Anuncio

BOLETÍN Nº 194 - 1 de octubre de 2019

1. Comunidad Foral de Navarra

1.7. Otros

RESOLUCIÓN 1816/2019, de 10 de septiembre, del Rector de la Universidad Pública de Navarra, por la que se ordena publicar el “Acuerdo por el que se modifica la Política de Seguridad de la Información de la Universidad Pública de Navarra” adoptado por acuerdo del Consejo de Gobierno de 10 de septiembre de 2019.

En uso de las competencias que me han sido conferidas por el artículo 40 de los Estatutos de la Universidad aprobados por Decreto Foral 110/2003 de 12 de mayo, se ordena la publicación del acuerdo del Consejo de Gobierno de 10 de septiembre de 2019 por el que se aprueba el “Acuerdo por el que se modifica la modifica la Política de Seguridad de la Información de la Universidad Pública de Navarra”.

“Acuerdo de Consejo de Gobierno que modifica la Política de Seguridad de la Información.

El Consejo de Gobierno de la Universidad Pública de Navarra, en sesión de 31 de enero de 2019, acordó la aprobación de la Política de Seguridad de la Información de la UPNA. Esta Política define los roles representados en el Comité de Seguridad de la Información.

La versión inicial de esta política atribuía el rol de Responsable del Servicio al Gerente de la Universidad. No obstante, la Universidad dispone actualmente de un vicerrectorado con competencia específica en el sector de desarrollo digital.

Por consiguiente, procede modificar la Política de Seguridad de la Información a fin de atribuir el rol de Responsable del Servicio a la Vicerrectora de Desarrollo Digital o persona titular del vicerrectorado con competencias en la materia.

El Consejo de Gobierno, en sesión de 10 de septiembre de 2019, adopta el presente

ACUERDO:

Primero.–Modificar la Política de Seguridad de la Información de la UPNA, atribuyendo el rol de Responsable de Servicio a la Vicerrectora de Desarrollo Digital o persona titular del vicerrectorado con competencias en la materia.

Segundo.–Establecer la redacción del primer rol enunciado por el punto 6.2 de la Política de Seguridad de la Información del siguiente modo: “Responsable del Servicio: Vicerrectora de Desarrollo Digital o persona titular del vicerrectorado con competencias en la materia”.

Tercero.–Adjuntar como anexo el texto consolidado de la Política de Seguridad de la Información, que mantiene la vigencia de la versión preexistente salvo en lo relativo a la modificación aprobada en el presente acuerdo.

Cuarto.–Ordenar la publicación de este acuerdo y su anexo en la página web de la Universidad y en el Boletín Oficial de Navarra.”

Pamplona, 10 de septiembre de 2019.–El Rector, Ramón Gonzalo García.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1.–Introducción.

La Universidad Pública de Navarra, en adelante UPNA, es una institución pública de educación superior, un bien cultural, con rasgos singulares y alto grado de compromiso social que, mediante la mejora continua de la docencia, investigación, transmisión de la cultura y transferencia del conocimiento, tiene por finalidad contribuir al progreso de la sociedad y al desarrollo sostenible de su entorno.

La UPNA depende de los sistemas de Tecnologías de Información y Comunicaciones, en adelante TIC, para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad, o trazabilidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la disponibilidad, integridad, confidencialidad, autenticidad, trazabilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que se deben aplicar las medidas de seguridad exigidas por el Esquema Nacional de Seguridad, en adelante ENS, y la Ley Orgánica de Protección de Datos vigente, en adelante LOPD, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

La UPNA debe cerciorarse de que la seguridad de la información es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

La UPNA debe estar preparada para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con ENS y la Ley Orgánica de Protección de Datos vigente.

Esta Política de Seguridad sigue las indicaciones de la guía CCN-STIC-805 (septiembre de 2011) del Centro Criptológico Nacional, centro adscrito al Centro Nacional de Inteligencia.

1.1. Prevención.

La UPNA debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello implementará las medidas mínimas de seguridad determinadas por el ENS y la LOPD, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos.

Estos controles, y los roles y responsabilidades de seguridad de todo el personal, van a estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los Servicios Universitarios deben:

• Autorizar los sistemas antes de entrar en operación.

• Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.

• Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

1.2. Detección.

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, es preciso monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el artículo 9 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables, tanto regularmente, como cuando se produzca una desviación significativa de los parámetros que se haya preestablecido como normales.

1.3. Respuesta.

La UPNA:

• Establecerá mecanismos para responder eficazmente a los incidentes de seguridad.

