Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre seguridad informática para el personal de la Universidad de Granada

Inicio >> Archivos paraBYOD

Algunas pautas de seguridad TIC a tener en cuenta en el Teletrabajo

por

Hoy, por gentileza del área de seguridad informática  de la Universidad de Pablo Olavide, os dejo unas pautas de seguridad de la información asociadas al teletrabajo y que han enviado a todo su personal , que podemos aplicárnoslas en UGR igualmente.

De igual forma os recuerdo que tenéis algunas medidas de seguridad a nivel general establecidas para trabajar con datos personales o cualquier tipo de información http://secretariageneral.ugr.es/pages/proteccion_datos/documentos/documentosobremedidasdeproteccion

Por supuesto he adaptado algunos emails y URL’s a nuestra universidad.

Proteja su equipo
➢ Intente realizar la conexión desde equipos cuyo sistema operativo tenga soporte de actualizaciones de seguridad (Windows 8.1 en adelante).
➢ Mantenga su equipo actualizado. Aplique las actualizaciones de sistema operativo y actualizaciones de aplicaciones instaladas, con especial atención a herramientas ofimáticas y navegadores.
➢ Instale una herramienta de detección y eliminación de malware y manténgala actualizada. Puede seguir las recomendaciones de herramientas de la página oficial la Oficina del Internauta https://www.osi.es/es/herramientas
➢ Realice escaneos periódicos con la herramienta de detección y eliminación de malware.
➢ Realice análisis con herramientas de detección de malware de unidades externas (pendrive, discos duros, etc.) antes de acceder a su contenido.
➢ Tenga precaución en la instalación de aplicaciones en su ordenador. Acuda siempre a la página de proveedores oficiales para la descarga de software. Extreme las precauciones en la instalación y uso de extensiones en los navegadores. Ante la duda sobre garantías de seguridad, deshabilite las extensiones de los navegadores.
➢ Si transporta equipo corporativo, manténgalo siempre bajo custodia, no lo abandone en coches ni en lugares visibles. Si el equipo sufre daños o es sustraído, proceda a comunicarlo de forma inmediata a la Universidad.

➢ Desde ubicaciones remotas no dispone de las medidas de protección perimetrales corporativas, por lo que debe extremar las precauciones frente a la llegada de correo no deseado o fraudulento:

       • Asegúrese que el remitente del correo no ha sido suplantado, y que la cuenta corresponde una cuenta corporativa con dominio oficial (por ejemplo, @ugr.es  para remitentes de la Universidad).
      • Desconfíe de información no oficial sobre temas que despierten especial alerta (coronavirus, suspensión de servicios, situaciones de emergencia,etc.). No siga enlaces, ni descargue documentos desde ningún dispositivo.
     • Desconfíe de correos de remitente desconocido, o de remitente conocido cuyo contenido no corresponda con la actividad usual del remitente.
    • Desconfíe de correos que alertan sobre situaciones excepcionales (extravío de paquetes, caducidad o hackeo de cuentas de correos o cuentas de redes sociales, gangas o premios), que requieran acciones urgentes (registrarse en una página, facilitar datos personales, descargar un documento, instalar una aplicación, etc.), y cuyas consecuencias sean desfavorables que soliciten  datos (pérdida de una ganga, perder cuentas de correo o redes sociales).
     • No abra el correo los correos sospechosos. Si lo ha hecho, no siga ningún enlace, no abra documentos adjuntos, ni responda al propio correo. Si sospecha que ha podido ser víctima de un correo sospechoso, denúncielo  y proceda a cambiar de forma inmediata sus contraseñas corporativas.
     • Remita una copia del sospechoso a seguridadinformatica@ugr.es, le ayudaremos a identificar correos fraudulentos y denunciaremos a las autoridades cuando  lo sea.
    • No facilite en ningún caso datos personales como contraseñas o datos bancarios. Ningún servicio oficial se los solicitará por estos medios. Ante la duda, confirme con el remitente por una vía distinta (teléfono o presencial) sobre la acción requerida en el correo.

➢ No instale ninguna aplicación que le proponga una página web para poder visualizarsu contenido de forma correcta. Si necesita actualización o instalación de algún componente, acuda a la página web de sus distribuidores oficiales.

