La política de seguretat de la informació s’elabora en compliment de les exigències legals previstes a les disposicions normatives següents: per una banda, el Reial decret 3/2010, de 8 de gener, pel qual es regula l’Esquema nacional de seguretat (ENS) en l’àmbit de l’administració electrònica, que a l'article 11 estableix l’obligació per a les administracions públiques de disposar d’una política de seguretat i indica els requisits mínims que ha de complir; i, per altra banda, el Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD).

La Universitat de les Illes Balears (UIB) fa ús dels sistemes TIC (tecnologies de la informació i la comunicació) per assolir els seus objectius institucionals. Per aquest motiu, aquests sistemes han de ser administrats amb diligència, prenent les mesures adequades per protegir-los davant danys accidentals o deliberats que puguin afectar la disponibilitat, integritat, autenticitat, traçabilitat o confidencialitat de la informació tractada o dels serveis prestats.

Els sistemes TIC han d’estar protegits davant amenaces de ràpida evolució i amb potencial per incidir en la confidencialitat, autenticitat, integritat, disponibilitat i traçabilitat i l’ús previst i el valor de la informació i dels serveis. Per defensar-se d’aquestes amenaces, es requereix una estratègia que s’adapti als canvis en les condicions de l’entorn per garantir la prestació contínua dels serveis.

Això implica que la UIB i el seu personal han d’aplicar les mesures mínimes de seguretat exigides per l’ENS i la LOPD, així com realitzar un seguiment continu dels nivells de prestació de serveis, seguir i analitzar les vulnerabilitats reportades i preparar una resposta efectiva als incidents per garantir la continuïtat dels serveis prestats.

Per tant, la UIB s’ha de cerciorar que la seguretat de la informació és una part integral de cada etapa del cicle de vida del sistema, des de la seva concepció fins a la seva retirada del servei, passant per les decisions de desenvolupament o adquisició i les activitats d’explotació.

Així mateix, els requisits de seguretat i les necessitats de finançament han de ser identificats i inclosos en la planificació, en la sol·licitud d’ofertes i en plecs de licitació per a projectes de TIC.

En definitiva, la UIB ha d’estar preparada par prevenir i detectar incidents, per reaccionar-hi i per recuperar-se’n, d’acord amb l’article 7 de l’ENS.

Finalment, cal dir que l’objectiu de la seguretat de la informació és garantir la qualitat de la informació i la prestació continuada dels serveis, actuant preventivament, supervisant l’activitat diària i reaccionant amb promptitud davant els incidents.

En vista del que s’ha dit anteriorment i fent ús de les competències que li atribueix l’article 24.2.40 dels Estatuts d'aquesta universitat, el Consell de Govern, a la sessió del dia d'avui, ha aprovat la política de seguretat de la informació en els termes que s’indiquen tot seguit:

Article 1. Prevenció

1. La UIB ha d’evitar, o almenys prevenir en la mesura que sigui possible, que la informació o els serveis es vegin perjudicats per incidents de seguretat. Per això implementarà les mesures mínimes de seguretat determinades per l’ENS i la LOPD, així com qualsevol control addicional identificat mitjançant una avaluació d’amenaces i riscs.
2. Els controls indicats a l’apartat anterior i els rols i responsabilitats de seguretat de tot el personal han de quedar clarament definits i documentats.
3. Per garantir el compliment de la política de seguretat, la UIB ha de prendre les mesures de prevenció següents:
   1. Autoritzar els sistemes abans d’entrar en operació.
   2. Avaluar regularment la seguretat, incloses avaluacions dels canvis de configuració realitzats de forma rutinària.
   3. Sol·licitar la revisió periòdica per part de tercers amb la finalitat d’obtenir una avaluació independent.

Article 2. Detecció

1. Atès que els sistemes es poden degradar ràpidament a causa d’incidents, que van des d’una simple desacceleració fins a la detenció, els serveis han de monitorar l’operació de manera contínua per detectar anomalies en els nivells de prestació corresponents i actuar en conseqüència, segons el que estableix l’article 9 de l’ENS. El monitoratge és especialment rellevant quan s’estableixen línies de defensa d’acord amb l’article 8 de l’ENS.
2. S’establiran mecanismes de detecció, anàlisi i informe, que arribaran als responsables regularment quan es produeixi una desviació significativa dels paràmetres que s’hagin preestablert com a normals.
   

