Política de Seguridad PCA

Título: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Sección: DISPOSICIONES GENERALES

Órgano: Parque Científico Universidad Alicante

Fecha de aprobación:

Aprobado por unanimidad por el Comité de Seguridad en la sesión ordinaria del 4 de Agosto de 2025.

• 1. Introducción
  • 1.1. Prevención
  • 1.2 Detección
  • 1.3 Respuesta
  • 1.4 Recuperación
• 2. Misión del Parque científico
• 3. Principios básicos
• 4. Objetivo de la Seguridad de la Información
• 5. Alcance
• 6. Marco normativo
• 7. Organización de la Seguridad de la Información
  • 7.1 Criterios utilizados para la organización de la Seguridad de la Información
  • 7.2 Roles y Órganos de la Seguridad de la Información
  • 7.3 Responsabilidades de los roles asociados al Esquema Nacional de Seguridad
    • 7.3.1 Responsable de la Información
    • 7.3.2 Responsable de los Servicios
    • 7.3.3 Responsable de la Seguridad de la Información (RSEG)
    • 7.3.4 Responsable del Sistema (RSIS)
  • 7.4 Delegado/a de Protección de Datos (DPD)
  • 7.5 Grupo de trabajo para la seguridad de la información(GTSI)
  • 7.6 Comité de Seguridad TI (COMSEGTI)
  • 7.7 División de Seguridad TI
  • 7.8 Centro de Operaciones de Ciberseguridad (COCS)
  • 7.8.1 Funciones
  • 7.9 Jerarquía en el proceso de decisiones y mecanismos de coordinación
    • 7.9.1 Jerarquía en el proceso de decisiones
    • 7.9.2 Mecanismos de coordinación
  • 7.10 Procedimientos de designación
• 8. Datos personales
• 9. Obligaciones del personal
• 10. Gestión de riesgos
• 11. Notificación de incidentes
• 12. Desarrollo de la Política de Seguridad de la Información
• 13. Resolución de conflictos
• 14. Terceras partes
• 15. Mejora continua
• 16. Modificaciones
• 17. Aprobación y entrada en vigor

1. Introducción

El Parque Científico de Alicante (en adelante, PCA) depende de los sistemas TI (Tecnologías de la Información) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la seguridad de la información tratada o los servicios prestados y estando siempre protegidos contra las amenazas o los incidentes con potencial para incidir en la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información tratada y los servicios prestados. Para hacer frente a estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que la organización y su personal deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad (en adelante, ENS), así como realizar un seguimiento continuo de los niveles de prestación de los servicios, monitorizar y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los ciberincidentes para garantizar la continuidad de los servicios prestados. De este modo, todas las unidades administrativas de la universidad tienen presente que la seguridad TI es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TI. Por tanto, para el PCA, el objetivo de la Seguridad de la Información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria para detectar cualquier incidente y reaccionando con presteza a los incidentes para recuperar los servicios lo antes posible, según lo establecido en el artículo 8 del ENS, con la aplicación de las medidas que se relacionan a continuación.

1.1. Prevención

Para que la información y/o los servicios no se vean perjudicados por incidentes de seguridad, el parque científico, debe implementar las medidas de seguridad establecidas por el ENS, así como cualquier otro control adicional que haya identificado como necesario a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, el parque científico debe:

• Autorizar los sistemas antes de entrar en operación.
• Evaluar regularmente la seguridad, incluyendo el análisis de los cambios de configuración realizados de forma rutinaria.
• Solicitar la revisión periódica por parte de terceros, con el fin de obtener una evaluación independiente.

1.2 Detección

El PCA, establece controles de operación de sus sistemas de información con el objetivo de detectar anomalías en la prestación de los servicios y actuar en consecuencia según lo dispuesto en el artículo 10 del ENS (reevaluación periódica). Cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales (conforme a lo indicado en el artículo 9 del ENS, Líneas de defensa), se establecerán los mecanismos de detección, análisis y reporte necesarios para que lleguen a los responsables regularmente.

