Criteris de cessió i protocols d'actuació davant incidències en els Espais Cedits de l'UJI. Versió actualitzada el 24/06/2016

07/07/2022 | SI
Compartir

Compartir

Facebook
X
Linkedin
Whatsapp
Gmail
Imprimir

1. Introducció

L'objectiu del Servei d'Allotjament de pàgines web de la Universitat Jaume I (Espais cedits) és el de donar suport a la publicació d'informació al web als grups de recerca, unitats organitzatives i altres entitats relacionades amb la Universitat.

Aquest servei és complementari a la publicació de pàgines al portal de la universitat www.uji.es, posant a la disposició dels seus usuaris eines per a la publicació i tractament de la informació.

El present protocol té per objecte establir els criteris de concessió i les 'Normes d'ús del servei d'Espais cedits de la Universitat Jaume (UJI)'.

L'incompliment de les obligacions i actuacions previstes en aquest document donarà lloc a l'anul∙lació de l'espai cedit sense perjudici que l'UJI, d'acord amb la legislació vigent, determini si pot donar lloc a sancions disciplinàries.

2. Criteris de concessió

En primer lloc, la concessió d'un espai cedit s'obliga al compliment de les Normes d'ús de la xarxa informàtica de la Universitat Jaume I. A més, s'ha de complir el següent:

→ Únicament podrà sol∙licitar un espai cedit el personal PAS o PDI amb vincle actiu a la Universitat, sent aquesta figura el responsable de l'espai cedit.

→ La sol∙licitud s'ha de realitzar mitjançant formulari (SPI) Sol∙licitud d'Espai Cedit web a l'UJI, disponible en l'ERP corporatiu (IGLÚ). La sol∙licitud es dirigeix al Servei de Comunicació i Publicacions (SCP) de l'UJI per a la seva aprovació o rebuig. Un cop aprovada, aquesta passa al Servei d'Informàtica (SI) que serà l'encarregat de la seva configuració i posada en marxa.

→ Cada espai web cedit ha de tenir un responsable del contingut i un altre tècnic. Aquest últim ha de mantenir el "programari", instal∙lat en el mateix, sempre actualitzat i correctament configurat per evitar, en la mesura que sigui possible, incidents de seguretat sobre el mateix.

→ La sol∙licitud ha d'estar alineada amb l'objectiu d'aquest servei, descrit en la secció anterior.

→ El contingut de l'espai serà el propi de l'organització o grup que ho sol∙licita.

→ L'espai cedit inclourà un text legal, per exemple al peu de la pàgina principal, que indiqui qui és el responsable d'aquest espai. També cal precisar que la informació que apareix és responsabilitat del mateix i no de la Universitat Jaume I.

Amb la finalitat de facilitar aquesta tasca, com a referència, es proporciona el següent text, que pot usar­se modificant els camps necessaris:

"El responsable de este espai web CEDIT ([indicar Adreça completa de l 'espai web]), Sr./Sra. [Indiqueu el nom i cognoms], comunica als visitants que assumeix la responsabilitat per la veracitat, exactitud i actualització dels Continguts ací proporcionats, no poden responsabilitzar en cap cas a la Universitat Jaume I de Castelló pels possibles danys o perjudicis que d'ells es puguen derivar."


→ En el cas de realitzar tractaments de dades personals s’aplicarà el Reglament (UE) 2016/679, del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'estes dades i pel qual es deroga la Directiva 95/46/CE. El responsable de l’espai cedit serà considerat com a responsable del tractament i la Universitat Jaume I serà encarregada del tractament, limitant les seues funcions a proporcionar la infraestructura necessària per a que el responsable del tractament tinga els seus serveis en funcionament, en un model de plataforma com a servei (PaaS).

El compliment del reglament (RGPD) obliga al responsable a prendre les mesures tècniques i organitzatives necessàries per a complir amb les seues obligacions legals i la responsabilitat derivada del tractament de les dades serà exclusivament del responsable del tractament, quedant el Servei d’informàtica i, per extensió, la Universitat Jaume I, fora de les obligacions i responsabilitats atribuïdes al responsable del tractament i sent només aplicables les establertes als articles 28 i 29 del RGPD.

3. Criteris de suspensió temporal i esborrat

El servei d'espais web cedits que ofereix l'UJI accessible des de tota Internet, el que el fa especialment crític per a la imatge de la Universitat (cost en compliment [legal / normatiu] i de reputació), tant pels continguts com pels possibles incidents de seguretat que puguen derivar­se d'una mala administració dels mateixos.

Per això, s'ha definit un procediment d'actuació que intenta evitar situacions d'abús, en què aquests espais, en haver estat compromesos per tercers, ofereixen continguts il∙legítims o són usats com a font d'spam i / o atacs a altres sistemes.

Les causes de suspensió temporal d'un espai cedit poden ser:

Per qüestions relacionades amb la seguretat o incompliment de les normes:

  1. Incompliment d'alguns dels criteris de concessió que s'enumeren en la secció anterior (incloent la legitimitat del contingut i drets de propietat intel∙lectual).
  2. Problemes de seguretat derivats de l'existència de virus, troians, cucs, spyware, spam i injecció de codi.
  3. Atacs contra tercers: enviament de correu "spam", escanejats, ús de detectors, atacs de denegació de servei, sabotatges, enginyeria social o atacs de força bruta.
  4. Compromís de les aplicacions allotjades en aquest espai. És a dir, accés per tercers a l'administració de l'espai sense consentiment del seu administrador, normalment aprofitant alguna vulnerabilitat del mateix.