Article 3. Resposta

La UIB ha de realitzar una sèrie d’accions de resposta. Són les següents:

1. Establir mecanismes per respondre eficaçment als incidents de seguretat.
2. Designar un punt de contacte per a les comunicacions respecte a incidents detectats en altres àrees de l’organització (departaments, unitats, serveis) o en altres organismes.
3. Establir protocols per a l’intercanvi d’informació relacionada amb l’incident. Això inclou comunicacions, en ambdós sentits, amb els Equips de Resposta a Emergències (CERT) reconeguts en l’àmbit nacional: Iris-CERT, CCN-CERT, etc.

Article 4. Recuperació

Per garantir la disponibilitat dels serveis crítics, la UIB ha de desenvolupar plans de contingència dels sistemes TIC com a part del seu pla general de continuïtat del servei i activitats de recuperació.

Article 5. Principis bàsics

1. Aquesta política de seguretat es revisarà regularment de manera que s’adapti a les noves circumstàncies, tècniques o organitzatives, i eviti l’obsolescència, l’aprovarà formalment el Consell de Govern i es comunicarà a tots els empleats i a les empreses externes que treballin amb la UIB.
2. El responsable de seguretat de la informació serà l’encarregat de mantenir aquesta política i els procediments i de proporcionar suport en la seva implementació. Per part seva, el responsable de sistema serà l’encarregat d’implementar aquesta política i els procediments corresponents.
3. Cada empleat és responsable de complir aquesta política i els seus procediments segons s’apliqui al seu lloc de treball.
4. La UIB ha d’implementar, mantenir i realitzar un seguiment del compliment de l’ENS.

Article 6. Objectius i garanties de seguretat

1. La UIB defineix la present política de seguretat de la informació de caràcter obligatori per a tota la comunitat universitària i les empreses col·laboradores, la qual té com a objectiu fonamental garantir la seguretat de la informació i la prestació continuada dels serveis que proporciona, actuant preventivament, supervisant l’activitat i reaccionant amb promptitud davant els incidents que puguin ocórrer.
2. Aquesta política ha d’assentar les bases perquè l’accés, ús, custòdia i salvaguarda dels actius d’informació, dels quals se serveix la UIB per desenvolupar les seves funcions, es realitzin, sota garanties de seguretat, en les seves distintes dimensions:
   1. Integritat: propietat o característica consistent en el fet que l’actiu d’informació no sigui alterat de manera no autoritzada.
   2. Disponibilitat: propietat o característica dels actius consistent en el fet que les entitats o els processos autoritzats hi tinguin accés quan sigui requerit.
   3. Confidencialitat: propietat o característica consistent en el fet que la informació ni estigui disponible ni es reveli per a individus, entitats o processos no autoritzats.
   4. Traçabilitat: propietat o característica consistent en el fet que les actuacions d’una entitat puguin ser imputades exclusivament a la mateixa entitat.
   5. Autenticitat: propietat o característica consistent en el fet que una entitat sigui qui diu que és o bé que garanteixi la font de la qual procedeixen les dades.
3. Sota les premisses indicades a l’apartat anterior, els objectius específics de la seguretat de la informació a la UIB són:
   1. Vetllar per la seguretat de la informació en les distintes dimensions descrites i establir els procediments per complir amb aquesta política.
   2. Assegurar que es compleixen els requisits legals aplicables.
   3. Gestionar formalment la seguretat, basant-se en processos d’anàlisi de riscs.
   4. Elaborar, mantenir i provar els plans de contingències i continuïtat de l’activitat que es defineixen per als distints serveis oferts per la UIB.
   5. Realitzar una adequada comunicació i gestió d’incidències que afectin la seguretat de la informació.
   6. Mantenir informat tot el personal sobre els requisits de seguretat, i difondre les pràctiques en el maneig de la informació.
   7. Proporcionar els nivells de seguretat acordats amb terceres parts quan es comparteixin o cedeixin actius d’informació.
   8. Complir amb la reglamentació i normativa vigent.

Article 7. Abast

1. La política de seguretat s’aplica a tota la comunitat universitària i als seus actius d’informació, i específicament sobre tots aquells sistemes que estiguin relacionats amb l’exercici de drets per mitjans electrònics, amb el compliment de deures per mitjans electrònics o amb l’accés a la informació o al procediment administratiu.          
2. De manera concreta, la política de seguretat és aplicable a:
   1. Rectorat, Gerència, centres, departaments, instituts i serveis del campus, tant als seus directius com a funcionaris i personal laboral, i també a entitats i professionals contractats sota altres modalitats quan als seus contractes així s’especifiqui.
   2. Bases de dades, fitxers electrònics i en suport paper, tractaments, equips, suports, programes i sistemes.
   3. Informació generada, processada i emmagatzemada, independentment del seu suport i format, utilitzada en tasques operatives o administratives.
   4. Informació cedida dins un marc legal establert, que serà considerada com a pròpia a efectes exclusius de la seva protecció.
   5. Tots els sistemes utilitzats per administrar i gestionar la informació, siguin propis de la UIB o llogats o llicències.

