La presente normativa deberá ser complementada, en su caso y en la medida oportuna, con la aplicación de las medidas de seguridad previstas en el Anexo II del Esquema Nacional de Seguridad (en adelante, ENS) en el ámbito de la Administración Electrónica y con lo dispuesto por la legislación vigente en materia de protección de datos de carácter personal.
Además de las Normas generales aplicables a todos los servicios y recursos de la US el usuario debe conocer:
1. Normas de clasificación
La clasificación de la información que maneja la US la realizan las personas responsables de cada información y lo harán conforme al “Procedimiento de clasificación y tratamiento de la información de la US”.
La valoración de la información que maneja la US se realiza en torno a las diferentes dimensiones de la seguridad: disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad.
2. Categorías de información
2.1. Información pública
Es información que la organización pone a disposición del público dentro de su página Web, o que la organización ha hecho pública a través de medios de comunicación.
- Cualquier información que se publicite a través de los medios que la US tenga establecidos para ello, debe haber pasado por una clasificación previa que asegure que no se expone información confidencial o reservada al público en general.
- Debido a la gran diversidad de información que la US maneja y a la dificultad de clasificarla en su totalidad, inicialmente toda la información sin valoración se considerará información pública, salvo que exista regulación expresa en otro sentido.
2.2. Información restringida de nivel básico
Para el manejo de información clasificada de uso interno de nivel básico se observarán las siguientes medidas de seguridad, además de las establecidas en el punto anterior:
- Se debe respetar de forma escrupulosa la política de escritorios limpios según establece la Normativa de control de acceso físico.
- Los responsables de cada entorno en los que se ubique o trate información de este nivel de confidencialidad deben gestionar las autorizaciones de acceso a dichos entornos, revisándolas periódicamente, y monitorizando los accesos, conforme a la Normativa de control de acceso físico, al Procedimiento de gestión de usuarios y acceso lógico y al Procedimiento de gestión de autorizaciones de la US.
- La información de este nivel de confidencialidad que deba utilizarse fuera de las dependencias de la Universidad ha de ser mínima y cumplir con las medidas de seguridad establecidas en la Normativa de intercambio de información y uso de soportes, a fin de evitar pérdidas de confidencialidad de esta.
- Se deberán minimizar los cambios sobre la información publicada en entornos abiertos de acceso restringido cuando requieran la parada de un servicio y realizarlos, preferentemente, en los periodos de menor acceso a dichos entornos de acuerdo con las estadísticas de uso disponibles.
- Cualquier incidencia asociada con la indisponibilidad de la información deberá ser inmediatamente reportada al Responsable de la Información y/o Responsable del Servicio.
2.3. Información restringida de nivel alto
Para el manejo de información clasificada como confidencial o reservada se deben observar, además de las medidas de seguridad para la información de uso interno de nivel básico, las siguientes medidas adicionales:
- La información confidencial deberá ser tratada mediante plataformas de gestión de contenidos, gestión de documentos, gestión de versiones o similares, que permitan el registro automático de los cambios sufridos por la información y/o de los distintos estados por los que va pasando.
- Cuando la información confidencial deba ser compartida, no se hablará sobre ella en lugares públicos ni en zonas abiertas, ni siquiera dentro de las dependencias de la Universidad. Estas conversaciones deberán tener lugar en departamentos convenientemente cerrados y privados, con el fin de que no se produzcan escuchas de terceros.
- Durante el trabajo con información de este nivel de confidencialidad, se deberá prestar especial atención a que nadie ajeno a la misma puede ver dicha información. Por tanto, será necesario cubrir o proteger adecuadamente todos los documentos, en papel o electrónicos, con el fin de evitar “miradas indiscretas”.
- Los documentos electrónicos con información de este nivel de confidencialidad deberán estar convenientemente protegidos, de modo que sólo puedan acceder a ellos los usuarios expresamente autorizados. La información en papel deberá guardarse adecuadamente, en lugares donde como mínimo sea necesario poseer una llave o conocer una contraseña para acceder a ellos.
