Anuncio

BOLETÍN Nº 94 - 16 de mayo de 2019

1. Comunidad Foral de Navarra

1.7. Otros

RESOLUCIÓN 752/2019, de 7 de mayo, del Rector de la Universidad Pública de Navarra, por la que se ordena publicar el “Acuerdo de Consejo de Gobierno por el que se aprueba la Normativa de Seguridad de la Información de la Universidad Pública de Navarra” adoptado por acuerdo del Consejo de Gobierno de 7 de mayo de 2019.

En uso de las competencias que me han sido conferidas por el artículo 40 de los Estatutos de la Universidad aprobados por Decreto Foral 110/2003 de 12 de mayo, se ordena la publicación del acuerdo del Consejo de Gobierno de 7 de mayo de 2019 por el que se aprueba la Normativa de Seguridad de la Información de la Universidad Pública de Navarra.

“Acuerdo del Consejo de Gobierno que aprueba la Normativa de Seguridad de la Información.

El Reglamento General de Protección de Datos (UE) así como el Real Decreto 3/2010, de 8 de enero, sobre el Esquema Nacional de Seguridad exige que las universidades públicas aprueben Política y Normativa de Seguridad de la Información.

Por ello, se somete ahora al Consejo de Gobierno la aprobación de una Normativa de Seguridad de la Información que facilite a la UPNA la implementación de la Política ya aprobada por este mismo órgano en sesión de 31 de enero de 2019.

El Consejo de Gobierno de la Universidad Pública de Navarra, en sesión celebrada el día 7 de mayo de 2019, adopta, a propuesta del Rector, el siguiente

ACUERDO

Primero.–Aprobar la Normativa de Seguridad de la Información de la UPNA, que consta como anexo al presente acuerdo.

Segundo.–Ordenar la publicación de este acuerdo y su anexo en tablón de anuncios electrónico de la Universidad y en el Boletín Oficial de Navarra.

Tercero.–Frente al presente Acuerdo podrá interponerse recurso contencioso administrativo en el plazo de dos meses contados a partir del día siguiente a su publicación en el Boletín Oficial de Navarra, conforme a las disposiciones establecidas en la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.”

Pamplona, 7 de mayo de 2019.–El Rector, Alfonso Carlosena.

NORMATIVA DE SEGURIDAD
DE LA UNIVERSIDAD PÚBLICA DE NAVARRA

La Política de Seguridad de la Información de la Universidad Pública de Navarra (UPNA), aprobada por el Consejo de Gobierno en su sesión del 31 de enero de 2019, establece en su epígrafe 6.5.3, que dicha política se desarrollará a través de la Normativa de Seguridad de la Información.

Tanto la Política de Seguridad de la Información de la Universidad Pública de Navarra, como la normativa que se recoge en este documento, persiguen la creación de las condiciones adecuadas de uso de los medios y recursos que la universidad provee a los miembros de la comunidad universitaria, de modo que se garanticen la calidad y seguridad de la información y la prestación continuada de los servicios propios de la institución. Debe entenderse que la salvaguarda de la seguridad de la información, de los sistemas y de las comunicaciones, es una tarea conjunta de toda la comunidad universitaria y de cualquier personal externo vinculado a la Universidad Pública de Navarra.

Esta normativa, tiene como objetivo proteger los activos de la información y garantizar que la información de la Universidad Pública de Navarra se custodia y se maneja de manera adecuada, eficaz y segura. Esto implica la adopción de las medidas organizativas y normas que se recogen en este documento.

La seguridad de la información se articula en torno a los principios de autenticidad, confidencialidad, disponibilidad, integridad y trazabilidad. La información gestionada por la UPNA debe ser obtenida, procesada y custodiada exclusivamente por el personal autorizado a tal efecto. La calidad, origen e integridad de la información deberá ser garantizada durante todo el ciclo de vida de la misma.

1.–Objeto de la norma.

La presente normativa se dicta para regular un uso adecuado, eficaz y seguro de los sistemas de información de la Universidad Pública de Navarra, facilitando a todos los usuarios del sistema de información unas normas básicas en la materia que garanticen la calidad y seguridad de la información de la Universidad.

2.–Usuarios de los sistemas de información.

