Normatives Normativa de Seguretat pels Usuaris dels Recursos Informàtics de la Universitat Autònoma de Barcelona (Aprovada a la sessió de Junta de Govern del dia 25 d'abril de 1996)

1. Àmbit d'aplicació

Els recursos informàtics de la Universitat Autònoma de Barcelona, tant els del servei d'informàtica com els de la resta de les seves instal.lacions, sistemes centrals, estacions de treball, ordinadors personals, xarxes internes i externes, programaris, sistemes multiusuaris, etc., són per a ús exclusiu de les tasques pròpies de la Universitat per membres de la seva comunitat o persones autoritzades.

La majoria dels sistemes informàtics de la Universitat estan connectats directament o indirectament a la xarxa general de la Universitat. Per això, el mal ús o la manca de sistemes de seguretat adequats en un d'aquests sistemes poden comprometre la seguretat en els altres sistemes de la Universitat o de les institucions a les quals la xarxa general de la Universitat està connectada.

Com a conseqüència, aquesta normativa s'aplica a tothom que faci ús dels sistemes informàtics de la Universitat o que disposi de sistemes o xarxes connectades directament o indirectament a la xarxa general. Una còpia d'aquesta normativa es lliurarà a cada persona que sol.liciti un compte en un sistema informàtic multiusuari o una connexió del seu sistema o de la seva xarxa a la xarxa general de la Universitat.

El desconeixement d'aquesta normativa no n'eximeix el compliment. La Universitat es reserva el dret d'iniciar les accions oportunes en aquells casos que si bé no estan directament previstos en la present normativa, sí que poden estar contemplats en el Codi penal o en qualsevol altra normativa de l'Estat espanyol. En aquest sentit, cal tenir en compte, entre d'altres, els articles sobre danys físics i al programari: articles 557 a 563 bis (a) del Codi penal; sobre la propietat intel.lectual: articles 534 a 534 ter. del Codi penal; sobre la normativa relativa a la confidencialitat de la informació: articles 42 a 48 de la Llei orgànica 5/1992, del 29 d'octubre, de regulació del tractament automatitzat de les dades de caràcter personal.

2. Assignació de recursos dels sistemes informàtics

Per a l'assignació de recursos dels sistemes informàtics (centrals o departamentals), i per a la connexió de sistemes i de xarxes a la xarxa general es reconeix un responsable de Recursos Informàtics i dues categories d'usuaris: l'Administrador de Recursos Informàtics i l'usuari final.

• Responsable dels recursos informàtics

El responsable dels Recursos Informàtics és la persona que ha de vetllar pel bon funcionament dels Recursos Informàtics sota la seva tutela.

Són responsables dels Recursos Informàtics:

• Els degans i directors de centre són responsables dels recursos d'ús general per a la docència del centre.
• Els caps de departament són responsables dels Recursos Informàtics, dels laboratoris de pràctiques, dels destinats a la recerca i dels serveis informàtics de gestió del departament.
• Els administradors de centre són responsables dels recursos destinats a la gestió del centre.
• Els directors dels serveis i dels instituts són responsables de tots els recursos que utilitzen.
• El gerent de la Universitat serà responsable dels recursos generals de l'edifici del Rectorat.
• El responsable dels Recursos Informàtics podrà delegar les funcions que cregui necessàries per realitzar el control de l'ús dels Recursos Informàtics.
• L'administrador de recursos informàtics

L'administrador de Recursos Informàtics és la persona encarregada de gestionar un o més recursos informàtics (sistemes multiusuari, estacions de treball, ordinadors personals, xarxes internes, etc.) connectats directament o indirectament a la xarxa general de la Universitat.

L'administrador de Recursos Informàtics depèn funcionalment del responsable dels Recursos Informàtics, al qual comunicarà totes les incidències que hagi detectat i que pugui afectar al bon funcionament dels recursos.

L'administrador de Recursos Informàtics està obligat a acceptar la present normativa i a signar la declaració d'usuari de recursos informàtics. Aquesta normativa haurà d'aplicar-la als recursos que ell gestiona, notificar-la i aplicar-la als usuaris que depenen d'ell. Igualment haurà d'aplicar les altres normatives específiques que puguin existir.