• Designará un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros Servicios Universitarios o en otros organismos.

• Establecerá protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (Computer Emergency Response Team, CERT).

1.4. Recuperación.

Para garantizar la disponibilidad de los servicios críticos, los Servicios Universitarios de la UPNA desarrollarán planes de contingencia de los sistemas TIC como parte de su plan general de continuidad del servicio y actividades de recuperación.

2.–Objetivo.

La UPNA define la presente Política de Seguridad de la Información, de carácter obligatorio para toda la comunidad universitaria y empresas colaboradoras, teniendo como objetivo fundamental garantizar la seguridad de la información y la prestación continuada de los servicios que proporciona, actuando preventivamente, supervisando la actividad y reaccionando con presteza frente a los incidentes que puedan ocurrir.

Esta Política debe sentar las bases para que el acceso, uso, custodia y salvaguarda de los activos de información, de los que se sirve a la UPNA para desarrollar sus funciones, se realicen, bajo garantías de seguridad, en sus distintas dimensiones:

• Disponibilidad: propiedad o característica de los activos consistentes en que las entidades o procesos autorizados tengan acceso a los mismos cuando lo requieran.

• Integridad: propiedad o característica consistente en que el activo de información no sea alterado de manera no autorizada.

• Confidencialidad: propiedad o característica consistente en que la información ni se ponga a disposición, ni se revele a individuos, entidades o procesos no autorizados.

• Autenticidad: propiedad o característica consistente en que una entidad sea quien dice ser o bien que garantice la fuente de la que proceden los datos.

• Trazabilidad: propiedad o característica consistente en que las actuaciones de una entidad puedan ser imputadas exclusivamente a dicha entidad.

Bajo estas premisas los objetivos específicos de la Seguridad de la Información en la UPNA serán:

• Velar por la seguridad de la información, en las distintas dimensiones antes descritas.

• Gestionar formalmente la seguridad, sobre la base de procesos de análisis de riesgos.

• Elaborar, mantener y probar los planes de contingencias y continuidad de la actividad que se definan para los distintos servicios ofrecidos por la UPNA.

• Realizar una adecuada gestión de las incidencias que afecten a la seguridad de la información.

• Mantener informado a todo el personal acerca de los requerimientos de seguridad, y difundir buenas prácticas para el manejo seguro de la información.

• Proporcionar los niveles de seguridad acordados con terceras partes cuando se compartan o cedan activos de información.

• Cumplir con la reglamentación y normativa vigente, particularmente en los sectores de seguridad de la información y protección de datos.

3.–Alcance.

La Política de Seguridad, siguiendo el principio de la seguridad integral recogido en el Esquema Nacional de Seguridad, será de aplicación a todos los sistemas, servicios, información, infraestructuras, instalaciones y demás recursos TIC vinculados a la UPNA. Se entenderá por recursos TIC vinculados a la UPNA, aquéllos cuyo ámbito de gestión derive de un contrato, convenio, encomienda u otra relación formalmente identificable en la que la UPNA sea parte. Igualmente, será de aplicación a los miembros de su organización, sin excepciones, tanto a sus empleados como a sus alumnos, así como a entidades y profesionales contratados bajo cualquier modalidad, cuando en el ejercicio de sus funciones tengan acceso a los sistemas y a la información, incluida la cedida dentro de un marco legal establecido.

Quedarán fuera del alcance de esta política aquellos ordenadores o dispositivos personales financiados a título individual, no inventariados a nombre de la Universidad, así como las acciones sobre ellos o riesgos de seguridad de tales elementos. No obstante, en el caso de que se acceda a la red o información corporativa mediante dichos ordenadores o dispositivos personales, quedarán sujetos a las obligaciones establecidas en la presente Política de Seguridad de la Información y a las normas e instrucciones de desarrollo.

4.–Declaración de la Política de Seguridad de la Información.

El propósito de esta Política de la Seguridad de la Información es proteger la información y los servicios de la UPNA.

• En la UPNA se reconocerá expresamente la importancia de la información, así como la necesidad de su protección, por constituir un activo estratégico y vital, hasta el punto de poder llegar a poner en peligro la continuidad de la Institución, o al menos suponer daños muy importantes, si se produjera una pérdida total e irreversible de determinados datos.

• La UPNA implementará, mantendrá y realizará un seguimiento del ENS y de la Ley Orgánica de Protección de Datos, y cumpliendo con todos los requisitos legales aplicables. Para ello la Comunidad Universitaria atenderá las recomendaciones del Comité de Seguridad de la Información en esa materia y del Delegado de Protección de Datos en ese ámbito.