Article 8. Organització de la seguretat

L’organització de la seguretat de la informació a la UIB es planteja de manera que les funcions atorgades al Comitè de Gestió de l’ENS pel Reial decret 3/2010, de 8 de gener, les assumeix un comitè de seguretat informàtica i de protecció de dades, d’ara endavant, Comitè de Seguretat.

Article 9. Composició del Comitè de Seguretat

1. El Comitè de Seguretat és format per:
   1. El responsable de la informació, persona que té la potestat d’establir els requisits de la informació en matèria de seguretat. És nomenat pel Consell de Direcció de la UIB.
   2. El responsable dels serveis, persona que té la potestat d’establir els requisits dels serveis en matèria de seguretat. En aquest cas concret, la Gerent.
   3. El responsable de seguretat, que determinarà les decisions per satisfer els requisits de seguretat de la informació i dels serveis. El càrrec recau en la directora del Centre de Tecnologies de la Informació (CTI@UIB).
   4. El responsable del sistema, persona que s’encarrega de l’explotació del sistema d’informació. En aquest cas concret, el cap d’àrea d’Infraestructura del CTI @UIB.
   5. El responsable de seguretat en matèria de protecció de dades.
   6. Altres membres: el Secretari General, el vicerector responsable de les TIC i el cap de l’Assessoria Jurídica.
2. El secretari del Comitè de Seguretat és el responsable dels serveis i té com a tasques:
   1. Convocar les reunions del Comitè de Seguretat.
   2. Preparar els temes a tractar en les reunions del Comitè i aportar informació puntual per a la presa de decisions.
   3. Elaborar l’acta de les reunions.
   4. Ser responsable de l’execució directa o delegada de les decisions del Comitè.

Article 10. Funcions i responsabilitats del Comitè de Seguretat

El Comitè de Seguretat té les funcions i responsabilitats següents:

1. Informar regularment de l’estat de la seguretat de la informació el Consell de Govern.
2. Promoure la millora contínua del sistema de gestió de la seguretat de la informació.
3. Elaborar l’estratègia d’evolució de la UIB quant a seguretat de la informació.
4. Coordinar els esforços de les diferents àrees en matèria de seguretat de la informació, per assegurar que els esforços són consistents, alineats amb l’estratègia decidida en la matèria, i evitar duplicitats.
5. Elaborar (i revisar regularment) la política de seguretat de la informació perquè sigui aprovada pel Consell de Govern.
6. Aprovar la normativa de seguretat de la informació de la UIB.
7. Elaborar i aprovar els requisits de formació i qualificació dels administradors, operadors i usuaris des del punt de vista de seguretat de la informació.
8. Monitorar els principals riscs residuals assumits per la UIB i recomanar possibles actuacions respecte a aquests.
9. Monitorar l’acompliment dels processos de gestió d’incidents de seguretat i recomanar possibles actuacions en aquest sentit. En particular, vetllar per la coordinació de les diferents àrees de seguretat en la gestió d’incidents de seguretat de la informació.
10. Promoure la realització de les auditories periòdiques que permetin verificar el compliment de les obligacions de l’organisme en matèria de seguretat.
11. Aprovar plans de millora de la seguretat de la informació de la UIB. En particular, vetllar per la coordinació de diferents plans que puguin realitzar-se en diferents àrees.
12. Prioritzar les actuacions en matèria de seguretat quan els recursos siguin limitats.
13. Vetllar perquè la seguretat de la informació es tingui en compte en tots els projectes TIC des de la seva especificació inicial fins a la posada en operació. En particular, s’ha de vetllar per la creació i utilització de serveis horitzontals que redueixin duplicitats i ajudin a un funcionament homogeni de tots els sistemes TIC.
14. Resoldre els conflictes de responsabilitat que puguin aparèixer entre els diferents responsables i elevar aquells casos en els quals no tingui suficient autoritat per decidir.
    