Se consideran usuarios de los sistemas de información de la UPNA, no sólo a los miembros de la comunidad universitaria: estudiantes, personal de administración y servicios y personal docente e investigador, sino a todas aquellas personas que tengan acceso o utilicen los sistemas de información de la UPNA.

3.–Seguridad en la utilización de los recursos informáticos.

La UPNA facilitará a los usuarios de los sistemas de información los equipos informáticos, dispositivos electrónicos, aplicaciones y datos que precisen para el desarrollo de las funciones profesionales que tengan asignadas.

Los Responsables de Servicio y de la Información definirán las necesidades de acceso a la información para cada usuario.

Sólo se facilitará el acceso a la información necesaria para el trabajo a desarrollar.

Los administradores de los sistemas son responsables de proporcionar a los usuarios el acceso a los recursos informáticos, así como el acceso lógico especializado de los recursos.

Cada usuario debe estar asociado a un perfil, conforme a sus tareas en la organización, definido por su responsable directo. Cada perfil dispondrá de permisos determinados y su acceso quedará restringido a la información que precise.

3.1.–Finalidad pública.

Los recursos informáticos, equipos, dispositivos, programas, redes, correo electrónico y la información que la Universidad pone a disposición de los usuarios son instrumentos públicos destinados al cumplimiento de los fines institucionales de la Universidad. El uso que ha de hacerse de ellos debe ser acorde con su finalidad, lícito, legítimo y conforme a la diligencia debida exigible a todo usuario.

Se prohíbe el uso particular de los recursos informáticos, especialmente todo aquello que comprometa la eficiencia y seguridad del sistema de información o que, por su naturaleza o intensidad de uso, resulte incompatible con los fines de la Universidad o con el cumplimiento de las funciones profesionales y rendimiento debido de su personal o estudiantes.

3.2.–Utilización segura y acorde con su finalidad pública.

Los usuarios de los recursos informáticos de la Universidad tienen las siguientes obligaciones:

a) Facilitar al personal del Servicio Informático el acceso a sus equipos para las labores de instalación, reparación o mantenimiento. Se informará al usuario conforme al procedimiento implementado.

b) Conocer que la UPNA inventarían y monitorizan los sistemas de información y la propia información por razones legales, de mantenimiento y seguridad.

c) Evitar comportamientos de riesgo que puedan permitir el acceso y difusión de malware en los equipos.

d) Hacer un uso eficiente de los recursos informáticos puestos a disposición de los usuarios.

3.3.–Administración e instalación de software.

La instalación, administración y mantenimiento del equipamiento corporativo de usuario está asignada al Servicio Informático y se realizará por personal especialista responsable de estas tareas.

No está permitida la instalación de otro software sin autorización.

La descarga o instalación de software con propiedad intelectual de un tercero, estará sometida a las condiciones expresadas en el Contrato de licencia para el usuario final de cada producto. El incumplimiento de estas condiciones es responsabilidad del usuario.

Los administradores de los sistemas del Servicio Informático instalarán las herramientas informáticas para la protección de los sistemas contra virus, gusanos, troyanos u otras amenazas y los usuarios deberán seguir las directrices para proteger los equipos, aplicaciones e información con los que trabajen.

3.4.–Dispositivos corporativos de uso individual.

Los dispositivos corporativos de uso individual (ordenadores, portátiles, tablets, teléfonos móviles, etc.) son equipamiento informático vulnerable desde el punto de vista de la seguridad de la información que contienen, por lo que se adoptarán las medidas siguientes:

a) Vigilarlos adecuadamente para evitar su sustracción.

b) Evitar almacenar en ellos información restringida y confidencial, así como datos de carácter personal, y eliminar periódicamente los datos innecesarios.

c) Tener actualizado y protegido este equipamiento siguiendo las instrucciones del Servicio Informático.

d) Bloquear el equipo con contraseña tras un período de inactividad.

e) Los datos de carácter personal especialmente sensibles o la información confidencial deberán estar cifrados, y los dispositivos desde los que se accedan deberán emplear mecanismos capaces de crear un registro por cada fichero extraído del sistema por cualquier medio.