1.3 Respuesta

El PCA, debe establecer las siguientes medidas:

• Mecanismos para responder eficazmente a los incidentes de seguridad.
• Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
• Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT)

1.4 Recuperación

Para garantizar la disponibilidad de los servicios, El PCA, debe disponer de los medios y técnicas necesarias que permiten garantizar la recuperación de los servicios más críticos.

2. Misión del Parque Científico de Alicante

La misión principal del Parque Científico de Alicante es impulsar el crecimiento tecnológico y empresarial en la provincia de Alicante, conectando la universidad con las empresas para facilitar la transferencia de conocimiento y fomentar el emprendimiento innovador.

Objetivos clave

• Transferencia de tecnología: Promueve el intercambio de conocimientos y tecnologías entre la Universidad de Alicante y el tejido empresarial local para potenciar la innovación.
• Apoyo al emprendimiento: Ofrece soporte y recursos a startups y empresas innovadoras, ayudando a transformar ideas en proyectos empresariales sostenibles.
• Colaboración empresarial: Facilita la colaboración entre compañías, instituciones y expertos, creando un ecosistema favorable para el desarrollo tecnológico.

Acciones destacadas

• Organización de eventos tecnológicos y hackathons para dinamizar la innovación regional.
• Entrega de premios y reconocimientos a empresas innovadoras inspiradoras dentro de la comunidad del parque.
• Difusión de convenios y memorias que justifican el impacto de sus actividades en la comunidad empresarial y universitaria.

3. Principios básicos

Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:

• Alcance estratégico: La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos de la universidad, de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas de la organización para conformar un todo coherente y eficaz.
• Responsabilidad determinada: En los sistemas TI se determinará:
  • Responsable de la Información, que determina los requisitos de seguridad de la información tratada;
  • Responsable del Servicio, que determina los requisitos de seguridad de los servicios prestados; Responsable del Sistema, que tiene la responsabilidad sobre la prestación de los servicios
  • Responsable de la Seguridad, que determina las decisiones para satisfacer los requisitos de seguridad.
• Seguridad integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas TI, procurando evitar cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas TI.
• Gestión de Riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales.
• Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
• Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido y dedicado.
• Seguridad por defecto: Los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.

4. Objetivo de la Seguridad de la Información

El PCA establece como objetivos de la seguridad de la información los siguientes:

• Garantizar la calidad y protección de la información.
• Lograr la plena concienciación de las personas respecto a la seguridad de la información.
• Gestión de activos de información: Los activos de información de la universidad se encontrarán inventariados y categorizados y estarán asociados a un responsable.
• Seguridad ligada a las personas: Se implantarán los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los activos de información, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un su uso indebido, logrando su plena concienciación respecto a la seguridad de la información.
• Seguridad física: Los activos de información serán emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.
• Seguridad en la gestión de comunicaciones y operaciones: Se establecerán los procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación y actualización de las TI. La información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.
• Control de acceso: Se limitará el acceso a los activos de información, procesos y otros sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes a la criticidad de cada activo. Además, quedará registrada la utilización del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organización.
• Adquisición, desarrollo y mantenimiento de los sistemas de información: Se contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
• Gestión de los incidentes de seguridad: Se implantarán los mecanismos apropiados para la correcta identificación, registro y resolución de los incidentes de seguridad.
• Garantizar la prestación continuada de los servicios: Se implantarán los mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus usuarios.
• Protección de datos: Se adoptarán las medidas técnicas y organizativas que corresponda implantar para atender los riesgos generados por el tratamiento para cumplir la legislación de seguridad y privacidad.
• Cumplimiento: Se adoptarán las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información.

5. Alcance

Esta Política de Seguridad de la Información se aplicará a los sistemas de información del PCA relacionados con el ejercicio de sus competencias y a todas las personas con acceso autorizado a los mismos, sean o no empleados públicos y con independencia de la naturaleza de su relación jurídica con la universidad. Todos ellos tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y su Normativa de Seguridad derivada, siendo responsabilidad del Comisión de Seguridad TI disponer los medios necesarios para que la información llegue al personal afectado.