Proteja su conexión
➢ Conecte su equipo a redes seguras. Evite conectarse en redes wifi públicas o en locales públicos (hoteles, estaciones, aeropuertos, cafeterías…). Si necesitara conectarse a este tipo de redes inseguras, evite el intercambio de información confidencial o sensible (contraseñas, datos bancarios, datos de salud, etc.). Si, aun así, ha necesitado registrarse, cambie las contraseñas en cuanto se pueda conectar a una red segura.
➢ Evite conectarse desde equipos de uso compartido.
➢ Si conecta con un dispositivo móvil, fuera del hogar, recuerde que la red de datos de telefonía es más segura que la conexión wifi.
➢ Extreme las precauciones en la custodia de credenciales, en especial aquellas de uso temporal, que le puedan ser facilitadas para conexión excepcionales a los servicios de la Universidad. No las anote en un sitio visible, no las comparta y si sospecha que hayan podido ser sustraídas, proceda a cambiarlas de forma inmediata. Elija contraseñas siguiendo las recomendaciones de la política de contraseñas de la Universidad. http://secretariageneral.ugr.es/pages/seguridad-de-la-informacion/_doc/np04normasdecreaciaanyusodecontrasenaaasv02/%21
➢ Siga las recomendaciones de configuración segura de su proveedor de red Wifi. Protéjala con contraseñas seguras.

Proteja la información
➢ Proteja la información manteniendo su pantalla a salvo de miradas indiscretas.
➢ Bloquee la sesión de trabajo (tecla de Windows + L) cuando se ausente del equipo para evitar accesos no autorizados o acciones accidentales.
➢ Configure el bloqueo de sesión automático tras un tiempo de inactividad para que, si olvida bloquear la sesión de trabajo, el equipo lo haga de forma automática.
➢ Cuando inicie sesión en algún servicio corporativo (webmail, aula virtual, myapps,etc.). recuerde finalizar la sesión o realizar la desconexión cuando deje de utilizarlo.Esto liberará recursos y evitará accesos no autorizados.
➢ Si instala certificados personales en equipos de uso no habitual, proteja su uso concontraseñas y desinstálelo cuando ya no sea necesario.
➢ Evite almacenar en los navegadores información sobre contraseñas. Borre los archivos temporales y el historial antes de finalizar una sesión de trabajo.
➢ Evite transportar información corporativa en unidades extraíbles. Si fuera necesario,garantice que la información esté protegida de accesos no autorizados (protéjala con contraseñas u otros sistemas de encriptación). No etiquete el dispositivo de forma que pueda reconocerse el contenido del mismo. Custódielo en todo momento, evitando dejarlo abandonado o en sitios de fácil acceso. Extreme las precauciones para evitar pérdidas u olvidos accidentales.
➢ Evite descargar información corporativa en dispositivos propios (teléfonos, equipos personales, etc.). Si fuera necesario, mantenga las medidas de seguridad para que no sea accedida por terceras personas, incluidas aquellas que puedan compartir el equipo. Protéjalas con contraseña, no identifique la documentación de forma que pueda saberse el contenido de la misma.
➢ Evite imprimir o transportar información en soporte papel. Caso de realizarlo,mantenga las medidas de seguridad, extreme las precauciones en su custodia para evitar pérdidas o sustracciones, no etiquete la información que pueda reconocerse el contenido. Asegure que no se realizan accesos no autorizados.
➢ Con carácter general, no serán elegibles para su realización en modo de teletrabajo actividades que requieran el tratamiento de información y/o documentos que contengan datos de carácter personal u otros de especial relevancia que puedan comprometer, en caso de incidentes de seguridad o violaciones de seguridad, la obligada protección de los sistemas de información de la Universidad y, en particular, de los datos personales o la seguridad de instalaciones y personas. No obstante, en caso de que la tarea a desarrollar en teletrabajo sea identificada como susceptible de afectar a la protección de datos personales, seguridad de la información o derechos de las personas, deberá aplicar las medidas de seguridad adecuadas al tratamiento concreto que vaya a realizar. Con carácter general, en estos casos, evite descargar información sensible o que contenga datos de carácter personal. Antes de realizar cualquier descarga de este tipo de información,
reflexione sobre si es completamente necesario. Si así fuera, asegúrese que lo realiza con las medidas de seguridad requeridas para esto casos. Realice la descarga por canales de conexión segura. Protéjala por contraseña antes de realizar la comunicación. Cuando sea posible, disocie los datos. Custodie la información y las contraseñas de acceso para asegurar su confidencialidad. Tome medidas para que no sea accedido por personas no autorizadas.