Per qüestions relacionades amb el manteniment:

  1. Detecció de no ús o obsolescència del mateix i impossibilitat de contactar amb el responsable i / o administrador.
  2. El vincle del responsable de l'espai cedit ha deixat d'existir.

4. Protocols d'actuació

La recepció d'una alerta, que encaixe en els criteris definits anteriorment, donarà lloc a l'inici del protocol d'actuació adequat al tipus d'alerta rebuda. Aquests protocols es detallen més endavant.

Seguidament s'enumera els tipus d'alertes que poden disparar aquests protocols i d'on provenen:

1. Alertes rebudes des d'altres institucions, en aquest grup s'inclouen tant les rebudes o detectades per aquestes organitzacions així com les que provenen del servei de resposta a incidents de seguretat de RedIRIS (IrisCERT).

2. Generades pels propis mitjans de l'UJI:

  •   Aquelles que genera el sistema de detecció d'intrusions i antivirus perimetral de la Universitat.
  •   Aquelles que provenen de l'eina pròpia de monitorització de servidors.
  •   Aquelles que provenen de l'eina pròpia de detecció d'Espais cedits no actualitzades o obsolets.
  •   Aquestes s'emmarquen en la categoria de manteniment i segueixen un altre protocol.

3. D'altres, reportades per usuaris al Centre d'Atenció a Usuaris (CAU) o via correu­e o telèfon.

Protocol d'actuació davant alertes relacionades amb la seguretat o incompliment de les normes:

El següent protocol d'actuació serà executat pels tècnics del SI, responsables de l'administració d'aquest servei, un cop analitzat l'origen de les alertes i valorats els criteris. Aquest serà:

  1. Un cop rebuda l'alerta de seguretat, els tècnics del SI comprovaran si aquesta és causa de suspensió temporal, segons els criteris definits anteriorment. En aquells casos en què la causa estiga relacionada amb el contingut que ha introduït el mateix responsable o administrador de l'espai web, aquesta serà consultada prèviament al SCP (Servei de Comunicació i Publicacions).
  2. Si és el cas, és a dir es compleixen els criteris, es procedirà a la desactivació temporal del servei.
  3. En cas de suspensió, el tècnic encarregat del tractament generarà un "tiquet" (via CAU) per registrar aquesta incidència. Dit "tiquet" anirà categoritzat com incident de seguretat i s'enviarà un avís, per exemple via correu­ electrònic, a l'responsable de l'espai amb còpia a l'administrador del mateix. En aquest avís s'especificarà l'alerta de seguretat detectada i se sol∙licitarà l'actuació necessària per corregir el problema així com les causes, si es coneixen, que l'han originat.
  4. Si passats 7 dies laborables no s'obté resposta, el tècnic encarregat del tractament, enviarà un missatge de seguiment (seguiment 1).
  5. Passats uns altres 7 dies sense resposta, s'enviarà un segon i últim missatge de seguiment (seguiment 2) indicant que disposen d'una setmana per prendre les accions necessàries o es procedirà a l'esborrat permanent d'aquest espai.
  6. Si en els períodes de seguiment citats anteriorment es rep resposta satisfactòria, amb resolució, es procedirà a l'activació del servei i tancament satisfactori de la incidència.
  7. Si en el citat període es rep resposta, però no s'ha solucionat el problema, l'espai quedarà inactiu durant el temps que l'administrador considere per a la seva resolució, sempre que aquest no sigue superior a un mes.
  8. Finalment, si durant els períodes de seguiment no s'ha obtingut resposta, o la resolució s'ha demorat més del que indica el punt 7, es procedirà al tancament, no satisfactori, de la incidència i esborrat d'aquest espai.

Protocol d'actuació davant alertes relacionades amb el manteniment

El següent protocol d'actuació serà executat pels tècnics del SI, responsables de l'administració d'aquest servei. L'objectiu d'aquest és la revisió periòdica dels espais web creats, de manera que puguem assegurar que tots ells estan vius i correctament administrats. Dit procedimiemto consisteix en el següent:

  1. Cada 12 mesos s'envia un correu electrònic al responsable, amb còpia a l'administrador, de tots els espais cedits creats. En aquest correu es sol∙licita la confirmació de validesa.
  2. Passats 6 mesos des de l'enviament del correu anterior, en els casos en què no rebem resposta, enviarem un altre missatge (seguiment 1) indicant, tant al responsable com a l'administrador, que aquest espai serà deshabilitat en un període de 3 mesos, si no s'especifica el contrari.
  3. Passats 3 mesos des de l'enviament del seguiment 1, en aquells casos en què no rebem resposta, procedirem a la desactivació de l'espai i enviarem un altre missatge (seguiment 2) indicant que aquest espai serà esborrat en un període de 3 mesos, si no es s'especifica el contrari.
  4. Passats 3 mesos des de l'enviament del seguiment 2, en aquells casos en què no rebem resposta, procedirem a l'esborrat de l'espai cedit definitivament.
Informació proporcionada per: Servei d'Informàtica