Article 11. Rols: funcions i responsabilitats

1. El responsable de la informació té com a funcions:
   1. Establir els requisits de la informació en matèria de seguretat.
   2. Vetllar pel bon ús de la informació i, per tant, de la seva protecció.
   3. Determinar els nivells de seguretat de la informació.
   4. Aprovar formalment el nivell de seguretat de la informació.
2. Les funcions del responsable dels serveis són:
   1. Establir els requisits dels serveis TIC en matèria de seguretat.
   2. Establir els requisits dels serveis en matèria de seguretat, inclosos els requisits d’interoperabilitat, accessibilitat i disponibilitat.
   3. Determinar i aprovar formalment els nivells de seguretat dels serveis.
   4. Gestionar el sistema d’informació durant tot el seu cicle de vida, des de l’especificació i instal·lació fins al seguiment del seu funcionament.
   5. Definir els criteris d’ús i els serveis disponibles en el sistema.
   6. Definir les polítiques d’accés d’usuaris al sistema.
   7. Aprovar els canvis que afecten la seguretat del mode d’operació del sistema.
   8. Determinar la configuració autoritzada de hardware i software a utilitzar en el sistema i aprovar les modificacions importants d’aquesta configuració.
   9. Realitzar l’anàlisi i gestió de riscs en el sistema.
   10. Elaborar i aprovar la documentació de seguretat del sistema.
   11. Determinar la categoria del sistema segons el procediment descrit a l’annex I de l’ENS i determinar les mesures de seguretat que s’han d’aplicar segons es descriu a l’annex II de l’ENS.
   12. Implantar i controlar les mesures específiques de seguretat del sistema.
   13. Establir plans de contingència i emergència, duent a terme exercicis freqüents perquè el personal s’hi familiaritzi.
   14. Suspendre el maneig de determinada informació o la prestació d’un determinat servei si detecta deficiències greus de seguretat que puguin afectar la satisfacció dels requisits establerts.
3. El responsable de seguretat té com a funcions:
   
   1. Mantenir el nivell adequat de seguretat de la informació manejada i dels serveis prestats pels sistemes.
   2. Realitzar o promoure les auditories periòdiques a les quals obliga l’ENS per verificar el compliment dels requisits d’aquest.
   3. Gestionar la formació i conscienciació en matèria de seguretat TIC.
   4. Comprovar que les mesures de seguretat existents són les adequades per a les necessitats de l’entitat.
   5. Revisar, completar i aprovar tota la documentació relacionada amb la seguretat del sistema.
   6. Monitorar l’estat de seguretat del sistema proporcionat per les eines de gestió d’esdeveniments de seguretat i mecanismes d’auditoria implementats en el sistema.
   7. Donar suport a la investigació dels incidents de seguretat i supervisar-la, des de la notificació fins a la resolució, i emetre informes periòdics sobre els incidents més rellevants al Comitè.
4. El responsable del sistema té encomanades les funcions següents:
   1. Implementar, gestionar i mantenir les mesures de seguretat aplicables al sistema d’informació.
   2. Gestionar, configurar i actualitzar, si escau, el hardware i el software en els quals es basen els mecanismes i serveis de seguretat del sistema d’informació.
   3. Gestionar les autoritzacions concedides als usuaris del sistema, en particular els privilegis concedits, inclòs el monitoratge del fet que l’activitat desenvolupada en el sistema s’ajusta a allò que s’ha autoritzat.
   4. Aplicar els procediments operatius de seguretat.
   5. Aprovar els canvis en la configuració vigent del sistema d’informació.
   6. Assegurar que els controls de seguretat establerts es compleixen estrictament.
   7. Assegurar que s’apliquen els procediments aprovats per al maneig del sistema d’informació.
   8. Supervisar les instal·lacions de hardware i software i les seves modificacions i millores per assegurar que la seguretat no està compromesa i que en tot moment s’ajusten a les autoritzacions pertinents.
   9. Monitorar l’estat de seguretat del sistema proporcionat per les eines de gestió d’esdeveniments de seguretat i mecanismes d’auditoria tècnica que hi hagi implementats.
   10. Informar de qualsevol anomalia, compromís o vulnerabilitat relacionat amb la seguretat.
   11. Col·laborar en la investigació i resolució d’incidents de seguretat, des de la detecció fins a la resolució.
5. El responsable de seguretat en matèria de protecció de dades ha de vetllar pel compliment de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, i pel Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (BOE de 19 de gener de 2008).

Article 12. Dades de caràcter personal

1. La LOPD tracta de garantir i protegir, pel que fa al tractament de les dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i especialment el seu honor, intimitat i privacitat personal i familiar, i resulta aplicable a les dades de caràcter personal registrades tant informàticament com en paper.
2. El document de seguretat que regula la normativa de protecció de dades, «Document de seguretat dels fitxers de dades personals de la UIB», es pot trobar a https://seu.uib.cat/LOPD/. Aquest document recull els fitxers afectats i els responsables corresponents.
3. Tots els sistemes d’informació de la UIB s’han d’ajustar als nivells de seguretat requerits per la normativa per a la naturalesa i finalitat de les dades de caràcter personal recollides al document de seguretat esmentat. Per tal de garantir aquesta protecció, s’han adoptat les mesures de seguretat que es corresponen amb les exigències previstes al Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la LOPD.
4. Tot usuari intern o extern que, en virtut de la seva activitat professional, pugui tenir accés a dades de caràcter personal, està obligat a guardar secret sobre aquestes dades, deure que es mantindrà de manera indefinida, fins i tot més enllà de la relació laboral o professional amb la UIB.