La utilización de dispositivos de titularidad del usuario no excluye la aplicación de la presente normativa siempre que en ellos se haga cualquier tratamiento de información de la UPNA. En este caso, la implementación de las correspondientes medidas de seguridad quedará a cargo del usuario, sin perjuicio de las condiciones que la UPNA pueda exigir.

3.5.–Usos específicamente prohibidos de los sistemas de información.

Salvo autorización previa y expresa, las actuaciones siguientes están prohibidas:

a) Almacenar y transmitir información restringida o confidencial desatendiendo la necesaria cautela.

b) Almacenar información privada, de cualquier naturaleza, en los recursos de carácter compartido o local de la Universidad.

c) El uso intensivo de recursos de proceso, memoria, almacenamiento o comunicaciones, para usos no profesionales.

d) Facilitar a terceros no autorizados el acceso a los recursos, servicios informáticos o a la información de la Universidad.

e) Alterar cualquier componente físico o lógico o la configuración de los equipos.

f) Instalar o utilizar programas sin licencia de uso o que vulneren la legislación vigente en materia de Propiedad Intelectual.

g) Utilizar cualquier tipo de software dañino.

h) Introducir virus o malware intencionadamente, por negligencia o uso inadecuado de los recursos y del sistema.

i) Utilizar programas que, por su naturaleza, hagan un uso abusivo de la red.

j) Utilizar los recursos de comunicación de la Universidad de manera ilícita, ilegal o para un fin distinto del autorizado.

k) No respetar los términos establecidos en las correspondientes licencias de uso de programas y aplicaciones informáticas.

4.–Uso de las comunicaciones.

4.1.–Procedimientos y responsabilidad.

La UPNA controlará el acceso a los servicios en redes internas y externas y asegurará que los usuarios no ponen en riesgo los servicios. Para tal fin se utilizarán interfaces adecuadas entre la red de la UPNA y otras redes, mecanismos de autenticación para usuarios y equipos, así como accesos individualizados para cada usuario del sistema.

Se establecerán medidas de autorización y control de acceso para evitar el uso malicioso de la red de la UPNA.

Todos los empleados autorizados para el tratamiento de información automatizada estarán registrados como usuarios del sistema. Su acceso al sistema de información será mediante nombre de usuario único e intransferible y contraseña personal, que caducará periódicamente.

Los procedimientos de operación sobre sistemas de información estarán debidamente documentados para asegurar la corrección de las operaciones. Asimismo, serán revisados y modificados cuando haya cambios significativos en los equipos o software que así lo requieran.

Se establecerán áreas lógicamente separadas para evitar accesos no autorizados.

4.2.–Usos prohibidos de las comunicaciones.

Las siguientes actuaciones están prohibidas:

a) Utilizar los recursos de manera ilícita o ilegal; en particular difundir contenidos contrarios a los derechos fundamentales y libertades públicas.

b) Suplantar la identidad de un usuario de internet, correo electrónico o cualquier otra herramienta colaborativa.

c) Descargar programas informáticos o ficheros con contenido dañino que supongan una fuente de riesgos para la organización.

d) Utilizar aplicaciones o herramientas que hagan un uso intensivo de las comunicaciones para la descarga masiva de archivos, programas u otro tipo de contenido, salvo para uso profesional.

e) Realizar actividades que pongan en peligro la integridad o seguridad de la Información disponible en la red.

f) Intentar obtener claves, permisos o algoritmos de cifrado distintos a los asignados, así como revelar identificadores o contraseñas, o permitir que sea difundida información que facilite el acceso no autorizado a cualquier sistema de la Universidad.

g) Usar herramientas para averiguar información para la que no se tiene permiso de acceso.

h) Conectar equipos a la red de comunicaciones de la Universidad sin autorización previa del Servicio Informático.

i) Otras actuaciones contrarias a la legislación vigente en materia de seguridad que pueda producir daños en el sistema informático de la red de comunicaciones de la Universidad.

5.–Uso del correo electrónico.

Los diferentes usos del correo electrónico y otros sistemas de comunicación electrónica, serán objeto de ordenación a través de la pertinente instrucción administrativa.

La UPNA facilitará una cuenta de correo electrónico a los miembros de la Comunidad Universitaria para el desempeño de las funciones que tienen encomendadas, o para el desarrollo de su actividad académica.

