A. Muñoz

Píldora ENS. Principios básicos.

22 septiembre, 2021 por A. Muñoz

Este es el primero de los post con informacion relativa a ENS, servirán de difusión del Esquema Nacional de Seguridad y que en el que la UGR está certificada. Todas las semanas os dejaré algo. Hoy empezamos con los principios básicos:

Art. 5 futuro Art.4 en el nuevo Real Decreto.

El objeto último de la seguridad de la información es garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, en materia de seguridad de la información deberán tenerse en cuenta los siguientes principios básicos:

Seguridad como proceso integral.
Gestión de la seguridad basada en los riesgos.
Prevención, detección, respuesta y conservación.
Existencia de líneas de defensa.
Vigilancia continua.
Reevaluación periódica.
Diferenciación de responsabilidades.

Todos estos apartados se desarrollan en el RD en los articulos siguientes dentro del capítulo II. Si deseas verlo https://www.boe.es/buscar/act.php?id=BOE-A-2010-1330

Un nueva forma de aprender ciberseguridad.

8 septiembre, 2021 por A. Muñoz

Desde la OSI (Oficina de Seguridad al Internauta) han preparado una serie de juevos de mesa, un trivial por ejemplo, que nos ayudan a concienciarnos a valorar lo que sabemos en este campo de la informática, tan necesario.

Descargate el juego y montalo tu mismo.

Aquí teneis el enlace https://www.osi.es/es/juegos-mesa

Seguridad para trabajo en la nube.

30 julio, 2021 por A. Muñoz

Cada vez utilizamos mas la nube para nuestro trabajo dentro de la administración y en aspectos docentes. Por ello debemos ponernos al dia en que pautas debes seguir para no encontrarnos con sorpresas. Siempre he aconsejado utilizar los medios propios de la UGR como principal recurso, y en el caso de falta de recursos solicitarlos de forma justificada a los responsables del CSIRC. Llegados a que no podemos utilizar lo medios propios deberíamos:

– Cambiar claves de forma periódica y utilizar segundo factor de autenticación cuando se permita en el recurso de la nube.

– Saber que lo que subamos a la nube es de responsabilidad del que lo sube. Que si es algo que está protegido por derechos de copia las empresas de la nube se reservan el derecho de eliminar los contenidos o bloquear cuentas. Por ello no aconsejo subir documentos que formen parte de un expediente adminitrativo a la nube por si acaso consideran que tienen que borrarlo.

– Cuando utilizamos datos personales es mejor subirlos cifrados, para evitar posibles fugas. Y dejarlos en la nube el tiempo justo para disminuir la superficie de exposicion en ciberseguridad.

– Hacer copias en local, nunca aseguran que tenemos podamos recuperar los datos. En la mayoría de los casos sí pero ….

– Asegurarnos que hay contrato firmado con UGR para disponer de dichos medios. Evita trabajar con servicios de nube si no hay contrato ya que el responsable eres tú.

En este sentido desde la Oficina de Proteccion de Datos se editó un documento donde se dieron una pautas de seguridad, aconsejo revisarlo https://secretariageneral.ugr.es/pages/proteccion_datos/documentos/documentosobremedidasdeproteccion

Otros enlace de la Agencia de Proteccion de Datos.

https://www.aepd.es/es/documento/guia-cloud-clientes.pdf-0

https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf

Tambien revisa las publicaciones realizadas en este blog al respecto de cifrado y nube.

https://blogs.ugr.es/seguridadinformatica/?s=nube

Si tienes algunas dudas preguntanos a Seguridad Informática.

Teletrabajo y protección de datos en el ámbito digital.

29 julio, 2021 por A. Muñoz

Si tu organización ha mantenido el teletrabajo, te damos algunas claves que debes tener en cuenta para proteger adecuadamente los datos personales tanto de las personas trabajadoras que realizan teletrabajo como de tus clientes y/o proveedores.

Asi empieza la publicacion de la AEPD para teletrabajo, aquí teneis en enlace de la publicación https://www.aepd.es/es/prensa-y-comunicacion/blog/teletrabajo-y-pd-en-el-ambito-digital , puedes encontrar algunas recomendaciones.

Medidas mínimas de seguridad en nuestros equipos de trabajo.

29 julio, 2021 por A. Muñoz

Dentro de nuestros equipos de trabajo debemos tener una serie de cuidados en materia de ciberseguridad para ponerselo dificil a los ciberdelincuentes. A continuacion os detallo algunas pautas que debemos tener si o sí.

Activación de firewall. Limitar las peticiones entrantes a la justo necesarias.
Antivirus. Se puede utilizar en windows 10 el que trae por defecto.
Instalacion en los equipos windows del software antiransomware MicroClaudia.
Autobloqueo de pantalla cuando nos levantamos del puesto de trabajo.
Cambios de contraseñas cada 3 ó 6 meses como mucho.
Utilizar un usuario sin permisos de administración para nuestro trabajo diario.
Copias de seguridad periódicas en unidades que no se queden pinchadas continuamente en nuestro equipo, para evitar efectos de cifrado de forma colateral
Actualizaciones automáticas del sistema.
Revision de actualizaciones de los programas que tengamos instalados al menos una vez al mes.
Revisar las politicas, en caso de windows, para activar el control de accesos. Revisar de forma periodica los ultimos accesos por si detectamos alguna anomalia.
No utilizas software no licenciado o descargado de sitios no oficiales, pueden llevar troyanos o descargar malware una vez se ejecuten.
Utilizar sistemas de cifrado de disco del sistema, como bitlocker. Esto complica mas a los malos.
Evitar la comparticion de recursos desde nuesta máquina, compartir a traves de servidores, esto disminuye la superficie de exposicion a malware.
Evitar conexiones escritorio remoto, en caso de usarlas limitar los accesos en el firewall a ip’s controladas, utilizar VPN y contraseñas muy fuertes.
Activar politicas de bloqueo de usuario en el caso de 5 reintentos de Login fallidos, por ejemplo bloquear el usuario durante 10 minutos.
NUNCA guardes las claves en el navegador para entrar en sitios que puedan comprometerte a ti o a la empresa.

Seguir lo consejor que nos marca la herramienta CLARA del CCN, descargarla y pasarla en sistemas windows. Herramienta CLARA del CCN

Por último se puede echar un vistazo a las medidas de proteccion que aconsejamos a traves de la Oficina de Proteccion de Datos https://secretariageneral.ugr.es/pages/proteccion_datos/documentos/documentosobremedidasdeproteccion

Píldora ENS. Principios básicos.

Un nueva forma de aprender ciberseguridad.

Seguridad para trabajo en la nube.

Teletrabajo y protección de datos en el ámbito digital.

Medidas mínimas de seguridad en nuestros equipos de trabajo.

Seguimos con las campañas de phising.

MicroCLAUDIA software antiransomware, instalatelo si tienes windows.

Campaña de smishing suplantando a GLS.

Aviso alerta seguridad. Llamadas fraudulentas suplantando Microsoft.