6. Marco normativo

Son de aplicación las leyes y normativas españolas en relación con la protección de datos personales, propiedad intelectual y prestación de servicios electrónicos. Esta Política de Seguridad de la Información se sitúa dentro del marco jurídico definido por las siguientes normas:

• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS)
• Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
• Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
• Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
• Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
• Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
• Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
• Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
• Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.
• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
• Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
• Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, modificada por la ley 11/1999, de 21 de abril.
• Real Decreto 1308/1992, de 23 de octubre, por el que se declara al Laboratorio del Real Instituto y Observatorio de la Armada, como Laboratorio depositario del patrón nacional de Tiempo y Laboratorio asociado al Centro Español de Metrología.
• Ley 57/2003, de 16 de diciembre, de medidas para la modernización del gobierno local.
• Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público.
• Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
• Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.
• Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público.
• Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrónica.
• Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la sociedad de la Información.
• Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno.
• Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.
• Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
• Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza en la materia.

También forman parte del marco normativo las restantes normas aplicables a la Administración Electrónica de la Universidad de Alicante, derivadas de las anteriores y publicadas en la sede electrónica comprendidas dentro del ámbito de aplicación de la presente Política de Seguridad de la Información.

 

7. Organización de la Seguridad de la Información

7.1 Criterios utilizados para la organización de la Seguridad de la Información

El PCA, teniendo en cuenta lo establecido en el antedicho Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) y las pautas establecidas en la Guía CCN-STIC-801 «Responsabilidades y Funciones en el ENS», para organizar la seguridad de la información dispone de:

• Roles de seguridad: Responsables de los Servicios, Responsables de la Información, Responsable de la Seguridad (RSEG), Responsable del Sistema (RSIS) y Delegado/a de Protección de Datos (DPD).
• Órgano consultivo y estratégico para la toma de decisiones en materia de Seguridad de la Información. Este órgano está constituido como un órgano colegiado y se denomina Comité de Seguridad TI. Estará presidido por una persona física que será la que asumirá la responsabilidad formal de sus actos.

7.2 Roles y Órganos de la Seguridad de la Información

En el PCA, en el marco del ENS, los roles y órganos de la Seguridad de la Información, serán los siguientes:

• Responsables de la Información.
• Responsables de los Servicios.
• Responsable de Seguridad de la Información.
• Responsable de sistema
• Grupo de trabajo para la seguridad de la información (GTSI):
  • Responsable de la Información.
  • Responsable del Servicio.
  • Responsable de Seguridad.
  • Responsable de Sistemas.
  • Miembros no permanentes: Estos miembros podrán ser convocados en función de las tareas a desarrollar por el grupo de trabajo.
  • Responsables de sistemas delegados: Estos miembros podrán ser convocados en función de las tareas a desarrollar por el grupo de trabajo.
• Comité de Seguridad TI (COMSEGTI):
  • Miembros permanentes:
    Secretario/a del COMSEGTI: Secretario/a General o
    delegado/a
    · Gerente del PCA o delegado/a
    · Responsable de Sistema (RSIS)
    · Responsable de Seguridad de la Información (RSEG)
    · Responsable del Servicio
    · Responsable de la Información
    · Asesores que se consideren oportunos para los temas en cuestión, pudiendo incluso acudir un representante del Centro Criptológico Nacional (CCN), con voz, pero sin voto.
• Miembros no permanentes:
  • El Comité de Seguridad TI podrá invocar la presencia en sus reuniones tanto de otros representantes de la Universidad como de especialistas externos, de los sectores público, privado y/o académico, cuya presencia, por razón de su experiencia o vinculación con los asuntos tratados, sea necesaria o aconsejable.

