El sistema universitario se ha convertido en un marco de innovación tecnológica abierto y flexible que promociona y difunde el conocimiento a toda la sociedad. Esta evolución conlleva el tratamiento de gran cantidad de información, lo que genera nuevas amenazas que no deben pasar inadvertidas. Para generar confianza en la ciudadanía la información, los servicios corporativos que tratan dicha información y los sistemas de tecnología necesarios para prestar dichos servicios, deben ser debidamente protegidos de manera que gocen de una salud preventiva, correctiva y reactiva para ofrecer un nivel adecuado de seguridad y resiliencia.
Para dar respuesta a las necesidades de las administraciones públicas en general, y de las universidades en particular, surge el marco común de seguridad de la información en el sector público, tal y como se señala la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. Este marco común lo establece el Real Decreto 311/2022 de 3 de mayo por el que se regula el Esquema Nacional de Seguridad (ENS), que tiene por objeto determinar la Política de Seguridad en la utilización de medios electrónicos de las entidades de su ámbito de aplicación, y constituye los principios básicos y requisitos mínimos que permiten una protección adecuada de la información y los servicios tecnológicos.
La Política de Seguridad de la Información se plasma en un documento de alto nivel, mediante el cual la universidad define su compromiso respecto a la seguridad de los trámites electrónicos e información que estos gestionan, y que la Universidad de Sevilla proporciona a la ciudadanía y otras entidades. En ella se describen los mecanismos que se han implementado para garantizar la gestión continuada de la seguridad, así como los responsables y órganos que se han definido para velar por su cumplimiento.
En su redacción se incluyen, entre otros, los siguientes contenidos:
- La misión de la Universidad de Sevilla.
- El compromiso de la universidad con el cumplimiento de los requisitos mínimos de seguridad de acuerdo a los principios básicos establecidos por el ENS.
- Los objetivos de la Seguridad de la Información en el ámbito de la universidad para los sistemas de información que están en el alcance objetivo del ENS.
- El marco legal y regulatorio en el que se desarrollan sus actividades.
- El Modelo de Gobernanza, incluidos los mecanismos implementados para que los roles de seguridad actúen de forma coordinada y consensuada, así como los para la resolución de los conflictos que pudieran surgir entre estos.
- Una referencia a la forma en la que la universidad da cumplimiento a la normativa de protección de datos.
- La gestión de los riesgos asociados al uso de la tecnología.
- El mecanismos de notificación de incidentes de seguridad.
- La forma en la que se va a desarrollar la Política de Seguridad mediante un sistema de gestión basado en la mejora continua, proceso de aprobación y periodicidad de revisión de la política.