Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre seguridad informática para el personal de la Universidad de Granada

Inicio >> Archivos para ENS

Este martes dia 30 octubre se abre el plazo para la carga de datos del Informe Nacional del Estado de Seguridad, INES

por

Publicado el:
lunes, 29 octubre 2018

  • El Centro Criptológico Nacional recuerda la obligación de obtener la Certificación de Conformidad en los sistemas de categoría Media y Alta.
  • El Informe, se elabora desde el año 2014 y en el que el año pasado participaron 590 organismos que dan servicio a 2.770.366 millones de usuarios, es la herramienta para evaluar regularmente el estado de la seguridad de los sistemas TIC del sector público y su adecuación al Esquema Nacional de Seguridad (ENS).
  • Para facilitar la carga de los datos, el Centro Criptológico Nacional pone a disposición de los interesados en su portal un curso online, recientemente actualizado, con todas las novedades de la campaña, así como las nuevas versiones de las Guías CCN-STIC 824 INES y la Guía CCN-STIC 844 Manual de INES.

Este martes, 30 de octubre, comienza el plazo para que todos los organismos del sector público actualicen o incluyan por primera vez sus datos en la plataforma INES, Informe Nacional del Estado de Seguridad. Así lo exige el artículo 35 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS), que establece la obligación de evaluar regularmente el estado de la seguridad de los sistemas de las Tecnologías de la Información y la Comunicación del sector público y la necesidad de establecer un sistema de medición.

En esta nueva campaña, el Centro Criptológico Nacional quiere hacer hincapié en que la Certificación de Conformidad es de aplicación obligatoria a los sistemas de información de categoría Media o Alta del sector público, y voluntaria en el caso de sistemas de información de categoría Básica.

Para facilitar la carga de datos, el CCN ha puesto a disposición de todos los organismos la actualización del curso de INES online, así como la actualización de la Guía 824 nforme Nacional del Estado de Seguridad de los Sistemas TIC y la Guía 844 Manual de INES, cuyo objetivo es proporcionar al usuario información sobre el uso de INES y su acceso.

Responsable de la carga de datos

El acceso a la herramienta INES se realiza desde la parte privada del Portal del CCN-CERT y deben ser los responsables de la seguridad del organismo, o el personal delegado de su equipo de seguridad, los que completen los datos solicitados y a los que se les autorizará el acceso a su ficha, independientemente de que la organización subcontrate a terceros la recogida de datos.

Más información:

Curso online INES
Documentación y vídeos Plataforma VANESA
Guía CCN-STIC 824 Informe del Estado de Seguridad
Guía CCN-STIC 844 Manual de Usuario de INES

Seguridad en Microsoft Windows 10 y Windows 10 Enterprise

por

Publicado por el CCN:
jueves, 18 octubre 2018

  • El CCN-CERT ha publicado en su portal web las Guías CCN-STIC 599A 18 y 599B 18.
  • Los documentos incluyen un paso a paso para implantar y establecer las configuraciones de seguridad en clientes Microsoft Windows 10 Enterprise LTSB cliente miembro de dominio y cliente independiente.
  • En ambos casos se ha incluido un cuerpo de guía común, junto con dos anexos; uno adaptable al Esquema Nacional de Seguridad (ENS) y otro a Redes Clasificadas.

El CCN-CERT ha publicado las Guías CCN-STIC 599A 18. Implementación de seguridad sobre Microsoft Windows 10 Enterprise LTSB (Cliente miembro de dominio) y CCN-STIC 599B 18. Implementación de seguridad sobre Microsoft Windows 10 Enterprise LTSB (Cliente independiente). En ambos casos se ha subido el cuerpo de la guía en la parte pública del portal, así como su anexo adaptable al Esquema Nacional de Seguridad (ENS) y otro apartado, en la sección privada del portal, destinado a las redes clasificadas.

El objetivo de ambas guías es proporcionar los procedimientos para implementar y garantizar la seguridad para una instalación del sistema “Microsoft Windows 10 en sus versiones “Enterprise” con sus opciones de mantenimiento “CB”, “CBB” o “LTSB” y “Professional”, actuando en la Guía 599A 18 como cliente miembro de un dominio y en el caso de la Guía 599B 18 como cliente independiente.