El Delegado/a de Protección de Datos participará con voz, pero sin voto en las reuniones del Comité de seguridad TI cuando en el mismo vayan a abordarse cuestiones relacionadas con el tratamiento de datos de carácter personal, así como siempre que se requiera su participación. En todo caso, si un asunto se sometiese a votación, se hará constar siempre en acta la opinión del DPD. Podrán ser convocados por la presidencia del comité de seguridad TI en función de los asuntos a tratar responsables de sistemas delegados. Igualmente, podrán ser convocados representantes de unidades y servicios de la Universidad en función de los temas a tratar, en representación de los distintos ámbitos o áreas de seguridad TI de la universidad. Cada área estará representada por un vocal con voto, sin perjuicio de que acudan varios representantes de la misma. El Secretario/a del Comité realizará las convocatorias y levantará actas de las reuniones del Comité de Seguridad TI. A las sesiones del Comité de Seguridad TI podrán asistir en calidad de asesores las personas que en cada caso estime pertinentes su Presidente.

 

7.3 Responsabilidades de los roles asociados al Esquema Nacional de Seguridad

7.3.1 Responsable de la Información

Función principal: Determina los requisitos de seguridad de la información tratada.

Funciones específicas:

·         Establece los niveles de seguridad requeridos para la información en cada dimensión (confidencialidad, integridad, disponibilidad, etc.).

·         Realiza valoraciones de seguridad de la información conforme al art. 40 del ENS.

·         Recibe información sobre incidentes de seguridad que afecten a la información.

·         Es el “propietario del riesgo” asociado a la información.

7.3.2 Responsable de los Servicios

Función principal: Define los requisitos de seguridad de los servicios prestados.

Funciones específicas:

• Establece y aprueba los niveles de seguridad requeridos para los servicios.
• Tiene en cuenta los requisitos de la información que maneja el servicio.
• Es informado de incidentes que afecten a la prestación del servicio.
• Es el “propietario del riesgo” asociado a los servicios.

7.3.3 Responsable de la Seguridad de la Información (RSEG)

Función principal: Coordina e implanta las medidas necesarias para garantizar la seguridad de la información y de los servicios.

Funciones específicas:

·         Supervisa que los sistemas implementan correctamente las medidas de seguridad definidas.

·         Elabora y aprueba la Declaración de Aplicabilidad.

·         Determina la categoría del sistema.

·         Reporta incidentes y riesgos residuales a los responsables correspondientes.

·         Actúa como punto de contacto (POC) en servicios externalizados.

·         Colabora con el Delegado de Protección de Datos (DPD) y participa en la notificación de ciberincidentes.

7.3.4 Responsable del Sistema (RSIS)

Función principal: Se encarga del desarrollo, operación y mantenimiento del sistema de información.

Funciones específicas:

• Implementa las medidas de seguridad indicadas.
• Supervisa el funcionamiento diario del sistema.
• Adopta medidas correctoras derivadas de auditorías o incidentes.
• Puede suspender temporalmente el sistema si detecta riesgos críticos.
• Informa y reporta a otros responsables sobre el estado operativo y de seguridad.

7.4 Delegado/a de Protección de Datos (DPD)

Serán funciones de este perfil:

• Informar y asesorar al PCA, y al personal que se ocupe del tratamiento, de las obligaciones que les incumben en virtud de la normativa vigente en materia de Protección de Datos.
• Supervisar el cumplimiento de lo dispuesto en normativa de seguridad y de las políticas internas del parque científico, en materia de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisará su aplicación. Cooperar con la Agencia Española de Protección de Datos cuando ésta lo requiera, actuando como punto de contacto con ésta para cuestiones relativas al tratamiento de datos.
• Desempeñará sus funciones prestando atención a los riesgos asociados a las operaciones de tratamiento. Para ello debe ser capaz de:
  • Recabar información para determinar las actividades de tratamiento.
  • Analizar y comprobar la conformidad de las actividades de tratamiento.
  • Informar, asesorar y emitir recomendaciones tanto a responsables como a encargados del tratamiento.
  • Recabar información para supervisar el registro de las operaciones de tratamiento.
  • Asesorar en el principio de la protección de datos por diseño y por defecto.
  • Asesorar sobre si se lleva a cabo o no las evaluaciones de impacto, metodología, salvaguardas a aplicar, etc.
  • Priorizar actividades en base a los riesgos.
  • Asesorar al o la Responsable de Tratamiento sobre áreas a cometer a auditorías, actividades de formación a realizar y operaciones de tratamiento a dedicar más tiempo y recursos.

