Universidad Nacional de Educación a Distancia

Acceso a la portada del web UNED

Seguridad de la información y datos en la Universidad | UNED.

   

Seguridad de la información

La Universidad Nacional de Educación a Distancia (UNED) es una institución de derecho público, dotada de personalidad jurídica y de plena autonomía en el desarrollo de sus funciones, sin más limitaciones que las establecidas en las leyes.

Desde su creación, la implantación de las Tecnologías de la Información y de las Comunicaciones (TIC) ha supuesto un gran avance en la calidad del servicio público de la educación superior que se presta.

El documento fundamental para abordar la normativa de seguridad de la UNED, es su Política de Seguridad de la Información, que establece los principios y directrices a tener en cuenta en su posterior desarrollo normativo y define la estructura organizativa de la seguridad de la información.

La Política de Seguridad de la Información se elabora en cumplimiento de la exigencia del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica, que en su artículo 11 establece la obligación de las Administraciones Públicas de disponer de una Política de Seguridad e indica los requisitos mínimos que debe cumplir, que será aprobada por el titular del órgano superior correspondiente.

Así mismo, la ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público preceptúa en su artículo 3, apartado 2 , lo siguiente:

“Las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados”.

En virtud de lo expuesto, de conformidad con lo establecido, es compromiso de todos los miembros de la comunidad universitaria contribuir, desde sus respectivas responsabilidades, a la mejor realización del servicio público.

Activo

Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.

Amenaza

Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

Análisis de riesgos

Utilización sistemática de  la información disponible para identificar peligros  y  estimar los riesgos.

Auditoría de la seguridad

Revisión y  examen independientes de los registros y actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar que se cumplen la política de seguridad y los procedimientos operativos establecidos, detectar las infracciones de la seguridad y recomendar modificaciones apropiadas de los controles, de la política y de los procedimientos.

Autenticidad

Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.

Categoría de un sistema

Es un nivel, dentro de la escala Básica-Media- Alta, con el que  se  adjetiva  un  sistema  a  fin de seleccionar las medidas de seguridad necesarias para el mismo. La categoría del sistema recoge  la  visión  holística del conjunto de activos como un todo armónico, orientado a la prestación de unos servicios.

Comité de seguridad de la información

Órgano colegiado que coordina las actividades de la organización en materia de seguridad de la información. En particular asume los roles de responsable de la información y responsable de los servicios.

Confidencialidad

Propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados.

Disponibilidad

Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.

Firma electrónica

Conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

Gestión de incidentes

Plan de acción para atender a los incidentes que se den. Además de  resolverlos  debe incorporar medidas de desempeño que permitan conocer la calidad del sistema  de  protección  y  detectar  tendencias antes de que se conviertan en grandes problemas.

Gestión de riesgos

Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.

Incidente de seguridad

Suceso inesperado o no  deseado con consecuencias en detrimento de la seguridad del sistema de información.

Integridad

Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.

Medidas de seguridad

Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación.

Política de firma electrónica

Conjunto de normas de seguridad, de organización, técnicas y legales para determinar cómo se generan, verifican y gestionan firmas electrónicas, incluyendo las características exigibles a los certificados de firma.

Política de seguridad

Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y  protege  la  información  y  los servicios que considera críticos.

Principios básicos de seguridad

Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios.

Proceso

Conjunto organizado de actividades que se llevan a cabo para producir a un producto o servicio;  tiene  un principio y fin delimitado, implica recursos y da lugar a un resultado.

Proceso de seguridad

Método que  se  sigue  para  alcanzar los objetivos de seguridad de la organización. El proceso se diseña para identificar, medir, gestionar y mantener bajo control los riesgos a que se enfrenta el sistema en materia de seguridad.

Requisitos mínimos de seguridad

Exigencias  necesarias para asegurar la información y los servicios.

Riesgo

Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.

Seguridad de las redes y de la información

Es la capacidad de las redes o de los sistemas  de  información  de  resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad  y  confidencialidad de los datos almacenados o transmitidos y  de  los  servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Servicios acreditados

Servicios prestados por un sistema con autorización concedida por la autoridad responsable, para tratar un tipo de información determinada, en unas condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de operación.

Sistema de gestión de la  seguridad  de  la  información (SGSI)

Sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la  información.  El  sistema  de  gestión  incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.

Sistema de información

Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar,  compartir,  distribuir, poner a disposición, presentar o transmitir.

Trazabilidad

Propiedad o característica consistente en  que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.

Vulnerabilidad

Una debilidad que puede ser  aprovechada por una amenaza.

SIGLAS Y ACRÓNIMOS

CCN: Centro Criptológico Nacional

CERT: Computer Emergency Reaction Team

INTECO: Instituto Nacional de Tecnologías de la Comunicación

STIC: Seguridad de las Tecnologías de  Información y Comunicaciones

La definición que aparece en el nuevo Reglamento Europeo General de protección de datos, sobre las violaciones de seguridad es la siguiente:

“toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.

Aunque las brechas no conlleven riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá documentar cualquier violación de la seguridad de los datos personales, así como notificarla a la AGPD, en el plazo de las 72 horas siguientes.

En caso de conocer algún incidente ocurrido, el usuario debe comunicarlo al responsable de seguridad competente que adoptará las medidas oportunas.

Los incidentes pueden afectar tanto a tratamientos automatizados como a no automatizados.

Ejemplos de incidentes comunes que pudieran afectar al tratamiento automatizado de los datos de carácter personal, son los siguientes:

  • Alteración irregular en los permisos, altas o bajas de usuarios, no autorizadas.
  • Olvido de contraseña.
  • Bloqueo de cuenta por reiteración de intentos de conexión fallidos.
  • Pérdida de datos.

Algunos ejemplos de incidentes que pueden afectar a tratamientos no automatizados de datos de carácter personal, son los siguientes:

  • Robo o pérdida de llaves de lugares o soportes en donde se almacene documentación que contenga datos de carácter personal.
  • Desaparición de documentos o soportes que contengan datos personales.

No obstante dicha relación no es taxativa y se debe comunicar cualquier incidente que afecte a la seguridad de los datos de carácter personal.