➢ Elimine los datos o copias locales realizadas, incluso de forma automática, en cuanto dejen de ser necesarias. Para la información sensible o que contenga datos de carácter personal, asegúrese de realizar un borrado seguro que no permita la recuperación posterior. En este último caso, debe hacerlo al finalizar la jornada laboral. Para la información en soporte papel, elimine con procedimiento de destrucción segura.
➢ Si se produce cualquier pérdida o sustracción de información corporativa, con especial atención a información sensible o que contenga datos de carácter personal, comuníquelo de inmediato a protecciondedatos@ugr.es o a seguridadinformatica@ugr.es siguiendo el siguiente protocolo http://secretariageneral.ugr.es/pages/proteccion_datos/documentos/ugrprotocolonotificacioanbrechasdeseguridaddatospersonales

 

Publicada la Guía práctica de seguridad de macOS 10.14 Mojave

por

Publicado el:
lunes, 15 julio 2019

  • La Guía CCN-STIC-458 puede consultarse en la parte pública del portal del CCN-CERT.
  • El proceso de instalación y actualización de macOS Mojave, primeras acciones para proteger el ordenador, activación de servicios y aplicaciones en el proceso de arranque, preferencias del sistema, mecanismos de protección y tecnologías de seguridad, copias de seguridad y restauración, y eliminación de los datos del ordenador son los principales contenidos incluidos en el nuevo documento.
  • El propósito de esta guía es proporcionar un análisis general de los mecanismos y la configuración de seguridad recomendados para el sistema operativo macOS 10.14 de Apple, conocido como “Mojave”.

Para seguir con la noticia puede hacer aquí.

Guías prácticas de seguridad en dispositivos móviles: iPhone (iOS 11.x y iOS 12.x)

por

Publicado el:
miércoles, 07 noviembre 2018

  • Nuevas guías CCN-STIC-455C y CCN-STIC-455D, disponibles en la parte pública del portal del CCN-CERT
  • Las guías definen una lista de recomendaciones de seguridad para la configuración de dispositivos móviles basados en iPhone iOS 11.x y iPhone iOS 12.x cuyos objetivos son proteger el propio dispositivo, sus comunicaciones, y la información y datos que gestiona y almacena.
  • Asimismo, el documento revisa la actualización del sistema operativo, su modelo y arquitectura de seguridad, la gestión empresarial de estos dispositivos, su acceso físico, el cifrado de datos, la gestión de certificados digitales y credenciales, así como la localización geográfica.

El CCN-CERT ha publicado en su portal las Guías Prácticas CCN-STIC-455C, de seguridad en dispositivos móviles: iPhone (iOS 11.x) y CCN-STIC-455D, de seguridad en dispositivos móviles: iPhone (iOS 12.x). En adelante, las guías de seguridad de dispositivos móviles de la serie 400 (Android o iOS) se denominarán guías prácticas.

En ambas versiones se definen una serie de recomendaciones de seguridad para la configuración de dispositivos móviles, basados en el sistema operativo iOS de Apple (empleado en dispositivos iPhone, iPad, y iPod Touch, en sus diferentes variantes) y, en concreto, están centrados en las versiones 11.x y 12.x, con el objetivo de reducir su superficie de exposición frente a ataques de seguridad.

Los documentos analizan, de manera exhaustiva, el procedimiento de actualización del sistema operativo, su modelo y arquitectura de seguridad, la gestión empresarial de estos dispositivos, el cifrado de datos y la localización geográfica, entre otras cuestiones. Además, explican el modo seguro de empleo de los distintos tipos de comunicaciones a través de estos dispositivos: comunicaciones USB, NFC1, Bluetooth, Wi-Fi, mensajes de texto (SMS), voz y datos o TCP/IP2.

Del mismo modo, ambas Guías incluyen un Decálogo Básico de Seguridad de IOS 11 y 12 respectivamente.

CCN-CERT (07/11/2018)

Wifis gratis públicas y los dispositivos de trabajo

por

Llegan las vacaciones y nos llevamos nuestros dispositivos con los que hemos trabajado en la universidad con nosotros , teléfonos-portátiles-tablets, todos ellos configurados con el correo de la UGR y algunos, aunque no debamos, con documentos de trabajo.  Debemos extremar las precauciones, os aconsejo que le peguéis un vistazo a los consejos que nos da el INCIBE en este tríptico que podéis encontrar en este blog. Y por favor evitar las wifis gratis públicas o utilizar VPN.