Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de guias ccn

Informe para realizar evaluación de impacto en protección de datos.

La AEPD publica un modelo de informe para ayudar a las Administraciones Públicas a realizar evaluaciones impacto en la protección de datos

Publicado el:
miércoles, 10 julio 2019

  • Recopila todos los aspectos que deben ser tenidos en cuenta por las AAPP para elaborar un informe de Evaluación de Impacto (EIPD), complementando a la Guía práctica publicada por la Agencia
  • El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social

La Agencia Española de Protección de Datos (AEPD) ha publicado un modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) dirigido a Administraciones Públicas con el fin de facilitar la realización de estas evaluaciones y desarrollado a partir de la Guía práctica para las Evaluaciones de Impacto en la Protección de Datos, publicada por la AEPD. El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social.

Entre las obligaciones que el Reglamento General de Protección de Datos (RGPD) impone a los responsables del tratamiento se encuentra la necesidad de evaluar el impacto de las actividades de tratamiento en la protección de datos cuando resulte probable que dicho tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas.

El modelo recopila todos los aspectos que deben ser tenidos en cuenta para elaborar un informe de evaluación de impacto, entre los que se encuentra la descripción del tratamiento, la base jurídica que lo justifica, los análisis del tratamiento, de la obligación de realizar una EIPD o de cumplimiento, así como las medidas para la reducción del riesgo, un plan de acción y un apartado de conclusiones y recomendaciones.

Si bien este modelo no va dirigido a responsables que efectúen tratamientos de datos de bajo riesgo, en aquellos casos en que no sea obligatorio hacer una evaluación de impacto puede valorarse la posibilidad de llevar a cabo este análisis con otros fines, como estudiar en profundidad un tratamiento; mejorar la gestión global de los procesos de una organización; generar conocimiento y cultura de protección de datos, o hacer un ejercicio de responsabilidad proactiva.

Más información

El CCN-CERT publica un informe de buenas prácticas frente al cryptojacking

Publicado el:
lunes, 04 marzo 2019

  • El informe ‘CCN-CERT BP/12. Cryptojacking’ está disponible en la parte pública del portal.
  • Con este documento, el Centro Criptológico Nacional pretende orientar al usuario en el correcto empleo de las tecnologías, para evitar así los riesgos derivados del cryptojacking.
  • Algunos de los puntos tratados en este informe son: objetivos de los ataques, buenas prácticas y detección de cryptominers, monitorización y desinfección, entre otros.

El CCN-CERT ha publicado en su página web el informe ‘CCN-CERT BP/12. Cryptojacking’, un tipo de amenaza que consiste en el uso ilegítimo de un dispositivo electrónico ajeno para obtener criptomonedas. El objetivo de este nuevo informe es servir de orientación y guía para el usuario a través de una serie de recomendaciones y buenas prácticas para evitar ciberataques por parte de cryptominers1

……………….

A modo de resumen, el documento finaliza con un decálogo de recomendaciones en el que se recogen las principales medidas que se aconsejan que adopte el usuario.

CCN-CERT (04/03/2019)

Para ver el comunicado completo pinche aquí.

Recomendaciones de seguridad en redes WiFi corporativas

Publicado el:
martes, 13 noviembre 2018

  • El CCN-CERT publica su informe de Buenas Prácticas CCN-CERT BP-11 en el que se incluye un Decálogo Básico de Seguridad.
  • Este undécimo informe publicado sigue la estela divulgativa iniciada con los anteriores y pretende sentar las bases sobre las medidas de seguridad a tener en cuenta cuando se instala una red WiFi en un entorno corporativo.
  • Estos documentos son una serie de informes destinados a un público general que busca concienciar y facilitar el uso seguro de las tecnologías de la información y las comunicaciones.

Resto de la publicación aquí.

Guías prácticas de seguridad en dispositivos móviles: iPhone (iOS 11.x y iOS 12.x)

Publicado el:
miércoles, 07 noviembre 2018

  • Nuevas guías CCN-STIC-455C y CCN-STIC-455D, disponibles en la parte pública del portal del CCN-CERT
  • Las guías definen una lista de recomendaciones de seguridad para la configuración de dispositivos móviles basados en iPhone iOS 11.x y iPhone iOS 12.x cuyos objetivos son proteger el propio dispositivo, sus comunicaciones, y la información y datos que gestiona y almacena.
  • Asimismo, el documento revisa la actualización del sistema operativo, su modelo y arquitectura de seguridad, la gestión empresarial de estos dispositivos, su acceso físico, el cifrado de datos, la gestión de certificados digitales y credenciales, así como la localización geográfica.

El CCN-CERT ha publicado en su portal las Guías Prácticas CCN-STIC-455C, de seguridad en dispositivos móviles: iPhone (iOS 11.x) y CCN-STIC-455D, de seguridad en dispositivos móviles: iPhone (iOS 12.x). En adelante, las guías de seguridad de dispositivos móviles de la serie 400 (Android o iOS) se denominarán guías prácticas.

En ambas versiones se definen una serie de recomendaciones de seguridad para la configuración de dispositivos móviles, basados en el sistema operativo iOS de Apple (empleado en dispositivos iPhone, iPad, y iPod Touch, en sus diferentes variantes) y, en concreto, están centrados en las versiones 11.x y 12.x, con el objetivo de reducir su superficie de exposición frente a ataques de seguridad.

Los documentos analizan, de manera exhaustiva, el procedimiento de actualización del sistema operativo, su modelo y arquitectura de seguridad, la gestión empresarial de estos dispositivos, el cifrado de datos y la localización geográfica, entre otras cuestiones. Además, explican el modo seguro de empleo de los distintos tipos de comunicaciones a través de estos dispositivos: comunicaciones USB, NFC1, Bluetooth, Wi-Fi, mensajes de texto (SMS), voz y datos o TCP/IP2.

Del mismo modo, ambas Guías incluyen un Decálogo Básico de Seguridad de IOS 11 y 12 respectivamente.

CCN-CERT (07/11/2018)

Medidas de seguridad compensatorias en el Esquema Nacional de Seguridad

Publicado el:
jueves, 04 octubre 2018

  • Nueva Guía CCN-STIC-819 del Centro Criptológico Nacional.
  • El objetivo de esta guía es servir de ayuda a las entidades del ámbito de aplicación del ENS en la determinación e implantación de las medidas compensatorias cuando no sea posible la adecuada implantación de las medidas de seguridad contempladas en el Esquema.

El Centro Criptológico Nacional ha hecho público la ‘Guía CCN-STIC 819. Medidas compensatorias’, donde se recogen una serie de medidas de seguridad alternativas cuando no sea posible la adecuada implantación de aquellas contempladas en el Anexo II del Esquema Nacional de Seguridad, siempre y cuando se justifique documentalmente que protegen igual o mejor del riesgo sobre los activos y se satisfacen los principios básicos y los requisitos mínimos.

La guía pretende servir de ayuda a las entidades del ámbito de aplicación del ENS que por diversos tipos de razones (técnicas, operativas, presupuestarias o de otro tipo), y debidamente documentadas y justificadas, no esté en condiciones de aplicar alguna de las medidas de seguridad contempladas en el ENS.

El documento recoge el ámbito de aplicación de estas medidas compensatorias, un cuadro de comprobación de dichas medidas, la evaluación y auditoría, así como las referencias legales y normativas, junto con algunos escenarios a modo de ejemplo.

CCN-CERT (04/10/2018)

Guía CCN-STIC 819. Medidas compensatorias