Marco normativo

Esta Política de Seguridad de la Información se dicta de conformidad con lo dispuesto en las leyes y reales decretos siguientes:

  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (LPI), regularizando, aclarando y armonizando las disposiciones vigentes en la materia.
  • Todas aquellas normas, de carácter general o interno, que resulten de aplicación a la Fundación Deusto en el marco de esta Política de Seguridad.

Objetivo de la política de seguridad de la información

El objeto del presente documento es establecer la Política de Seguridad de la Información de Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) con la que se garantice una protección adecuada de los activos de información y la prestación continuada de los servicios, de modo tal que Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) esté preparado para prevenir, detectar, reaccionar y recuperarse de incidentes de seguridad.

Para ello, deberá contar con las medidas de seguridad necesarias para mantener un nivel de riesgo aceptable, así como realizar un seguimiento continuo de los niveles de prestación de servicios, analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes.

Los servicios de información de Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) han de realizar sus funciones y custodiar la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones no controladas, y sin que la información pueda llegar a conocimiento de personas no autorizadas.

Conforme a ello, la capacidad de las redes y de los sistemas de información de Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) ha de ser suficiente para resistir, con el nivel de confianza exigible, los accidentes o acciones ilícitas o malintencionadas que pongan en peligro el acceso, la disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, almacenados o transmitidos, así como de los servicios utilizados en medios electrónicos.

Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida de los sistemas de información, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición, y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación derivadas de cada etapa, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en los pliegos de licitación para proyectos de TIC.

Ámbito de aplicación

En virtud de esta Política de Seguridad de la Información y su normativa de desarrollo, se definirán unas medidas de seguridad que se aplicarán, según se determine en dichas normas, a todos los servicios, sistemas y demás recursos TIC de Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) que den soporte a sus procesos y que afecten a los diferentes activos de información sustentados en ellos.

Los recursos TIC de Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) tienen como finalidad el apoyo a la docencia, a la investigación y a las tareas de gestión necesarias para el funcionamiento del Instituto.

Son recursos TIC de Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) todos los sistemas centrales y departamentales, estaciones de trabajo, ordenadores de puesto, impresoras y otros periféricos y dispositivos de salida, y sistemas de almacenamiento que sean de su propiedad.

Esta política se aplica también a todas aquellas personas, instituciones, entidades o unidades y servicios, sean internos o externos, que hagan uso de los recursos TIC de Orkestra - Instituto Vasco de Competitividad (Fundación Deusto), sea mediante conexión directa o indirecta con los mismos, conexión remota o a través de equipos ajenos a la misma, incluyendo expresamente los servicios prestados a través de Internet. En adelante tales sujetos tendrán la consideración de “usuarios”.

Principios básicos de seguridad

La presente Política de Seguridad de la Información de Orkestra - Instituto Vasco de Competitividad (Fundación Deusto), así como la normativa que la desarrolle, se fundamenta en principios básicos de protección cuyo fin es asegurar que una organización podrá cumplir sus objetivos utilizando sistemas de información.

Estos principios básicos, que deberán ser tenidos en cuenta siempre que se adopten decisiones en materia de seguridad de la información, son los siguientes:

  1. Seguridad integral.
    La seguridad ha de ser entendida como un proceso integral que involucra a todos y cada uno de los elementos humanos, técnicos, materiales y organizativos relacionados con el sistema.
  2. Gestión de riesgos.
    El análisis y la gestión de riesgos es una parte esencial del proceso de seguridad. Los niveles de riesgo han de mantenerse dentro de unos niveles mínimos aceptables, mediante el despliegue de las medidas de seguridad apropiadas y permanentemente actualizadas, de modo tal que se establezca un equilibrio y proporcionalidad entre la naturaleza de los datos y los tratamientos realizados, los riesgos a los que estén expuestos y las medidas de seguridad aplicadas.
  3. Prevención y recuperación de sistemas y datos ante desastres.
    La seguridad del sistema debe contemplar los aspectos de prevención, detección y recuperación, para conseguir que las amenazas sobre el mismo no se materialicen o no afecten gravemente a los datos que manejan los sistemas de información o los servicios que prestan.
    El sistema garantizará la conservación de los datos e informaciones en soporte electrónico, y mantendrá disponibles los servicios durante todo el ciclo vital de la información digital.
  4. Líneas de defensa.
    El sistema ha de disponer de una estrategia de protección constituida por múltiples capas de seguridad, dispuestas de tal forma que, si una de ellas falla por causa de un incidente que no ha podido evitarse, se gane tiempo para una reacción adecuada, se reduzca la posibilidad de que el sistema se vea comprometido en su conjunto, y se minimice el impacto final sobre el mismo.
    Las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.
  5. Reevaluación periódica.
  6. Las medidas de seguridad adoptadas por Orkestra - Instituto Vasco de Competitividad (Fundación Deusto), se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección.