El uso aceptable de correo electrónico exige su utilización eficiente y adecuada a los fines académicos y profesionales.

5.1.–Uso no aceptable del correo electrónico.

En el correo electrónico, no se consideran aceptables las siguientes actuaciones:

a) Remisiones indeseadas de datos personales o de información, sin permiso del emisor original.

b) Envíos superfluos con mensajes de tamaño y volumen innecesario, incluyendo imágenes, firmas, fondos...

c) Envíos de ficheros voluminosos prescindibles.

5.2.–Uso prohibido del correo electrónico.

Las siguientes actuaciones están prohibidas:

a) Transmitir o almacenar cualquier material ilegal, difamatorio, discriminatorio, programas informáticos sin licencia, material que vulnere derechos de propiedad intelectual, mensajes en cadena o cualquier otro tipo de contenidos que puedan perjudicar a los usuarios o a la UPNA.

b) Distribuir o facilitar la distribución de mensajes no deseados, spam, y participar en cadenas de mensajes electrónicos.

c) Responder a mensajes en que se soliciten las claves de acceso.

d) Acceder a un buzón de correo electrónico distinto del propio.

e) Difundir la cuenta de correo del usuario en listas de distribución, foros, servicios de noticias, etc., que no sean consecuencia de la actividad profesional o educativa del usuario.

f) El uso indiscriminado o personal de las listas de distribución.

6.–Uso de la información.

6.1.–Clasificación de la información atendiendo a su sensibilidad.

La información de la Universidad Pública de Navarra está clasificada en tres categorías dependiendo de su grado de confidencialidad. Todo usuario ha de ser consciente de esta clasificación:

a) Información no clasificada. Esta información puede ser compartida sin restricciones y tiene carácter público.

b) Información restringida. Esta información es siempre para uso interno y puede ser compartida entre el personal competente en su tratamiento. Además, la información restringida puede ser catalogada como de difusión limitada. En otros casos, puede ser compartida también con terceros interesados vinculados con algún tipo de contrato.

c) Información confidencial. Esta información ha de ser compartida únicamente entre el personal que, en virtud de sus funciones, ha de ser conocedor de la materia.

Corresponde al Responsable de la Información la clasificación de la información contenida en los Sistemas de Información de la UPNA.

Como principio general, la información será clasificada como Restringida. En aquellos supuestos en los que sea necesaria una reclasificación de algún tipo de información o documento a fin de cumplir las funciones propias del servicio, ésta será decidida por el correspondiente Jefe de Servicio teniendo en cuenta las directrices fijadas por el Comité de Seguridad.

6.2.–Uso aceptable de la información.

Las normas de uso son:

a) La información contenida en los Sistemas de Información de la UPNA, o que circule por sus redes de comunicaciones, debe ser utilizada para el cumplimiento de las funciones profesionales del usuario.

b) Los usuarios sólo podrán acceder a la información restringida o confidencial para la que posean autorización explícita, manteniendo absoluta reserva sobre la misma.

c) Se evitará almacenar información restringida o confidencial en medios desatendidos (tales como CDs, DVDs, memorias USB, listados, etc.), en herramientas o plataformas de tipo cloud no autorizadas a tal efecto o dejar visible tal información en la pantalla del ordenador. Los documentos en papel que contengan este tipo de información deben custodiarse bajo llave.

d) Los usuarios deberán almacenar sus ficheros de trabajo en las carpetas de red que le hayan sido asignadas, que son sobre las que se realizan copias de seguridad de manera centralizada y automatizada. La copia de seguridad de la información almacenada de forma local en el puesto del usuario deberá ser realizada por el propio usuario.

e) Sólo deberá salvaguardarse la información que se considere estrictamente necesaria, haciendo un uso razonable de la capacidad de almacenamiento disponible.

f) Cuando se utilicen equipos de manipulación de documentos (impresoras, escáneres, etc.) se retirarán inmediatamente de los equipos los documentos en papel, tanto los originales como sus copias.

g) Cualquier tratamiento en los Sistemas de Información deberá ser conforme con la normativa vigente, especialmente con la protección de datos de carácter personal, según lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

h) En el caso de que deba enviarse fuera de la UPNA información restringida o confidencial, se cifrará o se utilizará cualquier otro mecanismo que garantice que la información no será inteligible durante su remisión o transporte.

i) En la destrucción o reutilización de soportes de información, se aplicarán las medidas de seguridad apropiadas para evitar el acceso por terceros a la información que hubieran contenido.