7.5 Grupo de trabajo para la seguridad de la información(GTSI)

Serán funciones del Grupo de trabajo para la seguridad de la información:

• Asesorar en materia de seguridad de la información, siempre y cuando le sea requerido.
• Aprobar procedimientos, protocolos e instrucciones de seguridad.
• Velar por el cumplimiento de los procedimientos, protocolos e instrucciones de seguridad
• Aprobación de los planes de mejora de la seguridad y promover la mejora continua en la gestión de la seguridad de la información.
• Impulsar la formación y concienciación en materia de seguridad TI.
• Impulsar y desarrollar la adecuación al ENS.
• Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes Departamentos, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
• Periodicidad de las reuniones y adopción de acuerdos:
  • Se reunirá, al menos, una vez al trimestre, sin perjuicio de que, en atención a las necesidades derivadas del cumplimiento de sus fines y atribuciones, requiera de una mayor frecuencia en las reuniones.
  • En cualquier caso, las reuniones se convocarán por el Responsable de la Información, a su iniciativa o por mayoría de sus miembros permanentes.
  • Las decisiones se adoptarán por consenso de los miembros permanentes.

7.6 Comité de Seguridad TI (COMSEGTI)

Serán funciones del Comité de Seguridad TI:

• Atribuciones del Comité de Seguridad TI:
  • Estar permanentemente informado de la normativa que regula la Certificación de Conformidad con el ENS, incluyendo sus normas de acreditación, certificación, guías, manuales, procedimientos e instrucciones técnicas.
  • Estar permanentemente informado de la relación de Entidades de Certificación acreditadas y organizaciones, públicas y privadas, certificadas.
  • Estar permanentemente informado de la relación de esquemas de certificación de la seguridad con los que la Administración Pública tiene establecidos arreglos o acuerdos de reconocimiento mutuo de certificados.
  • Proponer directrices y recomendaciones, que serán recogidas en las correspondientes actas de las reuniones del Comité, a las que su presidente, deberá dar cumplida respuesta.
  • Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que estos sean consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
  • Atender las inquietudes, en materia de Seguridad de la Información, de la Administración y de las diferentes áreas, informando regularmente del estado de la seguridad de la información a la Dirección.
  • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes Departamentos, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
  • Asesorar en materia de seguridad de la información, siempre y cuando le sea requerido.
  • Revisar la Política de Seguridad de la Información previa aprobación por el Órgano Superior.
  • Aprobar la Normativa reguladora de los derechos y obligaciones de las personas usuarios de servicios y recursos informáticos.
  • Aprobar el Mapa de Normativa con la lista de Normativa y Procedimientos de seguridad para la implantación del ENS.
• Periodicidad de las reuniones y adopción de acuerdos:
  • El Comité de Seguridad TI se reunirá, al menos, dos veces al año con carácter semestral, sin perjuicio de que, en atención a las necesidades derivadas del cumplimiento de sus fines y atribuciones, requiera de una mayor frecuencia en las reuniones.
  • En cualquier caso, las reuniones se convocarán por su Presidencia, a través del Secretario, a su iniciativa o por mayoría de sus miembros permanentes.
  • Las decisiones se adoptarán por consenso de los miembros permanentes.

7.7 División de Seguridad TI

Dentro de la estructura de gobernanza del PCA, la División encargada de la Seguridad de la Información ejercerá las competencias relacionadas con las siguientes áreas de trabajo: adecuación al ENS, normativa y gestión de riesgos, análisis y mejora continua, seguridad en las interconexiones y conectividad y otras funciones conexas o concordantes.