Organización de la seguridad

Para garantizar que todas las etapas del ciclo de vida de protección de la información sean realizadas de manera apropiada y las responsabilidades para su ejecución sean asignadas adecuadamente, Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) establece una estructura que permite promover la aplicación consistente de la presente política y acomodar efectivamente los frecuentes cambios tecnológicos y organizacionales.

Datos de carácter personal

Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) realiza tratamientos en los que hace uso de datos de carácter personal.

El Registro de Actividades de Tratamiento Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) recoge los tratamientos afectados y los responsables correspondientes.

Todos los sistemas de información de Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado documento de seguridad.

Acceso a la información

Quienes traten información de Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) que no sea de acceso público, deberán estar debidamente identificados y tener los privilegios de acceso a la información estrictamente necesarios para desempeñar su contenido.

Es por ello que, el acceso a los sistemas de información debe estar controlado y limitado exclusivamente a los usuarios, procesos, dispositivos y sistemas de información que estén autorizados, de forma que el acceso quede restringido exclusivamente a las funciones permitidas.

Gestión de incidentes de seguridad

Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) se dota de los medios para implantar y gestionar todas y cada una de las medidas de seguridad requeridas a cada sistema de información y para dar respuesta a los incidentes de seguridad que se produzcan.

Gestión de riesgos

Las decisiones en materia de seguridad deben basarse en el análisis y gestión de riesgos como proceso esencial de seguridad, que deberá mantenerse permanentemente actualizado.

La evaluación de riesgos identifica las amenazas y vulnerabilidades, y debe ser suficientemente amplia para abarcar los principales factores internos y externos, tales como tecnológicos, físicos y humanos, políticos y servicios de terceros con implicaciones de seguridad.

La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad.

Debido a la creciente interconexión de los sistemas de información, la evaluación de riesgos debe incluir la consideración de los posibles daños que pueden proceder de otros o ser causados por terceras personas.

Todos los sistemas sujetos a esta Política deberán ser objeto de un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.

Obligaciones de los usuarios

Todos los miembros de Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad desarrollada a partir de ella, siendo responsabilidad de Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) disponer de los medios necesarios para que la información llegue a los afectados.

Todo el personal de la Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) debe ser consciente de la necesidad de garantizar la seguridad de los sistemas de información, así como que ellos mismos son una pieza esencial para el mantenimiento y mejora de la seguridad.

Se establecerá un programa de concienciación continua para atender a todos los miembros de Orkestra - Instituto Vasco de Competitividad (Fundación Deusto), en particular a los de nueva incorporación.

Relación con terceras partes

Cuando Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) preste servicios a otros organismos o maneje información de los mismos, el responsable de esa relación les hará partícipe de esta política de seguridad y de las normas e instrucciones derivadas.

Se establecerán canales de comunicación y coordinación entre respectivos responsables y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Asimismo, cuando Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) utilice servicios de terceros o ceda información a terceros, el responsable de esa relación les hará igualmente partícipes de esta política de seguridad y de la normativa e instrucciones de seguridad que atañe a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones y medidas de seguridad establecidas en dicha normativa e instrucciones, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de prevención, detección, reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta política de seguridad.

En concreto, los terceros deberán garantizar el cumplimiento de políticas de seguridad basadas en estándares auditables y someterse a controles y revisiones de terceros que certifiquen el cumplimiento de estas políticas. Asimismo, se garantizará mediante auditoría o certificado de destrucción y borrado que el tercero cancela y elimina los datos pertenecientes a Orkestra - Instituto Vasco de Competitividad (Fundación Deusto) a la finalización del contrato.