Cultura en la seguridad de la información de la UV

  • Juan Perez Garcia
  • 28 septiembre de 2018
Image de la noticia

Necesitamos una cultura de la seguridad de la información

Desarrollar e integrar una cultura de seguridad dentro la Universitat de València es uno de los objetivos más complejos de alcanzar. En primer lugar porque su aplicación requiere de unos plazos de tiempo amplios y de acciones continuadas en el tiempo; en segundo lugar, y mucho más importante, porque hablamos de personas. 

Conseguir que nuestro personal interiorice en sus quehaceres cotidianos una manera de trabajar que garantice que las cosas se hacen bien en materia de seguridad de la información no es una tarea sencilla.

Habitualmente el personal ve en los protocolos de seguridad que implantamos en nuestra universidad una complicación, un incordio o molestia. La percepción que tienen es que la seguridad es incómoda y dificulta sus actividades cotidianas imponiendo limitaciones. Es necesario revertir esa visión negativa y abordar las acciones necesarias para conseguir crear una auténtica cultura de la seguridad dentro de nuestra institución.

Tradicionalmente la seguridad de la información en cualquier ámbito se ha entendido como un gasto que no aporta valor al trabajo, pues es muy difícil ver el retorno de este esfuerzo en medidas que no se perciben como productivas. 

La formación en materia de seguridad, hasta ahora ha tenido un protagonismo casi nulo en los planes de formación. Y si se llega a abordar, ésta se realiza de manera puntual o a un grupo reducido de personas.

De hecho, si preguntamos por iniciativas relacionadas con la formación en seguridad, veremos que únicamente se tratan acciones relacionadas con la seguridad en el puesto de trabajo y la prevención de riesgos laborales, dejando fuera los ámbitos de la seguridad de la información.

Con la aparición en 1999 de la LOPD (Ley Orgánica de Protección de Datos Personales) se produjo un pequeño cambio en este sentido, y las instituciones y organizaciones más afectadas por el cumplimiento de esta normativa, empezaron a llevar a cabo sesiones de formación relacionadas con los requerimientos de protección de la privacidad de las personas usuarias.

De hecho, el Reglamento General de Protección de Datos (RGPD), contempla como una obligación de nuestra institución formar al personal en materia de seguridad de los datos de carácter personal, garantizando así que son gestionados de una manera adecuada y conforme a la ley.

Es fundamental que seamos conscientes de la importancia de formar a nuestro personal en materia de seguridad de la información para nuestros intereses como institución académica, y no sólo en materia de protección de datos personales, sino también desde el punto de vista de toda la información que trata la Universitat de València: datos académicos, económicos, de investigación, de administración, etc...

Sin embargo, no todo el personal de la UV necesita el mismo tipo ni grado de formación en materia de seguridad. La formación que necesita el personal técnico que gestiona los servidores no debe ser la misma que reciba el usuario final que sólo dispone de acceso a una pequeña parte de la información corporativa.

No debemos pensar que el personal informático debe ser el destinatario exclusivo de la formación en materia de seguridad de la información. 

Actualmente en cualquier empresa la gran mayoría de personal empleado trabajan con ordenadores o con dispositivos que les permiten conectarse a los sistemas corporativos. Por tanto, la seguridad hoy en día no se debe limitar sólo a los aspectos técnicos, sino que debe incorporar otros ámbitos como el organizativo y el legal, rebasando así las competencias del Servicio de Informática. 

Es necesario tener en cuenta que existen departamentos como el de Recursos Humanos o el servicio de estudiantes, por poner algún ejemplo, que deben conocer aspectos vitales en la gestión de la seguridad de los datos, como el RGPD, con los que trabajan como parte de sus funciones cotidianas. 

No hacerlo, puede provocar que la UV incurra en situaciones de riesgo, tanto a nivel de protección de datos como a nivel de infracciones legislativas. En este caso, es necesario que algunas personas de la UV reciban formación específica e incluso contar con el asesoramiento de algún experto en legislación aplicada a la protección de datos en entornos corporativos.

De hecho, si la UV tiene como 'clientes' a personas físicas resulta fundamental la formación en el ámbito de protección de datos de carácter personal, puesto que el nivel de riesgo asociado puede ser muy alto. El tratamiento de los datos de las personas vinculadas con la Universitat de València debe realizarse partiendo de unas determinadas condiciones, tanto a nivel técnico como legal, que son establecidas por el RGPD. 

Por ejemplo, nuestro personal de atención a las personas usuarias en cualquier servicio (SeDI, Estudiantes, informática..) debe estar perfectamente formado para saber cómo atender una petición de ejercicio de los derechos de acceso, rectificación, cancelación u oposición, pues existen unos plazos muy ajustados para atender este tipo de peticiones.

No obstante, no debemos limitar la formación y concienciación en seguridad de la información, únicamente al correcto tratamiento de los datos personales. 

Existen otros muchos aspectos a considerar en la formación del personal de la Universitat de València.

Todos las instrucciones técnicas, procesos y procedimientos, normas y políticas establecidas en nuestra institución deben marcar la premisa del cumplimiento en materia de seguridad de la información. Deben cumplir nuestras normas y políticas de seguridad, y toda la normativa interna establecida en este sentido y deben ser aplicadas en todos los departamentos, servicios, unidades, y centros, fundaciones, institutos, etc. sin distinciones de ningún tipo.

Debemos estar permanentemente atentos a realizar nuestro trabajo, con el desempeño de unas buenas prácticas en seguridad de la información, y disponer de mecanismos internos o externos, para poder examinar los registros y la trazabilidad del tratamiento de la información en todos los procesos llevados a cabo en la UV.

Es el propósito de esta web, servir de motor de la sensibilización y concienciación en la seguridad de la información para todas las personas con algún tipo de vinculación con la Universitat de València.

Pero es necesario que el personal, se considere parte fundamental en este proceso, porque sino, el tratamiento de la información y su seguridad, será un absoluto fracaso. Debemos ser conscientes del papel que tenemos en la UV para que la información esté absolutamente segura en cualquiera de sus vertientes y ámbitos. 

La concienciación incrementa por tanto, el nivel de seguridad de la Universitat de Valencia, mejoraremos nuestra imagen como empresa ante nuestro alumnado y la ciudadanía en general, y por lo tanto tendrá una incidencia siempre positiva en el desarrollo de nuestro papel como institución académica y de referencia en la sociedad.