L'administrador de Recursos Informàtics es compromet a seguir les recomanacions dels Serveis Informàtics en qüestions de seguretat i a col.laborar activament en la detecció, el seguiment i la identificació dels possibles implicats en la vulneració de la present normativa.

• L'usuari final

L'usuari final és la persona que disposa d'un compte d'usuari en un sistema informàtic multiusuari o en un servidor d'ordinadors personals, que estigui connectat directament o indirectament a la xarxa general de la Universitat.

L'usuari final està obligat a acceptar la present normativa i a signar la declaració d'usuari de recursos informàtics, i es compromet a seguir les recomanacions dels Serveis Informàtics i les dels gestors tècnics de Recursos Informàtics en qüestions de seguretat.

L'usuari signant està obligat a comunicar als responsables pertinents qualsevol canvi en la titularitat del recurs informàtic que tingui assignat i mentre aquesta notificació no es produeixi continua essent l'únic responsable a tots els efectes dels usos que se'n derivin.

El responsable de Recursos Informàtics, per motius d'incompliment de la present normativa, es reserva el dret de denegar, de manera preventiva i provisional, la sol.licitud d'alta d'usuari en els sistemes informàtics multiusuari, i/o la de connexió d'un sistema o xarxa a la xarxa general de la Universitat. Serà la comissió de disciplina informàtica la que donarà caràcter definitiu a la mesura.

 

Responsabilitats dels usuaris

1. Protecció de dades, paraules clau i ús de recursos
• Els usuaris tindran màxima cura en la manipulació i ús dels equips informàtics, i de tota la infraestructura complementària. Evitaran realitzar qualsevol acció, que de forma voluntària o no, pugui malmetre la integritat física de la instal.lació (destrossa, sostracció, trasllat no autoritzat, etc.).
• Els usuaris sol.licitaran l'accés als recursos informàtics seguint les normatives específiques de cada centre, i accediran als sistemes informàtics seguint les recomanacions particulars que els Serveis Informàtics i els responsables de recursos hagin estipulat.
• Els recursos informàtics de la Universitat són un bé públic la finalitat del qual és emmagatzemar i tractar informació estrictament acadèmica. Per raons de seguretat l'administrador de Recursos Informàtics es reserva el dret d'inspeccionar, amb caràcter ordinari, la informació continguda en els comptes dels usuaris. En cas que per raons de seguretat calgui una inspecció més específica, l'administrador de Recursos Informàtics haurà de justificar-ho al responsable dels Recursos Informàtics.
• Els comptes d'usuari en els sistemes informàtics de la Universitat són personals i intransferibles.
• És responsabilitat dels usuaris tenir màxima cura de la seva paraula clau; sobretot la mantindrà secreta, usarà paraules clau que no siguin trivials, la canviarà periòdicament i sempre que cregui o sospiti que la seva confidencialitat pugui ser violada.
• Tots els canvis de paraules clau de comptes dels sistemes informàtics per motiu d'oblit es faran personalment, prèvia identificació de l'usuari per part del gestor tècnic de Recursos Informàtics.
2. Incompliment de la normativa

Es considera incompliment de les condicions d'ús dels recursos informàtics, els supòsits següents:

• L'ús il.lícit per part de terceres persones dels comptes d'usuari en els sistemes informàtics (amb coneixement o no dels usuaris oficials), tant per a qui realitza l'accés indegut com per al responsable del compte.
• La desprotecció de la informació dels usuaris de manera que faciliti un accés generalitzat.
• L'ús indegut dels serveis de xarxa (correu electrònic, emulació de terminal, missatgeria interactiva, etc.) per comunicar-se amb altres usuaris dels sistemes informàtics, de la xarxa de la Universitat o de les xarxes a les quals la Universitat està connectada, quan causin molèsties (missatges molestos o ofensius, suplantació d'adreces de xarxa), o bé no es respecti aquesta normativa o les de les institucions i les xarxes amb les quals i per les quals es comuniquin.
• La cerca de paraules clau d'altres usuaris, o qualsevol intent de trobar i explotar forats en la seguretat dels sistemes informàtics de la Universitat o de fora, o fer ús d'aquests sistemes per atacar qualsevol sistema informàtic.
• La creació, l'ús o l'emmagatzematge de programes o d'informació que puguin ser utilitzats per atacar els sistemes informàtics de la Universitat o de fora.
• La destrossa, la sostracció o el trasllat no degudament autoritzat a d'altres dependències, de qualsevol element físic de la instal.lació informàtica o d'infraestructura complementària.
• L'alteració de la integritat de les dades.