6.3.–Usos específicamente prohibidos de la información.

Salvo autorización previa y expresa, las siguientes actuaciones están explícitamente prohibidas:

a) Acceder a información restringida o confidencial.

b) Comunicar, divulgar, distribuir o poner en conocimiento o al alcance de terceros (externos o internos no autorizados) información restringida o confidencial.

c) Extraer información restringida o confidencial fuera de la organización por cualquier medio, correo electrónico, dispositivos móviles (portátiles, teléfonos) o soportes tales como memorias USB, CDs, DVDs, herramientas o plataformas de tipo cloud, etc., salvo en la medida que las funciones del usuario lo requieran.

d) Usar la información para intereses particulares.

e) Almacenar información privada, de cualquier naturaleza, en los recursos de almacenamiento compartido o local.

f) La destrucción o modificación no autorizada de la información, de manera premeditada.

g) La violación de la intimidad, del secreto de las comunicaciones y del derecho a la protección de los datos personales.

h) Efectuar cualquier tratamiento con la información suministrada por la UPNA o recibida de terceros, para finalidades distintas del cumplimiento de la función encomendada.

i) Cualquier otro uso de la información contrario a las pautas definidas por la UPNA.

7.–Control de acceso.

Todo usuario dispondrá de unas credenciales, usuario y contraseña, que serán personales e intransferibles, con los que se realizará el inicio de sesión y el acceso a los sistemas de información a los que esté autorizado. Es responsabilidad del usuario custodiar las credenciales que se le proporcionen y seguir todas las recomendaciones de seguridad para garantizar que aquellas no puedan ser utilizadas por terceros. En caso de detectar que sus credenciales pueden estar siendo usadas por otra persona, deberá poner este hecho inmediatamente en conocimiento del Servicio Informático.

7.1.–Acceso físico a las instalaciones.

7.1.1.–Áreas públicas.

El acceso a las áreas públicas no está restringido. En estas áreas no se ubicarán equipos o información restringida o confidencial a los que puedan acceder terceros sin autorización.

En áreas en las que se lleven a cabo tareas de atención a usuarios, no se mantendrán documentos sobre las mesas y en las pantallas, que no deban ser visibles por terceros sin autorización. Debe mantenerse especial precaución en zonas en las que se trate información restringida o confidencial y, en los casos en los que se manejen datos de carácter personal, observar las medidas de seguridad aplicables.

7.1.2.–Áreas restringidas.

Para el acceso a las áreas restringidas se necesitará autorización previa.

En el caso de que visitantes o personal no autorizado deba acceder a las instalaciones o a la información, deberán estar siempre acompañados por un miembro responsable y autorizado de la UPNA, que controlará en todo momento que la seguridad de los recursos esté garantizada.

7.2.–Acceso a los sistemas de información.

Cada sistema cuenta con un mecanismo de control de acceso. Para entrar, siempre será necesario autenticarse ante el sistema con las claves de acceso que se le proporcionen al usuario para ello.

Los usuarios tienen las siguientes obligaciones respecto a la gestión y utilización de sus claves de acceso:

a) Custodiarlas diligentemente velando por preservar la confidencialidad de las mismas, por lo que no se anotarán en soportes accesibles a otros usuarios.

b) Deberán cerrar su cuenta al terminar la sesión o bloquear el equipo cuando lo dejen desatendido.

c) Las claves de acceso se crearán y utilizarán de acuerdo con las instrucciones establecidas por el Comité de Seguridad.

8.–Datos de carácter personal. Deber de secreto.

La información de la Universidad que comprenda datos de carácter personal está protegida por la legislación vigente en la materia (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales), además de por la regulación aprobada por la UPNA.

Todo usuario que, en virtud de su actividad profesional o académica, pudiera tener acceso a datos de carácter personal, está obligado a guardar secreto sobre los mismos, deber que se mantendrá de manera indefinida, incluso una vez concluida la relación laboral, profesional o académica con la UPNA.