- Se deberá aplicar la Política de Certificación de Firma Electrónica de @FIRMA aplicada a la US para firmar la información clasificada con este nivel de confidencialidad.
- Habrá que prestar especial atención a la realización de copias de la información de este nivel de confidencialidad, que deberán ser las mínimas posibles y tener las mismas medidas de protección que los originales. Se eliminarán todas las copias de la información de este nivel de confidencialidad que no sean necesarias, especialmente las almacenadas de forma local en los equipos de los usuarios.
- Toda la información confidencial o reservada que contenga datos personales de nivel alto o información corporativa clasificada como restringida de nivel alto, se deberá cifrar tanto en su almacenamiento como en su transmisión. Para ello se utilizarán los mecanismos de cifrado dispuestos por la Universidad a tal efecto en los diferentes entornos:
- Utilización de redes privadas virtuales en comunicaciones que discurran fuera del dominio de seguridad de la US.
- Cifrado de disco en ordenadores portátiles.
- Herramientas de cifrado de archivos, carpetas y/o unidades en PCs, soportes extraíbles y servidores.
- Cifrado implementado por las propias aplicaciones que lo requieran, como el e-mail, gestor documental, páginas Web, etc.
3. Normas de tratamiento de la información
3.1. Etiquetado
- La información pública no requiere ningún tipo de marca.
- El etiquetado de la información restringida depende del tipo de soporte utilizado y se realizará conforme al “Procedimiento de clasificación y tratamiento de la información”.
3.2. Normas de acceso
- Solo los usuarios autorizados tendrán acceso a la información de uso interno. Las personas responsables de la información deberán otorgar códigos únicos de seguridad que identifiquen a los usuarios y sus contraseñas.
- La autorización de acceso a la información confidencial o reservada deberá basarse en un requisito de la Universidad, como el Usuario Virtual de la Universidad de Sevilla (en adelante UVUS), conforme establecen el “Procedimiento de gestión de la identidad y acceso lógico de la Universidad de Sevilla” y el “Procedimiento de gestión de autorizaciones de la Universidad de Sevilla”.
- Los usuarios que accedan a un sistema de información no deberán dejar la sesión desatendida para evitar que alguien no autorizado pueda acceder al sistema.
- La información restringida de la US deberá utilizarse exclusivamente durante el desempeño de las tareas de la Universidad. Se prohíbe su uso para otros propósitos que estén fuera del interés de la organización.
3.3. Normas de protección
- La información de la Universidad se protegerá en función de su clasificación y su valor. El coste de la seguridad de la información deberá corresponder al valor de la información asegurada conforme al principio de medidas proporcionadas.
- La información pública de la Universidad, sin importar el medio o naturaleza, será divulgada por los medios o vías oficiales establecidos por la propia US.
- Los usuarios responsables de información corporativa deberán cumplir con la Normativa de generación de copias de seguridad y recuperación de información de la US.
- Cuando la información ya no sea necesaria se procederá a su borrado y destrucción segura teniendo en cuenta que se han cumplido los requerimientos de retención de datos en cada Sstema de Información (en adelante SI) de cara a la realización de acciones administrativas, disciplinarias, civiles o penales. Se seguirán las normas de borrado y destrucción de soportes de la Normativa de intercambio de información y uso de soportes.
- Se prohíbe el acceso no autorizado a cualquier información de naturaleza restringida.
- Se prohíbe a los usuarios tener acceso a la información, de cualquier naturaleza o medio, para la que no hayan sido autorizados.
- Se prohíbe compartir información restringida de cualquier índole con personas que no estén autorizadas a conocer dicha información.
- A los usuarios autorizados que hagan un uso inapropiado de la confidencialidad de la información universitaria, puede negárseles el acceso futuro a la información y estarán sujetos a las sanciones disciplinarias establecidas y legales que pudieran corresponder.
Acceso a la normativa vigente completa
Normativa de clasificación y tratamiento de la información de la Universidad de Sevilla.