Para el desarrollo de estas competencias, se constituye un grupo de trabajo que estará compuesto por:

• Responsable de Seguridad de Información (RSEG).
• Los y las especialistas de seguridad (AES) de la unidad de Seguridad TI y el personal de administración de sistemas que el RSEG determine.

Sus funciones serán, entre otras que les puedan ser encomendadas por el Comité de Seguridad TI:

• Gestión y operativa de la seguridad del Proyecto de Adecuación, Implantación y gestión de la Conformidad en el ENS, análisis y gestión de riesgos, explotación, normativa y mantenimiento.
• Redacción y presentación de propuestas al Comité de Seguridad TI. Elaborará los aspectos relacionados con la ciberseguridad y los debatirá en primera instancia, para ser trasladados al Comité.
• Promover de la mejora continua del sistema de gestión de la Seguridad de la Información. Para ello se encargará de:
  • Elaborar (y revisar regularmente) la Política de Seguridad de la Información para su traslado al Comité de Seguridad TI para su revisión y posterior aprobación del órgano superior.
  • Elaborar la normativa de Seguridad de la Información para su aprobación por el Comité de Seguridad TI u órgano competente.
  • Verificar los procedimientos de seguridad de la información y demás documentación para su aprobación.
  • Elaborar programas de formación destinados a formar y sensibilizar al personal en materia de seguridad de la información y protección de datos.
  • Elaborar y aprobar los requisitos de formación y calificación del personal desde el punto de vista de seguridad de la información.
  • Proponer planes de mejora de la seguridad de la información, con su dotación presupuestaria correspondiente, priorizando las actuaciones en materia de seguridad cuando los recursos sean limitados. – Realizar un seguimiento de los principales riesgos residuales asumidos y recomendar posibles actuaciones respecto de ellos.
  • Promover la realización de las auditorías periódicas ENS y RGPD que permitan verificar el cumplimiento de las obligaciones de la universidad en materia de seguridad de la Información y protección de datos.

Periodicidad de las reuniones y adopción de acuerdos:

• Responsable de Seguridad convocará las reuniones de trabajo de sus miembros.
• Las propuestas planteadas por el grupo de trabajo serán sometidas a análisis, debate y aprobación, si procede, por parte del Comité de Seguridad TI.
• El grupo de trabajo se reunirá, al menos, una vez al mes y siempre antes de las celebraciones del Comité de Seguridad TI

7.8 Jerarquía en el proceso de decisiones y mecanismos de coordinación

7.8.1 Jerarquía en el proceso de decisiones

Los diferentes roles de seguridad de la información (autoridad principal y posibles delegadas) se limitan a una jerarquía simple: el Comité de Seguridad TI y el Grupo de Trabajo para la Seguridad de la Información dan instrucciones al RSEG que se encarga de cumplimentar, supervisando que el personal del Servicio de Informática implementa las medidas de seguridad según lo establecido en la política de seguridad de la información aprobada para la Universidad de Alicante. Por su parte, el DPD debe ser oído en todos los aspectos relacionados con la seguridad de los datos personales y violaciones de seguridad de datos personales, entendiendo las mismas desde la perspectiva de la confidencialidad, integridad y disponibilidad.

7.8.2 Mecanismos de coordinación

Responsable del Sistema:

• Informa al Responsable de la Información de las incidencias funcionales relativas a la información que le compete.
• Informa al Responsable del Servicio de las incidencias funcionales relativas al servicio que le compete.
• Da cuenta al RSEG:
  • Actuaciones en materia de seguridad, en particular en lo relativo a decisiones de arquitectura del sistema.
    • Resumen consolidado de los incidentes de seguridad.
    • Medidas de la eficacia de las medidas de protección que se deben implantar.

