Además de la Política de Seguridad de la Información en la UGR, que ya vimos en otra píldora, existen una serie de normativas sobre que podemos hacer o no con los recursos de seguridad de la información. Todas estas normativas cuelgan de la página web de Secretaría General en el siguiente enlace https://secretariageneral.ugr.es/pages/seindex o puedes pinchar en los enlaces de mas abajo para verlas.
Píldora ENS: Política de seguridad de la información.
Introducción
La Política de Seguridad de la Información es un documento de alto nivel que define lo que significa «seguridad de la información» en una organización. El documento esta accesible para todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible.
En este documento se establecen:
• Los objetivos de seguridad de la información de la organización
• El comité de seguridad, detallando sus funciones y los roles de sus miembros
• El marco normativo donde se recoge la legislación vigente relevante en materia de Seguridad de la Información
• Otros aspectos, como la resolución de conflictos, el procedimiento de designación de los miembros del comité, o cómo se va a estructurar la documentación del Sistema de Gestión de Seguridad de la Información.
Objetivos
Los objetivos de Seguridad de la Información definidos en la
Política de Seguridad de la organización son los siguientes:
• La información y los servicios estén protegidos contra pérdidas de disponibilidad, confidencialidad e integridad.
• La información esté protegida contra accesos no autorizados.
• Se cumplan los requisitos legales aplicables.
• Se cumplan los requisitos del servicio respecto a la seguridad de la información y los sistemas de información.
• Las incidencias de seguridad sean comunicadas y tratadas apropiadamente.
• Se establezcan procedimientos para cumplir con esta Política.
• El Responsable de Seguridad de la Información sea el encargado de mantener esta Política, los procedimientos y de proporcionar apoyo en su implementación.
• El Responsable de Servicio sea el encargado de implementar esta Política y sus correspondientes procedimientos.
• Cada empleado sea responsable de cumplir esta Política y sus procedimientos según aplique a su puesto.
• La Universidad de Granada implemente, mantenga y realice un seguimiento del cumplimiento del Esquema Nacional de Seguridad.
Si deseas ver la que tiene la Universidad de Granada puedes hacerlo en https://secretariageneral.ugr.es/bougr/pages/bougr117/_doc/rre1171/!
Seguridad de la información para investigadores.
En el marco del RGPD en su art. 32 en su apartado dos se habla que las medidas de seguridad que se deben aplicar en los datos personales en los tratamientos están basadas en el análisis de riesgos, por lo que antes de cualquier investigación que trate datos personales lo primero que se debería hacer es ese Análisis de Riesgos. Conviene echar un vistazo a este artículo de forma completa.
Por otra parte en la ley 3/2018, (LOPDGDD), en su disposición adicional primera, se habla que en el caso de las administraciones públicas las medidas que se deben aplicar son las que aparecen en el R.D. 3/2010 (Esquema Nacional de Seguridad) . Aunque desde Mayo del 2022 tenemos un nuevo R.D. ,el 311/2022 , pero las administraciones públicas tenemos plazo para adecuarnos hasta mayo del 2024.
Así que todo debe partir de ese análisis de riesgos y a través de su gestión del riesgo, esto nos dirá que medidas debemos aplicar. Hay una herramienta que utilizamos en las administraciones públicas que se llama PILAR.
No obstante siempre podemos echar un vistazo a los consejos y medidas mínimas de seguridad que hemos establecido desde la Oficina de Protección de Datos de la UGR, y que cuyos enlaces aparecen mas abajo.
Blog Oficina de Protección de Datos https://blogs.ugr.es/protecciondedatos/
O también podemos revisar este documento publicado por la Agencia Española de Protección de Datos para casos en que se utilice datos genéticos o de salud https://www.aepd.es/sites/default/files/2020-02/premio-2019-emilio-aced-accesit-mikel-recuero.pdf puede orientarnos de una manera muy general que podemos/debemos hacer.
Pero aquí nos centraremos solo en medidas de seguridad intentando dar algunos manuales de como realizar esa medida.
–Presentacion del área de Seguridad Informática ( contacto seguridadinformatica@ugr.es)
- CIBERPROTECCION Y BRECHAS EN UGR.
* Normas mínimas en ciberprotección en UGR.
* Protocolo notificación de brechas de seguridad en datos personales.
CIFRADO.
– Cifrado ( discos duro, pendrive, nube)
Software para cifrado en la nube: Cryptomator
-Envío de datos cifrados en un email con 7 zip en windows o keka en mac.
BACKUP.
– Copias de seguridad, el backup de los datos.
ALMACENAMIENTO DE DATOS EN NUBE.
-Nubes propias ( UGRDrive ó owcloud en un ordenador )
EXTRAS.
–Talleres de Ciberseguridad en la Oficina de Seguridad del Internauta.
–Malentendidos en la anonimización.
Algunas pinceladas de Análisis de riesgos
Herramienta de la AEPD para analisis de riesgos https://www.aepd.es/es/guias-y-herramientas/herramientas/evalua-riesgo-rgpd
Aviso de cookies y permitir su configuracion
De
sde el día 31 de octubre es obligatorio avisar y permitir la configuración de los diferentes tipos de cookies que estemos usando en nuestra página web, por ajuste a una directiva europea . Caso de no hacerlo 
pueden sancionar al responsable de dicha página. Sobre este tema os dejo enlace a la guía/noticia que ha editado la Agencia Española de Protección de Datos sobre este tema Pincha aquí.
Limpieza de metadatos en los documentos de la Universidad de Granada
Se pone a disposición de toda la comunidad universitaria un servicio de limpieza de metadatos en los documentos que queremos enviar por correo o publicar en web, como así nos pide que hagamos la normativa sobre ciberseguridad (ENS). Solo funciona en equipos de la Universidad y se puede acceder a través del siguiente enlace http://lime.ugr.es
Hay otros servicios de pago y gratuitos por internet pero este está basado en software libre y los documentos no salen de la UGR a servicios en la red, evitando el posible fallo de seguridad e incumpliento legal con los documentos.
Desde Office también hay opciones para borrado de los metadatos, y que aconsejamos que se utilicen en el caso de publicación de datos en internet. Hay que evitar darle pistas a los malo.
Para saber mas de los metadatos os dejo referencia a un post que publiqué aquí hace un tiempo https://blogs.ugr.es/seguridadinformatica/los-metadatos-son-unos-chivatos/
