Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de ENS

Certificación en ENS ( Esquema Nacional de Seguridad ) en UGR

Ayer nos comunicaron que en la Universidad de Granada habíamos conseguido la certificación en ENS, como es obligatorio por todas las administraciones públicas desde octubre del año pasado. En noviembre empezamos con las primeras auditorias y puesta en marcha de diferentes medidas de seguridad como indica el Real Decreto 3/2010 y modificación posterior con el Real Decreto 951/2015. El personal del CSIRC ha hecho todo lo posible para conseguir esta certificación  Todo esto se hace en el marco de la ley 39/2015 con temas relacionados con la administracion electrónica para asegurar los procedimientos a los administrados .

Como hito decir que somos la 4ª administracion pública  en conseguirlo, y podemos decir que la primera universidad española. Si deseas ver el certificado puedes hacerlo aquí ENS-UNIVERSIDAD DE GRANADA

 

Los metadatos son unos chivatos

A partir de los metadatos asociados a nuestros documentos, fotos, videos,… etc, se puede obtener información valiosa para los ciberdelicuentes. Por ejemplo de una foto podríamos ver la localización GPS del lugar donde se hizo la foto, con esta información se podría llegar a averiguar donde vives o incluso una vez que saben tu vivienda pueden ver si envías fotos de nuevo en fechas diferentes y averiguar si estas de vacaciones y la vivienda esta vacía.

Os adjunto URL relativa a metadatos aquí.

Es conveniente borrarlos antes de publicarlos, en este fichero Metadatos os dejo algunas instrucciones. Así también nos lo pide que lo hagamos como medida de protección en la normativa de ENS ( Esquema Nacional de Seguridad ) – Anexo II

 

Nueva intrucción técnica ENS. Cominicación ciberincidencias

 Ha salido publicada una nueva Instrucción Técnica https://www.boe.es/boe/dias/2018/04/19/pdfs/BOE-A-2018-5370.pdf la
publica el CCN como entidad que tiene encomendado según el RD. 951/2015
que modifica el R.D. 3/2010 , la gestión de ciberincidentes. En dichas
normativas aparece que debemos notificarlos acorde a la guia ccn stic
817
https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/988-ccn-stic-817-gestion-de-ciberincidentes/file.html
Para cualquier pregunta dirijase a seguridadinformatica@ugr.es .

Medir cumplimiento con ENS de nuestros ordenadores con windows

Clara es una herramienta para analizar las características de seguridad técnicas definidas a través del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. El análisis del cumplimiento está basado en las normas proporcionadas a través de las plantillas de seguridad de las Guías CCN-STIC 850A, 850B, 851, 851B, 870A, 870B, 899A y 899B.

Para saber mas pincha aquí

BOE – Instrucción Técnica de Seguridad de Auditoría

Publicado el:
martes, 03 abril 2018

Publicada en el BOE la Instrucción Técnica de Seguridad de Auditoría

  • Tercera ITS publicada en el Boletín Oficial del Estado de la serie prevista en el Real Decreto del Esquema Nacional de Seguridad.
  • Esta ITS establece las condiciones para la realización de la preceptiva auditoría de seguridad a la que deben someterse los sistemas de información del ámbito de aplicación del ENS, teniendo en cuenta que los sistemas de categoría MEDIA o ALTA están obligados a superar una auditoría al menos cada dos años.
  • Objeto, ámbito de aplicación, propósito de la Auditoría, obligatoriedad y normativa reguladora, definición del alcance, ejecución, informe de Auditoría, entidades auditoras del Sector Público y una disposición adicional sobre el Reglamento General de Protección de Datos, son los principales capítulos de esta Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública.

El Boletín Oficial del Estado, de hoy 3 de abril de 2018, ha publicado la Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) “Auditoría de la Seguridad de los sistemas de información”, que será de aplicación al día siguiente de su publicación (4 de abril).

Esta ITS tiene por objeto establecer las condiciones para la realización de las auditorías, ordinarias o extraordinarias, previstas en el artículo 34 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad. Las auditorías deben realizarse con el fin de determinar el grado de conformidad con el ENS y debe permitir a sus responsables adoptar las medidas oportunas para subsanar las deficiencias encontradas y, en su caso, posibilitar la obtención de la correspondiente Certificación de Conformidad.

Cabe recordar que para obtener esta Certificación, los sistemas de información de categoría MEDIA o ALTA precisarán superar una Auditoría de Seguridad, al menos cada dos años. Asimismo, los informes de auditoría emitidos podrán ser requeridos por el CCN-CERT ante cualquier agresión recibida en los sistemas de información de las Administraciones Públicas (artículo 37 del ENS).

Para el desarrollo de las auditorías, la Resolución ahora publicada señala que deberán realizarse conforme a la propia ITS y, cuando corresponda, a las normas nacionales e internacionales sobre auditorías, entre ellas las Guías CCN-STIC 802 Guía de Auditoría, CCN-STIC 804 Guía de Implantación y CCN-STIC 808 Verificación del cumplimiento de las medidas en el ENS.

Instrucciones Técnicas de Seguridad

Esta es la tercera ITS publicada de obligado cumplimiento, a propuesta de la Comisión Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional, tal y como recoge el artículo 29 del Real Decreto 3/2010, por el que se regula el ENS. Las otras dos versan sobre la “Conformidad con el Esquema Nacional de Seguridad” e “Informe del Estado de la Seguridad”.

Estas instrucciones técnicas entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; notificación de incidentes de Seguridad; auditoría de la Seguridad; conformidad con el Esquema Nacional de Seguridad; adquisición de Productos de Seguridad; criptología de empleo en el Esquema Nacional de Seguridad; interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar el Comité Sectorial de Administración Electrónica, según lo establecido en el citado artículo 29.

CCN-CERT (03/04/2018)

Acceso a la Instrucción Técnica de Seguridad (ITS) “Auditoría de la Seguridad de los sistemas de información”