Seguridad y Auditoría TI

Grupo de Trabajo de Seguridad y Auditoría TI

Coordinador

D. Francisco Sampalo Lainz (Universidad Politécnica de Cartagena)

Resumen / Objetivos

La elevada sofisticación e intensidad de las ciberamenazas, las crecientes exigencias normativas, la naturaleza crítica de muchos de los datos que gestionamos y del tratamiento que se hace de los mismos, así como el impacto de una inadecuada custodia nos obligan a abordar la seguridad TI con rigor y un claro convencimiento de su importancia.
Este grupo pretende coordinar, difundir y promover actividades y buenas prácticas para la Gestión de la Seguridad en las universidades, así como elaborar recomendaciones y guías comunes para el cumplimiento normativo en materia de Seguridad de la Información.

Líneas de actuación

Las líneas de actuación de este grupo se enmarcan dentro de las siguientes acciones recogidas en el Plan Director de la Sectorial CRUE Digitalización:

Acción 1.3.- Análisis, generación, adopción y difusión de buenas prácticas y plataformas para la Ciberseguridad:

  • Coordinar, difundir y promover actividades y buenas prácticas e implantación de herramientas comunes para la Gestión de la Seguridad en las universidades.
  • Elaborar recomendaciones y guías comunes para el cumplimiento normativo en materia de Seguridad de la Información.
  • Actuar como interlocutor ante organismos y entidades externas en materia de Seguridad (CCN-CERT, MINHFP, RedIris, etcétera).

Acción 5.2.- Fomento de la transparencia, el empoderamiento y la interoperabilidad de los datos universitarios:

  • Propuesta de buenas prácticas en la implantación del ENS

Subgrupos

  • Subgrupo para análisis de riesgos conjunto RGPD-ENS: se trata de establecer una serie de pautas comunes para la realización de un Análisis de Riesgos conjunto en materia de Seguridad dentro de los ámbitos del ENS y del RGPD en el entorno universitario.

Proyectos principales

De igual forma, los proyectos se alinean con los recogidos en el Plan Director de la Sectorial CRUE Digitalización para cada una de las líneas de actuación asignadas. En nuestro caso concreto:

P131.- Coordinación de la Interlocución de CRUE con los agentes públicos nacionales en materia de ciberseguridad: CSAE, CCN-CERT, MINHFP, INCIBE, RedIris.

P133.- Implantación y uso de las herramientas comunes de ciberseguridad del CCN‐CERT; en el ámbito de este proyecto también se promoverán acciones formativas comunes para el personal de las universidades.

P135.- Aporte de buenas prácticas y seguimiento en la implantación del ENS:

  • Elaboración de guías y recomendaciones.
  • Coordinación para la elaboración del informe INES.
  • Acciones de difusión y concienciación en materia de ciberseguridad orientadas a personal con responsabilidades directivas.
  • Proponer criterios comunes para la aplicación y evaluación de medidas de seguridad que faciliten la adaptación el ENS en las universidades.

P136.- Constitución de un grupo de auditores de Seguridad de la Información (ENS) [Con el grupo de Dirección de TI] [Con la Sectorial de Gerencias].

P137.- Colaboración en el Código de Conducta Crue para el cumplimiento del RGPD [Con la Sectorial de Secretarías Generales]

  • Directrices comunes para el análisis de riesgos sobre privacidad en las universidades.
  • Coordinación y colaboración con otras iniciativas de CRUE en esta materia (grupo de Delegados de protección de datos, intersectorial RGPD, etc.)

Publicaciones

Vídeo resumen del grupo de trabajo

Próximamente