• La información y los servicios estarán protegidos contra pérdidas de disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad.

• La Política de Seguridad implica una labor proactiva de prevención de infracciones en materia de seguridad de la información y protección de datos. No obstante, su eventual comisión requerirá una pronta detección, correcta calificación, restauración de la legalidad infringida y restitución de situación anterior, en la medida de lo posible.

• Se cumplirán los requisitos del servicio de acuerdo con el ENS respecto a la seguridad de la información y los sistemas de información.

• Las medidas de seguridad serán proporcionales a la criticidad de los activos a proteger y a su clasificación.

• La responsabilidad de la seguridad de la información involucrada en la prestación de los servicios electrónicos incluidos en el alcance del ENS será de los responsables de la información y el servicio, que pondrán los medios adecuados, sin perjuicio de que cada miembro de la comunidad universitaria asuma su parte de responsabilidad respecto a los medios que utiliza, según lo indicado en estas normas y en los procedimientos complementarios.

• El Responsable de la Información deberá promover el establecimiento de los controles y medidas destinadas a proteger los datos que la integran, especialmente los de carácter personal o críticos.

• Se establecerá dentro de la Normativa de Seguridad de la Información de la UPNA un sistema de clasificación de la información, con diferentes niveles.

• Se establecerán los medios necesarios y adecuados para la protección de personas, datos, programas, equipos, instalaciones, documentación y otros soportes que contengan información, y, en general, cualquier activo de la UPNA.

• En caso de contratos sometidos a la legislación de contratos públicos, los pliegos deberán contener cláusulas en materias de seguridad y protección de datos.

• Deberán realizarse periódicamente evaluaciones de riesgos y, en función de las debilidades, determinar si es necesario elaborar planes de implantación o reforzamiento de controles.

• Se fomentará la difusión de información y formación en seguridad la totalidad de la comunidad universitaria y colaboradores, previniendo la comisión de errores, omisiones, fraudes o delitos, y tratando de detectar su posible existencia lo antes posible, y en caso de que existieren, procurándose una difusión muy restringida de las indagaciones.

• El personal de la UPNA deberá conocer las normas, reglas, estándares y procedimientos relacionados con su puesto de trabajo, así como sus funciones y obligaciones, además de la separación de funciones y la revisión independiente de los registros, cuando sea necesario, de quién ha hecho qué, cuándo y desde dónde.

• Las incidencias de seguridad serán comunicadas y tratadas apropiadamente según establezca la Normativa de Seguridad de la Información de la UPNA.

5.–Marco normativo.

La Política de Seguridad de la Información se elabora en cumplimiento de las siguientes exigencias legales:

• Real Decreto 3/2010, de 8 de enero, por el que se regula el ENS en el ámbito de la administración electrónica. Boletín Oficial del Estado de 29 de enero de 2010, modificado por el Real Decreto 951/2015, de 23 de octubre.

• Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

• Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y el Real Decreto 1720/2007, de 21 de diciembre, que desarrollaba la derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal así como la normas legales y reglamentarias que sustituyan las citadas.

• Reglamento (UE) 2016/679 Del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos.

• Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.

• Normativa del Parlamento Europeo y Consejo en vigor sobre la privacidad y las comunicaciones electrónicas.

• La Política de Protección de Datos de la UPNA.

Las referencias a la normativa se corresponden con la existente al tiempo de aprobarse la presente Política de Seguridad de la Información.

6.–Organización de la Seguridad.

6.1. Comité: Funciones y Responsabilidades.

El Comité de Seguridad de la Información coordina la seguridad de la información en la UPNA.

El Comité de Seguridad de la Información reportará al Rector y estará formado por:

• Responsable del Servicio.

• Responsable de la Información.

• Responsable de Seguridad.

• Responsable del Sistema.

• Delegado de protección de datos.

El Comité de Seguridad de la Información recabará la información técnica necesaria para el desempeño de sus funciones.

El Secretario del Comité de Seguridad de la Información será el Responsable de Seguridad y tendrá como funciones:

1.–Convocar las reuniones del Comité de Seguridad de la Información.

2.–Preparar los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.

3.–Elaborar el acta de las reuniones.

4.–Ser el responsable de la ejecución directa o delegada de las decisiones del Comité.

5.–Invitar de forma consultiva a las reuniones a cualquier persona que el Comité considere conveniente para el desarrollo de sus funciones.