Responsable de la Seguridad:

• Informa al Responsable de la Información de las decisiones e incidentes en materia de seguridad que afecten a la información que le compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.
• Informa al Responsable del Servicio de las decisiones e incidentes en materia de seguridad que afecten al servicio que le compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.
• Da cuenta al Grupo de trabajo para la Seguridad de la Información y/o al Comité de Seguridad TI:
  • Resumen consolidado de actuaciones en materia de seguridad.
  • Resumen consolidado de incidentes relativos a la seguridad de la información.
  • Estado de la seguridad del sistema, en particular del riesgo residual al que el sistema está expuesto.
• Da cuenta al DPD sobre los aspectos que afecten a la seguridad de los datos personales.
  • Violaciones de seguridad de los datos personales que afecten a la confidencialidad, disponibilidad e integridad de los datos personales.
  • Riesgos detectados y medidas correctoras oportunas relacionados con la seguridad de los tratamientos de datos personales.
  • Pedirá asesoramiento ante nuevas arquitecturas de seguridad, políticas y procedimientos que afecten al tratamiento de datos personales.

7.9 Procedimientos de designación

La designación de las personas que asumirán estos roles identificados en el apartado 7.2 de esta Política de Seguridad de la Información es directa tras el nombramiento en el puesto asociado al rol de seguridad. Dicho personal debe aceptar las responsabilidades y funciones asociadas a dicho rol.

8. Datos personales

El PCA solo recogerá y tratará datos personales cuando sean adecuados, pertinentes y no excesivos y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de Protección de Datos. En aplicación del principio de responsabilidad proactiva establecido en el Reglamento General de Protección de Datos, las actividades de tratamiento de datos de carácter personal se integrarán en la categorización de sistemas del Esquema Nacional de Seguridad, considerando las amenazas y riesgos asociados a este tipo de tratamientos.

Se aplicará asimismo, cualquier otra normativa vigente en materia de protección de datos de carácter personal.

El parque científico publicará en su Política de Privacidad en la página web

9. Obligaciones del personal

Todas las personas que forman parte PCA tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad desarrollada a partir de ella, siendo responsabilidad del Comité de Seguridad TI disponer los medios necesarios para que la información llegue a las personas o servicios afectados.

Todo el personal del PCS, comprendido dentro del ámbito del ENS, atenderá las sesiones de concienciación en materia de seguridad y protección de datos a las que sea convocado. Se establecerá un programa de concienciación continua para atender a todo el personal, en particular al de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas de información recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

10. Gestión de riesgos

Todos los sistemas afectados por la presente Política de Seguridad de la Información están sujetos a un análisis de riesgos con el objetivo de evaluar las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

• Al menos una vez al año.
• Cuando cambien la información y/o los servicios manejados de manera significativa.
• Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves.

El RSEG será el encargado de que se realice el análisis de riesgos, así como de identificar carencias y debilidades y ponerlas en conocimiento del Comité de Seguridad TI. El Comité de Seguridad TI dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

El proceso de gestión de riesgos comprenderá las siguientes fases:

• Categorización de los sistemas.
• Análisis de riesgos.
• El Comité de Seguridad TI procederá a la selección de medidas de seguridad a aplicar que deberán de ser proporcionales a los riesgos y estar justificadas

Las fases de este proceso se realizarán según lo dispuesto en los Anexos I y II del Real Decreto 311/2022, de 3 de mayo, y siguiendo las normas, instrucciones, Guías CCN-STIC y recomendaciones para la aplicación del mismo elaboradas por el Centro Criptológico Nacional. En particular, para realizar el análisis de riesgos, como norma general se utilizará una metodología reconocida de análisis y gestión de riesgos.

 

11. Notificación de incidentes

De conformidad con lo dispuesto en el artículo 33 del RD 311/2022, de 3 de mayo, el Parque Científico, notificará al Centro Criptológico Nacional aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados en relación con la categorización de sistemas recogida en el Sistema de Gestión de la Seguridad.

