Cultura en la Seguretat de la Informació a la UV

  • Juan Perez Garcia
  • 28 de setembre de 2018
Image de la noticia

Necessitem una cultura de la seguretat de la informació


Desenvolupar i integrar una cultura de seguretat dins la Universitat de València és un dels objectius més complexos d'aconseguir. En primer lloc perquè la seua aplicació requereix d'uns terminis de temps amplis i d'accions continuades en el temps; en segon lloc, i molt més important, perquè parlem de persones. 

Aconseguir que el nostre personal interioritze en els seus quefers quotidians una manera de treballar que garantisca que les coses es fan bé en matèria de seguretat de la informació no és una tasca senzilla.

Habitualment el personal veu en els protocols de seguretat que implantem en la nostra universitat una complicació, un emprenyament o molèstia. La percepció que tenen és que la seguretat és incòmoda i dificulta les seues activitats quotidianes imposant limitacions. És necessari revertir aqueixa visió negativa i abordar les accions necessàries per a aconseguir crear una autèntica cultura de la seguretat dins de la nostra institució.

Tradicionalment la seguretat de la informació en qualsevol àmbit s'ha entès com una despesa que no aporta valor al treball, doncs és molt difícil veure la tornada d'aquest esforç en mesures que no es perceben com a productives. 

La formació en matèria de seguretat, fins ara ha tingut un protagonisme quasi nul en els plans de formació. I si s'arriba a abordar, aquesta es realitza de manera puntual o a un grup reduït de persones.

De fet, si preguntem per iniciatives relacionades amb la formació en seguretat, veurem que únicament es tracten accions relacionades amb la seguretat en el lloc de treball i la prevenció de riscos laborals, deixant fóra els àmbits de la seguretat de la informació.

Amb l'aparició en 1999 de la LOPD (Llei Orgànica de Protecció de Dades Personals) es va produir un canvi en aquest sentit, i les institucions i organitzacions més afectades pel compliment d'aquesta normativa, van començar a dur a terme sessions de formació relacionades amb els requeriments de protecció de la privadesa de les persones usuàries.

De fet, el Reglament General de Protecció de Dades (RGPD), contempla com una obligació de la nostra institució,  formar al personal en matèria de seguretat de les dades de caràcter personal, garantint així que són gestionats d'una manera adequada i conforme a la llei.

És fonamental que siguem conscients de la importància de formar al nostre personal en matèria de seguretat de la informació per als nostres interessos com a institució acadèmica, i no solament en matèria de protecció de dades personals, sinó també des del punt de vista de tota la informació que tracta la Universitat de València: dades acadèmiques, econòmics, de recerca, d'administració, etc...

No obstant açò, no tot el personal de la UV necessita el mateix tipus ni grau de formació en matèria de seguretat. La formació que necessita el personal tècnic que gestiona els servidors no ha de ser la mateixa que reba l'usuari final que només disposa d'accés a una xicoteta part de la informació corporativa.

No hem de pensar que el personal informàtic ha de ser el destinatari exclusiu de la formació en matèria de seguretat de la informació. 

Actualment en qualsevol empresa la gran majoria de personal empleat treballen amb ordinadors o amb dispositius que els permeten connectar-se als sistemes corporatius.

Per tant, la seguretat hui en dia no s'ha de limitar només als aspectes tècnics, sinó que ha d'incorporar altres àmbits com l'organitzatiu i el legal, depassant així les competències del Servei d'Informàtica. 

És necessari tenir en compte que existeixen departaments com el de Recursos Humans o el servei d'estudiants, per posar algun exemple, que han de conèixer aspectes vitals en la gestió de la seguretat de les dades, com el RGPD, amb els quals treballen com a part de les seues funcions quotidianes. 

No fer-ho, pot provocar que la UV incórrega en situacions de risc, tant a nivell de protecció de dades com a nivell d'infraccions legislatives. En aquest cas, és necessari que algunes persones de la UV reban formació específica i fins i tot comptar amb l'assessorament d'algun expert en legislació aplicada a la protecció de dades en entorns corporatius.

De fet, si la UV té com a 'clients' a persones físiques resulta fonamental la formació en l'àmbit de protecció de dades de caràcter personal, ja que el nivell de risc associat pot ser molt alt. El tractament de les dades de les persones vinculades amb la Universitat de València ha de realitzar-se partint d'unes determinades condicions, tant a nivell tècnic com a legal, que són establides pel RGPD. 

Per exemple, el nostre personal d'atenció a les persones usuàries en qualsevol servei (SeDI, Estudiants, informàtica..) ha d'estar perfectament format per a saber com atendre una petició d'exercici dels drets d'accés, rectificació, cancel·lació o oposició, doncs existeixen uns terminis molt ajustats per a atendre aquest tipus de peticions.

No obstant açò, no hem de limitar la formació i conscienciació en seguretat de la informació, únicament al correcte tractament de les dades personals. 

Existeixen molts altres aspectes a considerar en la formació del personal de la Universitat de València.

Tots les instruccions tècniques, processos i procediments, normes i polítiques establides en la nostra institució han de marcar la premissa del compliment en matèria de seguretat de la informació. Han de complir les nostres normes i polítiques de seguretat, i tota la normativa interna establida en aquest sentit i han de ser aplicades en tots els departaments, serveis, unitats, i centres, fundacions, instituts, etc. sense distincions de cap tipus.

Hem d'estar permanentment atents a realitzar el nostre treball, amb l'acompliment d'unes bones pràctiques en seguretat de la informació, i disposar de mecanismes interns o externs, per a poder examinar els registres i la tratzabilitat del tractament de la informació en tots els processos duts a terme en la UV.

És el propòsit d'aquesta web, servir de motor de la sensibilització i conscienciació en la seguretat de la informació per a totes les persones amb algun tipus de vinculació amb la Universitat de València.

Però és necessari que el personal, es considere part fonamental en aquest procés, perquè sinó, el tractament de la informació i la seua seguretat, serà un absolut fracàs. Hem de ser conscients del paper que tenim en la UV perquè la informació estiga absolutament segura en qualsevol dels seus vessants i àmbits. 

La conscienciació incrementa per tant, el nivell de seguretat de la Universitat de València, millorarem la nostra imatge com a empresa davant el nostre alumnat i la ciutadania en general, i per tant tindrà una incidència sempre positiva en el desenvolupament del nostre paper com a institució acadèmica i de referència en la societat.