Es considera incompliment lleu qualsevol dels supòsits 1 i 2.

Es considera incompliment greu qualsevol dels supòsits 3, 4 i 5, o bé l'acumulació de 2 incompliments lleus.

Es considera incompliment molt greu qualsevol dels supòsits 6 i 7, o bé l'acumulació de 2 o més dels supòsits de caràcter greu.

1. Mesures aplicables

L'incompliment d'aquesta normativa en qualsevol grau comportarà de forma preventiva la immediata la suspensió dels comptes en els sistemes informàtics, i/o la desconnexió dels sistemes o xarxes de la xarxa general de la Universitat.

Pels supòsits 1 i 2 s'aplicarà una suspensió de l'ús de tots els equipaments informàtics de la UAB, d'una durada màxima d'un mes.

Pels supòsits 3, 4 i 5 s'aplicarà una suspensió de l'ús de tots els equipaments informàtics de la Universitat amb una durada d'entre 1 i 3 mesos. Seran els responsables dels Recursos Informàtics, prèvia audiència a la persona interessada i amb notificació al director del centre, els qui aplicaran les suspensions d'ús dels equipaments informàtics als qui hagin comès els incompliments lleus o greus.

Pels incompliments considerats de caràcter molt greu s'aplicarà una suspensió en l'ús de qualsevol equipament informàtic de la Universitat amb una durada superior a 3 mesos. Seran el responsable dels Recursos, prèvia audiència a la persona interessada, l'encarregats d'aplicar la mesura quan l'incompliment es produeixi dins el seu respectiu àmbit competencial, i ho serà el gerent quan es produeixi en l'àmbit dels serveis centralitzats. Aquestes sancions tindran caràcter preventiu fins que la Comissió de Disciplina Informàtica no les hi doni un caràcter definitiu.

Les despeses econòmiques derivades de la restitució dels desperfectes materials causats per incompliment de la normativa seran a càrrec de qui les hagi ocasionades.

Contra les resolucions d'aquests òrgans les persones interessades podran interposar recurs ordinari davant el rector.

Aquelles faltes especialment greus poden implicar l'obertura d'un expedient sancionador, al marge de les mesures anteriors previstes.

El responsable dels Recursos Informàtics està habilitat per elevar a la Comissió de Disciplina Informàtica corresponent aquells casos que, sense estar explícitament contemplats en la present normativa, pugui considerar sancionables.

Els administradors de Recursos Informàtics passaran notificació de les mesures adoptades preventivament i dels danys causats (amb la informació pertinent sobre les proves del fet) a les persones físiques perjudicades i/o als responsables dels departaments o institucions afectades per l'incompliment.

Les mesures abans esmentades s'aplicaran sense perjudici de les accions disciplinàries, civils o penals que, en el seu cas, corresponguin respecte a les persones presumptivament implicades.

• La comissió de disciplina informàtica

La Junta de Govern de la Universitat Autònoma de Barcelona nomenarà una Comissió de Disciplina Informàtica, que tindrà les funcions següents:

1. Vetllar per a la bona gestió i funcionament dels Recursos Informàtics en l'àmbit general de la UAB.
2. Sancionar els incompliments considerats molt greus en el present reglament. La Comissió escoltarà les parts implicades abans de prendre les resolucions sancionadores, ratificant o modificant les sancions aplicades de forma preventiva pels responsables de Recursos Informàtics.
3. Resoldre els casos no previstos per la normativa present.
4. Escoltar els membres de la comunitat universitària que li elevin queixes o suggeriments.
5. Proposar a la Junta de Govern la modificació i actualització de la normativa present quan s'escaigui.
6. Informar anualment a la Junta de Govern de les incidències que s'ha produït i de les mesures que s'han pres.

La Comissió de Disciplina Informàtica estarà formada per:

7. President, que serà el vicerector d'Ordenació Acadèmica, d'Estudis o d'Investigació.
8. 2 degans o directors de centres.
9. 2 directors de departament.
10. 1 membre dels serveis informàtics centrals.
11. 3 usuaris: un professor/investigador, un alumne i un PAS.