Alcance. La presente Política de Seguridad de la Información se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente la seguridad de la información, los sistemas informáticos y el ambiente tecnológico de la Universidad Nacional de Córdoba, en adelante UNC. Es de aplicación para toda la comunidad universitaria: docentes, no docentes, estudiantes y toda otra persona que de alguna manera esté relacionada con la UNC.
En particular, debe ser conocida y cumplida por toda la planta de personal de la UNC, funcionarios políticos, técnicos, y contratados, sea cual fuere su nivel jerárquico y su situación de revista.
Términos y Definiciones.
A los efectos de este documento se aplican las siguientes definiciones:
Seguridad de la Información. La seguridad de la información se entiende como la preservación de las siguientes características: Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma. Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran. Adicionalmente, deberán considerarse los conceptos de: Autenticidad: busca asegurar la validez de la información en tiempo, forma y distribución. Asimismo, se garantiza el origen de la información, validando el emisor para evitar suplantación de identidades. Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior. Protección a la duplicación: consiste en asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe una transacción para luego reproducirla, con el objeto de simular múltiples peticiones del mismo remitente original. No repudio: se refiere a evitar que una entidad que haya enviado o recibido información alegue ante terceros que no la envió o recibió. Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeta la UNC.
Política de Seguridad de la Información.
Aspectos Generales. Esta Política se conforma por una serie de pautas sobre aspectos específicos de la Seguridad de la Información, que incluyen los siguientes tópicos: Organización de la Seguridad. Orientado a administrar la seguridad de la información dentro de la UNC y establecer un marco gerencial para controlar su implementación.
Clasificación y Control de Activos. Destinado a mantener una adecuada protección de los activos de la UNC.
Seguridad del Personal. Orientado a reducir los riesgos de error humano, comisión de ilícitos contra la UNC o uso inadecuado de instalaciones.
Seguridad Física y Ambiental. Destinado a impedir accesos no autorizados, daños e interferencia a las sedes e información de la UNC.
Gestión de las Comunicaciones y las Operaciones. Dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y medios de comunicación.
Control de Acceso. Orientado a controlar el acceso lógico a la información. Desarrollo y Mantenimiento de los Sistemas. Orientado a garantizar la incorporación de medidas de seguridad en los sistemas de información desde su desarrollo y/o implementación y durante su mantenimiento.
Administración de la Continuidad de las Actividades de la UNC. Orientado a contrarrestar las interrupciones de las actividades y proteger los procesos críticos de los efectos de fallas significativas o desastres.
Cumplimiento. Destinado a impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.
A fin de asegurar la implementación de las medidas de seguridad comprendidas en esta Política, la UNC identificará los recursos necesarios e indicará formalmente las partidas presupuestarias correspondientes, como anexo a la presente Política.
El Comité de Seguridad de la Información revisará anualmente la presente Política, a efectos de mantenerla actualizada. Asimismo efectuará toda modificación que sea necesaria en función a posibles cambios que puedan afectar su definición, tales como cambios tecnológicos, variación de los costos de los controles, impacto de los incidentes de seguridad, etc.
Sanciones Previstas por Incumplimiento.
El incumplimiento de las disposiciones de la presente política, será sancionado de conformidad a su gravedad, de acuerdo a la normativa vigente en el ámbito universitario.
Registro de Usuarios.
El Responsable de Seguridad Informática definirá un procedimiento formal de registro de usuarios para otorgar y revocar el acceso a todos los sistemas, bases de datos y servicios de información multiusuario, el cual debe comprender:
- Utilizar identificadores de usuario únicos, de manera que se pueda identificar a los usuarios por sus acciones evitando la existencia de múltiples perfiles de acceso para un mismo empleado. El uso de identificadores grupales sólo debe ser permitido cuando sean convenientes para el trabajo a desarrollar debido a razones operativas.
- Verificar que el usuario tiene autorización del Propietario de la Información para el uso del sistema, base de datos o servicio de información.
- Verificar que el nivel de acceso otorgado es adecuado para el propósito de la función del usuario y es coherente con la Política de Seguridad de la UNC, por ejemplo que no compromete la separación de tareas.
- Entregar a los usuarios un detalle escrito de sus derechos de acceso.
- Requerir que los usuarios firmen declaraciones señalando que comprenden y aceptan las condiciones para el acceso.
- Garantizar que los proveedores de servicios no otorguen acceso hasta que se hayan completado los procedimientos de autorización.
- Mantener un registro formal de todas las personas registradas para utilizar el servicio.
- Cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus tareas, o de aquellos a los que se les revocó la autorización, se desvincularon de la UNC o sufrieron la pérdida/robo de sus credenciales de acceso.
- Efectuar revisiones periódicas con el objeto de: a) Cancelar identificadores y cuentas de usuario redundantes. b) Inhabilitar cuentas inactivas por más de 30 días. c) Eliminar cuentas inactivas por más de 60 días. En el caso de existir excepciones, deberán ser debidamente justificadas y aprobadas.
- Garantizar que los identificadores de usuario redundantes no se asignen a otros usuarios.
- Incluir cláusulas en los contratos de personal y de servicios que especifiquen sanciones si el personal o los agentes que prestan un servicio intentan accesos no autorizados. El Propietario de la Información será el responsable del registro de usuarios.
Para más información consultar http://www.psi.unc.edu.ar/institucional/normativas/PoliticadeSeguridad08.pdf