Article 13. Gestió de riscs

1. Tots els sistemes subjectes a aquesta política han de ser objecte d’una anàlisi de riscs i avaluació de les amenaces i els riscs als quals estan exposats.
2. Aquesta anàlisi es repetirà regularment, almenys una vegada a l’any, quan canviï la informació manejada, quan canviïn els serveis prestats, quan ocorri un incident greu de seguretat o quan es detectin vulnerabilitats greus.
3. Per a l’harmonització de l’anàlisi de riscs, el Comitè de Seguretat establirà una valoració de referència per als diferents tipus d’informació emprats i els diferents serveis prestats. Així mateix, el Comitè de Seguretat dinamitzarà la disponibilitat de recursos per atendre les necessitats de seguretat dels diferents sistemes i promourà inversions de caràcter horitzontal.

Article 14. Obligacions del personal

1. Tots els membres de la UIB tenen l’obligació de conèixer i complir aquesta política de seguretat de la informació, i és responsabilitat del Comitè de Seguretat de disposar dels mitjans necessaris perquè la informació arribi als afectats.
2. El personal amb responsabilitat en l’ús, operació o administració de sistemes TIC rebrà formació per al maneig segur dels sistemes en la mesura que la necessiti per realitzar la seva feina. Amb aquesta finalitat es promourà la conscienciació en matèria de seguretat mitjançant programes de formació entre tots els membres de la UIB i es posarà especial atenció en els de nova incorporació, tant si és la primera assignació com si es tracta d’un canvi de lloc de treball o de responsabilitats.
3. L’incompliment de la present política pot comportar l’inici de les mesures disciplinàries que escaiguin, sens perjudici de les responsabilitats legals corresponents.

Article 15. Terceres parts

1. Quan la UIB presti serveis a altres organismes o empri informació d’altres organismes, hom els farà partícips d’aquesta política de seguretat de la informació. Per això, s’establiran canals per a informe i coordinació dels respectius comitès de seguretat de l’ENS i s’establiran procediments d’actuació per a la reacció davant incidents de seguretat.
2. Quan la UIB empri serveis de tercers o cedeixi informació a tercers, hom els farà partícips d’aquesta política de seguretat i de la normativa de seguretat que pertoqui a aquests serveis o informació. Aquesta tercera part quedarà subjecta a les obligacions establertes en aquesta normativa i podrà desenvolupar els seus propis procediments operatius per satisfer-la. S’establiran procediments específics per informar de les incidències i resoldre-les. Es garantirà que el personal de tercers està adequadament conscienciat en matèria de seguretat, almenys al mateix nivell que el que s’estableix en aquesta política.
3. Quan algun aspecte de la política de seguretat no pugui ser satisfet per una tercera part segons els requisits dels apartats anteriors, es requerirà un informe del responsable de seguretat que indiqui els riscs en què s’incorre i la forma de tractar-los. Es requerirà l’aprovació d’aquest informe pels responsables de la informació i els serveis afectats abans de seguir endavant.

Article 16. Revisió de la política de seguretat de la informació

El Comitè de Seguretat ha de revisar anualment aquesta política de seguretat de la informació i la seva proposta de revisió o manteniment, la qual serà aprovada pel Consell de Govern i difosa perquè la coneguin totes les parts afectades.

DISPOSICIÓ ADDICIONAL

Única. Denominacions

Totes les denominacions d’òrgans de govern, representació, càrrecs, funcions i membres de la comunitat universitària, com qualssevol que en aquest acord apareguin en gènere masculí o femení, s’han d’entendre referides indistintament al gènere masculí o femení, segons el sexe del titular de qui es tracti.

DISPOSICIONS FINALS

Primera. Efectes

Aquesta política de seguretat de la informació és efectiva des de la data d’aprovació per part del Consell de Govern i fins que sigui reemplaçada per una nova política.

Segona. Entrada en vigor

Aquesta normativa entrarà en vigor l’endemà de publicar-se al Full Oficial de la Universitat de les Illes Balears.

Ho faig publicar perquè se'n prengui coneixement i tingui els efectes que corresponguin.

Palma, 20 de desembre de 2016
El Rector,
Llorenç Huguet