9.–Incidencias de seguridad.

Cuando un usuario detecte cualquier anomalía o incidencia de seguridad que pueda comprometer el buen uso y funcionamiento de las instalaciones o los sistemas de Información de la UPNA, o cualquier posible infracción de la presente normativa, deberá informar inmediatamente a su responsable o al Responsable de Seguridad, para que se adopten las medidas oportunas.

A través de instrucciones se regularán los procedimientos oportunos para asegurar una respuesta rápida, eficaz y ordenada a las incidencias en materia de seguridad.

10.–Obligaciones de la comunidad universitaria.

Todos los miembros de la Comunidad Universitaria tienen la obligación de conocer y cumplir la Política y la Normativa de Seguridad de la Información, correspondiendo al Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de la Comunidad Universitaria atenderán a una sesión de concienciación en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos sus miembros, particularmente a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

11.–Obligaciones de terceros.

Cuando la UPNA se vincule con otras personas o entidades por una relación de servicios, se les hará partícipes de la Política y Normativa de Seguridad de la Información, se establecerán canales de comunicación y coordinación de los respectivos Comités o Responsables de Seguridad y se establecerán procedimientos de actuación para reacción ante incidentes de seguridad.

Cuando la UPNA utilice o ceda información a terceros o trate información procedente de terceros, se les hará partícipes de la Política y Normativa de Seguridad. Los terceros quedarán sujetos a las obligaciones establecidas en la normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de comunicación y resolución de incidencias. Deberá garantizarse que los terceros estén concienciados en la materia, al menos al mismo nivel que el definido por esta normativa.

Si algún aspecto de la Política o Normativa no pudiere ser satisfecho por terceros, se requerirá la aprobación del Comité de Seguridad antes de continuar con las operaciones previstas.

La obligación de comunicar la política y normativa de seguridad a terceras partes recae en los responsables de las unidades gestoras de contratos públicos, proponentes de convenios o promotoras de otras colaboraciones que afecten a la seguridad de la información.

12.–Incumplimiento de la normativa.

En los supuestos de incumplimiento de la presente normativa, se advertirá del hecho al infractor. En caso de que el usuario no responda o ignore la advertencia, el Comité de Seguridad de la Información de la UPNA podrá promover la adopción de las medidas de suspensión cautelar de los servicios prestados y/o bloqueo de sistemas.

En los supuestos de incumplimiento de la presente normativa que puedan suponer un perjuicio inminente para los sistemas y recursos de la Universidad, el Responsable del Sistema, en el ejercicio de sus funciones, podrá proceder a la suspensión cautelar del servicio prestado y o al bloqueo temporal de sistemas, cuentas o accesos a la red de forma preventiva, con el fin de garantizar el buen funcionamiento de los servicios de la UPNA.

Todo ello sin perjuicio de iniciar las acciones disciplinarias, administrativas, civiles y penales que en su caso correspondan, en relación con las personas presuntamente implicadas en dicho incumplimiento.

La Universidad pondrá en conocimiento de la autoridad judicial y las Fuerzas y Cuerpos de Seguridad del Estado aquellas infracciones que pueden ser constitutivas de delito.

La Universidad se reserva el derecho a iniciar las acciones legales oportunas en aquellos supuestos de conductas tipificadas en el Código Penal o en la legislación de Protección de Datos de Carácter Personal así como en conductas tipificadas en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Disposición adicional primera.–Instrucciones y directrices de seguridad.

El Comité de Seguridad de la Información, en orden a la más eficaz aplicación de esta normativa, podrá proponer la aprobación de cuantas instrucciones y directrices de seguridad considere para la mejor organización y establecimiento de criterios técnicos de actuación sobre las cuestiones reguladas en la misma.

Aprobadas dichas instrucciones por el órgano a quien corresponda, en función de su respectiva competencia, serán objeto de publicación y difusión entre los responsables de las unidades a quienes se dirijan que las difundirán, a su vez, entre el personal de las mismas.

Entrada en vigor.

La presente normativa entrará en vigor al día siguiente de su aprobación por el Consejo de Gobierno de la UPNA.

Código del anuncio: F1906430