El Comité de Seguridad de la Información tendrá las siguientes funciones:

1.–Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información.

2.–Elaborar la estrategia de evolución de la UPNA en lo que respecta a seguridad de la información.

3.–Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos sean consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.

4.–Elaborar, y revisar regularmente, la Política y normativas de Seguridad de la información para que sea aprobada por el Consejo de Gobierno.

5.–Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.

6.–Vigilar los principales riesgos residuales asumidos por la UPNA y recomendar posibles actuaciones respecto de ellos.

7.–Supervisar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones al respecto. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.

8.–Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.

9.–Aprobar planes de mejora de la seguridad de la información de la UPNA En particular, velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.

10.–Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.

11.–Velar por que la seguridad de la información se tenga en cuenta en todos los proyectos, desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales, que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas.

12.–Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

13.–Informar regularmente del estado de la seguridad de la información al Rector de la UPNA.

14.–Elaborar y aprobar los procedimientos y la documentación concernientes a la seguridad del Sistema.

15.–Aprobar las medidas específicas de seguridad del Sistema.

6.2. Roles: Funciones y Responsabilidades.

A efectos de velar por la seguridad de la información en la UPNA, se definen las siguientes figuras:

• Responsable del Servicio: Vicerrectora de Desarrollo Digital o persona titular del vicerrectorado con competencias en la materia.

• Responsable de la Información: Secretario General.

• Responsable de Seguridad: Rector o la persona en quien delegue.

• Responsable del Sistema: Director del Servicio Informático.

• Administradores de la Seguridad del Sistema: Designados por el Comité de Seguridad de la Información.

• Delegado de Protección de datos: persona que ocupe el puesto correspondiente en la Relación de Puestos de Trabajo de la UPNA.

Las responsabilidades anteriores vendrán determinadas por el desempeño de los cargos o destinos, estatutarios o no, a los que se atribuyen. En caso de ausencia, vacante o impedimento, el Rector designará provisionalmente la persona que desempeñará dicha tarea.

Las funciones y responsabilidades se detallan a continuación:

Responsable del Servicio.

1.–Establecer los requisitos del servicio en materia de seguridad, incluyendo los requisitos de interoperabilidad, accesibilidad y disponibilidad.

2.–Determinar los niveles de seguridad de los servicios.

3.–Aprobar formalmente el nivel de seguridad del servicio.

Responsable de la Información.

1.–Velar por el buen uso de la información y, por tanto, de su protección.

2.–Es el responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad. Tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.

3.–Establecer los requisitos de la información en materia de seguridad.

4.–Determinar los niveles de seguridad de la información.

5.–Aprobar formalmente el nivel de seguridad de la información.

Responsable de Seguridad.

1.–Mantener el nivel adecuado de seguridad de la información manejada y de los servicios prestados por los sistemas.

2.–Realizar el análisis y gestión de riesgos en el Sistema.

3.–Realizar o promover las auditorías periódicas a las que obliga el ENS para verificar el cumplimiento de los requisitos del mismo.

4.–Promover y gestionar la formación y concienciación en materia de seguridad de la información.

5.–Comprobar que las medidas de seguridad existentes son las adecuadas para las necesidades de la entidad.

6.–Supervisar el estado de las medidas específicas de seguridad del Sistema aprobadas por el comité.

7.–Revisar, completar y aprobar toda la documentación relacionada con la seguridad del sistema.

8.–Supervisar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema.

9.–Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución, emitiendo informes periódicos sobre los más relevantes al Comité.

Responsable del Sistema.

1.–Gestionar la seguridad del Sistema de Información durante todo su ciclo de vida, desde la especificación e instalación, hasta el seguimiento de su funcionamiento.

2.–Implantar las medidas específicas de seguridad del Sistema.

3.–Establecer planes de contingencia y emergencia, llevando a cabo ejercicios para que el personal se familiarice con ellos.

4.–Solicitar la suspensión del manejo de cierta información o de la prestación de un cierto servicio a los responsables respectivos, cuando se detecten deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos.

Administradores de la Seguridad del Sistema.

1.–Implementar, gestionar y mantener las medidas de seguridad aplicables al Sistema de Información.

2.–Gestionar, configurar y actualizar, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del Sistema de Información.

3.–Gestionar las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo el desarrollo de la actividad conforme a lo autorizado.

4.–Asegurar la aplicación de los procedimientos y medidas de seguridad aprobados para manejar el sistema de información.

5.–Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que, en todo momento, se ajustan a las autorizaciones pertinentes.

6.–Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.

