 
• Analizar los informes de auditorías.
• Controlar los mecanismos del registro de accesos.
• Revisar la información de control del registro de accesos y elaborar un informe de las revisiones realizadas y problemas detectados.
• En relación a los accesos autorizados, delegar a un usuario autorizaciones o funciones. 
• Proponer el establecimiento de nueva normativa de seguridad o la modificación de la existente al Comité de Seguridad de la Información.

Estará auxiliado para el desarrollo de sus funciones por la totalidad del personal interno o externo que forma parte del Centro de Servicios Informáticos de la Universidad.

3.- Delegado de Protección de Datos

Le corresponden las siguientes funciones:

• Informar y asesorar a la Universidad y al Comité de Seguridad de la Información de las obligaciones de la normativa de protección de datos.
• Supervisar el cumplimiento de la normativa de protección de datos y las políticas de privacidad, incluida la asignación de responsabilidades. 
• Contribuir a la concienciación y formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes.
• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
• Cooperar con la autoridad de control y actuar como punto de contacto de la misma.

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los potenciales peligros a los que están expuestos. Este análisis se revisará de forma anual y se podrá repetir:

• cuando cambie la información manejada.
• cuando cambien los servicios prestados.
• cuando ocurra un incidente grave de seguridad.
• cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

La gestión de riesgos quedará documentada en el informe de Análisis y Gestión de Riesgos.

Todos los miembros de la comunidad universitaria tienen el derecho de conocer y la obligación de cumplir esta Política de Seguridad de la Información, así como toda normativa e instrucciones que la desarrollen. 

La Universidad se compromete a promover la concienciación y formación en esta materia, poniendo a disposición de sus responsables los medios necesarios para dichas labores, encaminadas a transmitir al personal de la Universidad el papel esencial que desempeña en el mantenimiento y mejora de la seguridad de la información.

Quienes traten información de la Universidad que no sea de acceso público están obligados a utilizar los sistemas de acceso y de identificación personales que les han sido proporcionados y a acceder únicamente a la información necesaria para el desarrollo de las labores que tienen encomendadas, respetando las medidas de seguridad implantadas por la normativa y en especial las referidas al tratamiento de uso de datos de carácter personal.