Grupo de Trabajo de Seguridad y Auditoría TI
Coordinador
Resumen / Objetivos
Líneas de actuación
Las líneas de actuación de este grupo se enmarcan dentro de las siguientes acciones recogidas en el Plan Director de la Sectorial CRUE Digitalización:
Acción 1.3.- Análisis, generación, adopción y difusión de buenas prácticas y plataformas para la Ciberseguridad:
- Coordinar, difundir y promover actividades y buenas prácticas e implantación de herramientas comunes para la Gestión de la Seguridad en las universidades.
- Elaborar recomendaciones y guías comunes para el cumplimiento normativo en materia de Seguridad de la Información.
- Actuar como interlocutor ante organismos y entidades externas en materia de Seguridad (CCN-CERT, MINHFP, RedIris, etcétera).
Acción 5.2.- Fomento de la transparencia, el empoderamiento y la interoperabilidad de los datos universitarios:
- Propuesta de buenas prácticas en la implantación del ENS
Subgrupos
- Subgrupo para análisis de riesgos conjunto RGPD-ENS: se trata de establecer una serie de pautas comunes para la realización de un Análisis de Riesgos conjunto en materia de Seguridad dentro de los ámbitos del ENS y del RGPD en el entorno universitario.
Proyectos principales
De igual forma, los proyectos se alinean con los recogidos en el Plan Director de la Sectorial CRUE Digitalización para cada una de las líneas de actuación asignadas. En nuestro caso concreto:
P131.- Coordinación de la Interlocución de CRUE con los agentes públicos nacionales en materia de ciberseguridad: CSAE, CCN-CERT, MINHFP, INCIBE, RedIris.
P133.- Implantación y uso de las herramientas comunes de ciberseguridad del CCN‐CERT; en el ámbito de este proyecto también se promoverán acciones formativas comunes para el personal de las universidades.
P135.- Aporte de buenas prácticas y seguimiento en la implantación del ENS:
- Elaboración de guías y recomendaciones.
- Coordinación para la elaboración del informe INES.
- Acciones de difusión y concienciación en materia de ciberseguridad orientadas a personal con responsabilidades directivas.
- Proponer criterios comunes para la aplicación y evaluación de medidas de seguridad que faciliten la adaptación el ENS en las universidades.
P136.- Constitución de un grupo de auditores de Seguridad de la Información (ENS) [Con el grupo de Dirección de TI] [Con la Sectorial de Gerencias].
P137.- Colaboración en el Código de Conducta Crue para el cumplimiento del RGPD [Con la Sectorial de Secretarías Generales]
- Directrices comunes para el análisis de riesgos sobre privacidad en las universidades.
- Coordinación y colaboración con otras iniciativas de CRUE en esta materia (grupo de Delegados de protección de datos, intersectorial RGPD, etc.)
Publicaciones
- Artículos de análisis en el Informe UNIVERSITIC (apartado “Más allá de los datos”).
- Marco de recomendaciones de Seguridad y Auditoría en Universidades 2018 (https://tic.crue.org/publicaciones/#seguridad).
- Anexo I de la Guía CCN-STIC-803 sobre Valoración de Sistemas en el ENS en Universidades (https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/2509-ccn-stic-803-valoracion-de-sistemas-en-el-ens-anexo-i-universidades/file.html)
Vídeo resumen del grupo de trabajo