7.–Informar a los Responsables de la Seguridad y del Sistema de cualquier anomalía, disfunción, compromiso o vulnerabilidad relacionada con la seguridad.

8.–Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.

Delegado de Protección de Datos.

Las funciones y responsabilidades serán aquellas que disponga la Política de Protección de Datos de la UPNA.

6.3. Resolución de conflictos.

De acuerdo con el Principio de Jerarquía que rige en las administraciones públicas españolas, en caso de conflicto entre los diferentes responsables y/o entre diferentes servicios de la entidad, éste será resuelto por el superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Comité de Seguridad de la Información, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

6.4. Marco normativo en materia de seguridad de la información.

La UPNA establece un marco normativo en materia de seguridad de la información estructurado por diferentes niveles de forma que los objetivos marcados por el presente documento tengan un desarrollo específico:

• Primer nivel: la Política de Seguridad de la Información y las normativas generales.

• Segundo nivel: las instrucciones y directrices de seguridad de la información. Conjunto de documentos que sirven para indicar cómo se debe actuar en caso de que una cierta circunstancia no esté recogida en un procedimiento explícito.

• Tercer nivel: los procedimientos de seguridad de la información. Conjunto de documentos que describen explícitamente y paso a paso cómo realizar una cierta actividad.

• Cuarto nivel: documentación de buenas prácticas, recomendaciones, guías, cursos de formación, presentaciones, etc.

La Política de Seguridad de la Información y las normativas generales serán aprobadas por el Consejo de Gobierno de la UPNA. Las instrucciones y directrices técnicas de seguridad de la información formadas por el segundo, tercer y cuarto nivel serán aprobadas por el Comité de Seguridad de la Información.

Las instrucciones y directrices de seguridad de la información, aprobadas por el Comité de Seguridad de la Información, deberán adoptarse por resolución del Rector, Gerente, Secretario General o Vicerrector competente, cuyo incumplimiento dará lugar a la correspondiente responsabilidad disciplinaria.

6.5. Política de Seguridad de la Información.

Será misión del Comité de Seguridad de la Información la revisión periódica de esta Política de Seguridad de la Información y la propuesta de modificación o mantenimiento de la misma. La Política será aprobada por el Consejo de Gobierno y se le dará amplia difusión.

6.5.1. Datos de Carácter Personal.

La legislación vigente en materia de protección de datos, trata de garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar, y resulta de aplicación a los datos de carácter personal registrados tanto informáticamente como en soporte papel.

Todos los sistemas de información de la UPNA se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Documento de Seguridad.

Para garantizar dicha protección, se adoptarán las medidas de seguridad exigidas por la reglamentación vigente.

La Comunidad Universitaria y cualquier entidad o persona que interactúe con la UPNA, debe cumplir los deberes de secreto, confidencialidad y otros previstos en la normativa de protección de datos. Su incumplimiento podrá dar lugar a la imposición de medidas correctoras, disciplinarias u otras legales por parte de la UPNA.

6.5.2. Gestión de Riesgos.

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

• Regularmente, al menos una vez al año.

• Cuando cambie la información manejada.

• Cuando cambien los servicios prestados.

• Cuando ocurra un incidente grave de seguridad.

• Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

6.5.3. Desarrollo de la política de seguridad de la información.

La presente Política se desarrollará en la Normativa de Seguridad de la Información en la UPNA. Esta normativa debe regular, entre otros aspectos, los usos aceptables, la seguridad física y del entorno, el control de accesos, así como las obligaciones del personal y terceros.

7.–Obligaciones del personal.

Todos los miembros de la UPNA tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de la UPNA recibirán formación en seguridad de la información. Se establecerá un programa de concienciación continua para atender a todos los miembros de la comunidad universitaria, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.

8.–Terceras partes.

Cuando la UPNA preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando la UPNA utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

La obligación de comunicar la política de seguridad a terceras partes recae en los responsables de las unidades gestoras de contratos públicos, unidades proponentes de convenios o unidades promotoras de cualquier otro tipo de colaboraciones que afecten a la seguridad de la información.

9.–Aprobación y Entrada en Vigor.

Texto aprobado el día por el Consejo de Gobierno en sesión de 31 de enero de 2019.

Esta Política de Seguridad de la Información es efectiva desde la fecha de su publicación en el Boletín Oficial de Navarra y hasta que sea reemplazada por una nueva Política.

10.–Referencias en términos de género.

Las referencias contenidas en el presente documento se entenderán hechas sin distinción de género.

Código del anuncio: F1911893