| Publicado el: jueves, 04 octubre 2018
El Centro Criptológico Nacional ha hecho público la ‘Guía CCN-STIC 819. Medidas compensatorias’, donde se recogen una serie de medidas de seguridad alternativas cuando no sea posible la adecuada implantación de aquellas contempladas en el Anexo II del Esquema Nacional de Seguridad, siempre y cuando se justifique documentalmente que protegen igual o mejor del riesgo sobre los activos y se satisfacen los principios básicos y los requisitos mínimos. La guía pretende servir de ayuda a las entidades del ámbito de aplicación del ENS que por diversos tipos de razones (técnicas, operativas, presupuestarias o de otro tipo), y debidamente documentadas y justificadas, no esté en condiciones de aplicar alguna de las medidas de seguridad contempladas en el ENS. El documento recoge el ámbito de aplicación de estas medidas compensatorias, un cuadro de comprobación de dichas medidas, la evaluación y auditoría, así como las referencias legales y normativas, junto con algunos escenarios a modo de ejemplo. CCN-CERT (04/10/2018) |
Certificación en ENS ( Esquema Nacional de Seguridad ) en UGR
Ayer nos comunicaron que en la Universidad de Granada habíamos conseguido la certificación en ENS, como es obligatorio por todas las administraciones públicas desde octubre del año pasado. En noviembre empezamos con las primeras auditorias y puesta en marcha de diferentes medidas de seguridad como indica el Real Decreto 3/2010 y modificación posterior con el Real Decreto 951/2015. El personal del CSIRC ha hecho todo lo posible para conseguir esta certificación Todo esto se hace en el marco de la ley 39/2015 con temas relacionados con la administracion electrónica para asegurar los procedimientos a los administrados .
Como hito decir que somos la 4ª administracion pública en conseguirlo, y podemos decir que la primera universidad española. Si deseas ver el certificado puedes hacerlo aquí ENS-UNIVERSIDAD DE GRANADA
Los metadatos son unos chivatos
A partir de los metadatos asociados a nuestros documentos, fotos, videos,… etc, se puede obtener información valiosa para los ciberdelicuentes. Por ejemplo de una foto podríamos ver la localización GPS del lugar donde se hizo la foto, con esta información se podría llegar a averiguar donde vives o incluso una vez que saben tu vivienda pueden ver si envías fotos de nuevo en fechas diferentes y averiguar si estas de vacaciones y la vivienda esta vacía.
Os adjunto URL relativa a metadatos aquí.
Es conveniente borrarlos antes de publicarlos, en este fichero Metadatos os dejo algunas instrucciones. Así también nos lo pide que lo hagamos como medida de protección en la normativa de ENS ( Esquema Nacional de Seguridad ) – Anexo II
Certificados para servidores web
Si desea securizar su servidor web, usando protocolo https, puede obtener u adquirir un certificado, gratis o no, de cualquiera de los operadores que existen en el mercado internacional e instalárselo en su servidor. Así, entre otras cosas, consigue evitar la tan molesta alerta para los usuarios de que la página a la que están entrando «no es confiable» y de que deben asegurarse antes que el certificado que posee tal página es válido.
Para facilitar esa obtención de certificados, de manera gratuita y más cómoda para vd., desde el CSIRC hemos establecido el siguiente protocolo de solicitud de certificados para servidores web:
- Paso 1.– Dirija una solicitud (escrito o email) a Secretaría General UGR -en adelante SG- pidiendo un certificado de seguridad para su servidor indicando:
* si el servidor es o va a ser servidor web, (el cual debe ser o estar declarado como tal en SG)
* el nombre y cargo/puesto del responsable de la máquina a nivel institucional
* el correo electrónico del responsable - Paso 2.- SG comprobará en su registro de servidores web si está dado de alta y en caso negativo le pedirá que siga el protocolo establecido para declararlo previamente, cumpliendo la LSSI (Ley de Servicios de la Sociedad de la Información).
Una vez solventada esta cuestión, SG nos remite la petición al CSIRC con su VºBº. - Paso 3.- CSIRC termina de comprobar la autenticidad del responsable y le remite un escrito de aceptación ‘tipo’ que nos suministra RedIRIS (entidad certificadora con la que estamos conveniados), que debe cumplimentar y firmar para devolver al CSIRC.
En ese escrito, RedIRIS obliga a reconocer, por ejemplo, que el uso del certificado será acorde a ley y no para operaciones bancarias.
Este documento también se lo puede descargar la persona interesada, con las condiciones de uso indicadas, en:
http://www.rediris.es/scs/perfil/ssl/index.html - Paso 4. Cuando el CSIRC tenga la aceptación del documento RedIRIS por parte del responsable, procederá a generar código CSR, clave privada y cumplir con el resto de requisitos que exige RedIRIS para este tipo de peticiones.
- Paso 5.- Finalmente, en pocos días, cuando el CSIRC disponga del certificado, clave pública, etc., enviados por RedIRIS, se remitirá por email al responsable, que ya puede instalarlo y usarlo en su servidor.
Llegado el momento, tras el periodo de vigor y uso del certificado en cuestión, deberá renovar tal certificado.
Sea consciente y esté atento a ello y, entonces, sólo tiene que comunicárnoslo a seguridadinformatica@ugr.es, preferiblemente unos días antes de su caducidad. Desde que se nos notifique o pida, en el CSIRC nos encargamos igualmente de su renovación y comunicación al interesado.
Nueva intrucción técnica ENS. Cominicación ciberincidencias
Ha salido publicada una nueva Instrucción Técnica https://www.boe.es/boe/dias/2018/04/19/pdfs/BOE-A-2018-5370.pdf la publica el CCN como entidad que tiene encomendado según el RD. 951/2015 que modifica el R.D. 3/2010 , la gestión de ciberincidentes. En dichas normativas aparece que debemos notificarlos acorde a la guia ccn stic 817 https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/988-ccn-stic-817-gestion-de-ciberincidentes/file.html Para cualquier pregunta dirijase a seguridadinformatica@ugr.es .