12. Desarrollo de la Política de Seguridad de la Información

La presente Política de Seguridad de la Información será complementada por medio de diversa normativa y recomendaciones de seguridad (normativas y procedimientos de seguridad, procedimientos técnicos de seguridad, informes, registros y evidencias electrónicas). Corresponde al Comité de Seguridad TI su revisión anual y/o mantenimiento, proponiendo, en caso de que sea necesario mejoras a la misma.

El cuerpo normativo sobre seguridad de la información se desarrollará en tres niveles por ámbito de aplicación, nivel de detalle técnico y obligatoriedad de cumplimiento, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:

• Primer nivel normativo: constituido por la presente Política de Seguridad de la Información, la Normativa reguladora de los derechos y obligaciones de las personas usuarios de servicios y recursos informáticos para todo el personal y las directrices generales de seguridad aplicables a los organismos o unidades de la universidad a los que sea de aplicación dichos documentos.
• Segundo nivel normativo: constituido por las normas de seguridad derivadas de las anteriores.
• Tercer nivel normativo: constituido por procedimientos, guías e instrucciones técnicas. Son documentos que, cumpliendo con lo expuesto en la Política de Seguridad de la Información, determinan las acciones o tareas a realizar en el desempeño de un proceso.

Corresponde al Consejo de Gobierno de el parque científico la aprobación de la Política de Seguridad de la Información y la Normativa reguladora de los derechos y obligaciones de las personas usuarios de servicios y recursos informáticos de la universidad, siendo el Comité de Seguridad TI el órgano responsable de la aprobación de los restantes documentos, siendo también responsable de su difusión para que la conozcan las partes afectadas.

Del mismo modo, la presente Política de Seguridad de la Información complementa la Política de Privacidad del parque científico, en materia de protección de datos. La normativa de seguridad y, muy especialmente, la Política de seguridad de la Información y la Normativa reguladora de los derechos y obligaciones de las personas usuarios de servicios y recursos informáticos, será conocida y estará a disposición de todos los miembros de la universidad, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones. Estará disponible para su consulta digitalmente en la web, esta documentación será custodiada por el Servicio de Informática.

13. Resolución de conflictos

En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la Política de Seguridad de la Información del parque científico, prevalecerá la decisión del Comité de Seguridad TI.

14. Terceras partes

Cuando el parque científico, preste servicios a otros organismos o maneje información de otros organismos, se les hará participe de esta Política de Seguridad de la Información. Se establecerán canales para el reporte y la coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando el parque científico, utilice servicios de terceros o ceda información a terceros, se les hará participe de esta Política de Seguridad de la Información y de la normativa de seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad de la Información.

Cuando algún aspecto de esta Política de Seguridad de la Información no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del RSEG que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los y las responsables de la información y los servicios afectados antes de seguir adelante.

15. Mejora continua

La gestión de la seguridad de la información es un proceso sujeto a permanente actualización. Los cambios en la organización, las amenazas, las tecnologías y/o la legislación son un ejemplo en los que es necesaria una mejora continua de los sistemas. Por ello, es necesario implantar un proceso permanente que comportará, entre otras acciones:

• Revisión de la Política de Seguridad de la Información.
• Revisión de los servicios e información y su categorización.
• Ejecución con periodicidad anual del análisis de riesgos.
• Realización de auditorías internas o, cuando procedan, externas.
• Revisión de las medidas de seguridad.
• Revisión y actualización de las normas y procedimientos.

16. Modificaciones

Queda derogada la Política de Seguridad de la Información del PCA aprobada por el consejo de gobierno del Parque Científico anteriores a la presente Política de Seguridad de la Información.

17. Aprobación y entrada en vigor

Esta Política de Seguridad de la Información ha sido revisada por la Comisión de Seguridad TI del PCA en su sesión de 29 de Agosto del 2025 y entrará en vigor al día siguiente de su publicación, previa aprobación por el Consejo de Gobierno del PCA. Esta Política de Seguridad de la Información es efectiva desde esta fecha de publicación y hasta que sea reemplazada por una nueva Política de Seguridad de la Información