Ambos documentos incluyen operaciones básicas de administración para la aplicación de las versiones, así como una serie de recomendaciones para su uso y un paso a paso para implantar las configuraciones de seguridad en clientes Microsoft Windows 10 Enterprise LTSB miembros de un dominio y cliente independiente, respectivamente.

Las guías también contienen una sección con versiones y opciones de mantenimiento y licencias en MS Windows 10, nuevas funcionalidades y componentes en MS Windows 10, otro aparatado de funcionalidades adicionales de seguridad en la versión de MS Windows 10 Enterprise, novedades Windows 10 versión 1607, 1703 y 1709.

Acceso a la Guía CCN-STIC-599B18 Seguridad en Windows 10 Enterprise LTSB (cliente independiente)

Acceso a la Guía CCN-STIC-599A18 Seguridad en Windows 10 Enterprise LTSB (cliente miembro de dominio)

CCN-CERT (18/10/2018)

Medidas de seguridad compensatorias en el Esquema Nacional de Seguridad

por

Publicado el:
jueves, 04 octubre 2018

  • Nueva Guía CCN-STIC-819 del Centro Criptológico Nacional.
  • El objetivo de esta guía es servir de ayuda a las entidades del ámbito de aplicación del ENS en la determinación e implantación de las medidas compensatorias cuando no sea posible la adecuada implantación de las medidas de seguridad contempladas en el Esquema.

El Centro Criptológico Nacional ha hecho público la ‘Guía CCN-STIC 819. Medidas compensatorias’, donde se recogen una serie de medidas de seguridad alternativas cuando no sea posible la adecuada implantación de aquellas contempladas en el Anexo II del Esquema Nacional de Seguridad, siempre y cuando se justifique documentalmente que protegen igual o mejor del riesgo sobre los activos y se satisfacen los principios básicos y los requisitos mínimos.

La guía pretende servir de ayuda a las entidades del ámbito de aplicación del ENS que por diversos tipos de razones (técnicas, operativas, presupuestarias o de otro tipo), y debidamente documentadas y justificadas, no esté en condiciones de aplicar alguna de las medidas de seguridad contempladas en el ENS.

El documento recoge el ámbito de aplicación de estas medidas compensatorias, un cuadro de comprobación de dichas medidas, la evaluación y auditoría, así como las referencias legales y normativas, junto con algunos escenarios a modo de ejemplo.

CCN-CERT (04/10/2018)

Guía CCN-STIC 819. Medidas compensatorias

Certificación en ENS ( Esquema Nacional de Seguridad ) en UGR

por

Ayer nos comunicaron que en la Universidad de Granada habíamos conseguido la certificación en ENS, como es obligatorio por todas las administraciones públicas desde octubre del año pasado. En noviembre empezamos con las primeras auditorias y puesta en marcha de diferentes medidas de seguridad como indica el Real Decreto 3/2010 y modificación posterior con el Real Decreto 951/2015. El personal del CSIRC ha hecho todo lo posible para conseguir esta certificación  Todo esto se hace en el marco de la ley 39/2015 con temas relacionados con la administracion electrónica para asegurar los procedimientos a los administrados .

Como hito decir que somos la 4ª administracion pública  en conseguirlo, y podemos decir que la primera universidad española. Si deseas ver el certificado puedes hacerlo aquí ENS-UNIVERSIDAD DE GRANADA

 

Los metadatos son unos chivatos

por

A partir de los metadatos asociados a nuestros documentos, fotos, videos,… etc, se puede obtener información valiosa para los ciberdelicuentes. Por ejemplo de una foto podríamos ver la localización GPS del lugar donde se hizo la foto, con esta información se podría llegar a averiguar donde vives o incluso una vez que saben tu vivienda pueden ver si envías fotos de nuevo en fechas diferentes y averiguar si estas de vacaciones y la vivienda esta vacía.

Os adjunto URL relativa a metadatos aquí.

Es conveniente borrarlos antes de publicarlos, en este fichero Metadatos os dejo algunas instrucciones. Así también nos lo pide que lo hagamos como medida de protección en la normativa de ENS ( Esquema Nacional de Seguridad ) – Anexo II