Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de Normativa

Nueva intrucción técnica ENS. Cominicación ciberincidencias

 Ha salido publicada una nueva Instrucción Técnica https://www.boe.es/boe/dias/2018/04/19/pdfs/BOE-A-2018-5370.pdf la
publica el CCN como entidad que tiene encomendado según el RD. 951/2015
que modifica el R.D. 3/2010 , la gestión de ciberincidentes. En dichas
normativas aparece que debemos notificarlos acorde a la guia ccn stic
817
https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/988-ccn-stic-817-gestion-de-ciberincidentes/file.html
Para cualquier pregunta dirijase a seguridadinformatica@ugr.es .

Ficheros en la nube

Con respecto a dejar datos personales en la nube, desde la Secretaria General (a través de la pregunta 29 de la Guia Básica de proteccion de datos preparada al efecto ) nos dicen:

«29. ¿Qué precauciones han de adoptarse antes de contratar los servicios de computación en la nube?

El almacenamiento de datos en nube, como nueva forma de prestación de los servicios de tratamiento de la información, válida tanto para una empresa como para un particular y, también, para la Administración Pública, es una práctica creciente no exenta de riesgos en cuanto a la seguridad. La propia naturaleza del modelo Cloud Computing hace posible que, en principio, los datos almacenados «en la nube» se encuentren físicamente en un servidor ubicado en cualquier punto del planeta.

En esta materia, hay que tener en cuenta que:

1) El prestador de servicios de Cloud Computing tendrá la naturaleza de encargado del tratamiento, pues en definitiva trata datos personales por cuenta del responsable del fichero, en este caso la Universidad de Granada. Por consiguiente, sería exigible, a tenor de lo dispuesto en el art. 12 LOPD, la suscripción de un contrato de prestación de servicios de tratamiento de datos personales por cuenta de terceros con la empresa proveedora de este sistema de almacenamiento.

2) En la mayoría de los casos de «nube» no sabemos dónde están físicamente los datos, y pueden que estén almacenados en países a los que resulte de aplicación la normativa sobre transferencia internacional de datos, por lo que habría que estar a lo dispuesto en los artículos 137 a 140 del Reglamento de desarrollo de la LOPD.

3) En materia de seguridad y confidencialidad, los aspectos esenciales a tener en cuenta durante la selección del proveedor de servicios están contenidos en la guía para clientes que contraten servicios de Cloud Computing, aprobada por la Agencia Española de Protección de Datos.

Cumplidas las prescripciones legales y las recomendaciones de seguridad y confidencialidad, es aconsejable que los datos que se almacenen por este medio sean de nivel básico únicamente.

Entre los proyectos en marcha del CSIRC está la creación de una infraestructura de nube privada en el nuevo centro de procesos del edificio Mecenas que, desde la perspectiva de la seguridad, es preferible a una nube pública (sin comparar costes). Por lo tanto sería recomendable que se comentase con el CSIRC alternativas a este tipo de almacenamiento en las que la UGR pudiese tener mayor control.

La relación que mantenga cada usuario de la UGR con este tipo de prestadores lo será a título individual, sin que la Universidad pueda responder en este caso de su cumplimiento y de cualquier responsabilidad que pudiera derivarse de su ejecución, salvo que se trate de un contrato suscrito entre la UGR y el correspondiente prestador.»

En este sentido la AGPD ( Agencia Española de Proteccion de Datos ) eleboró una guía .

Medir cumplimiento con ENS de nuestros ordenadores con windows

Clara es una herramienta para analizar las características de seguridad técnicas definidas a través del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. El análisis del cumplimiento está basado en las normas proporcionadas a través de las plantillas de seguridad de las Guías CCN-STIC 850A, 850B, 851, 851B, 870A, 870B, 899A y 899B.

Para saber mas pincha aquí

Cifrado de discos

A la vista que el día 25 de mayo hay que empezar a aplicar el  reglamento de protección de datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo)  , un apartado que aparece obligatorio es el cifrado de los usb’s externos que utilicemos con datos personales. Para ello pegarle una vuelta a esta URL para un disco duro completo https://computerhoy.com/paso-a-paso/software/como-proteger-contrasena-disco-duro-externo-63776   o utilizar veracrypt para parte del disco, mira esta URL https://www.adslzone.net/2017/07/10/como-proteger-y-cifrar-tus-archivos-en-una-memoria-usb/ .

Normativa ciberseguridad en UGR

A continuacióin aglutinamos todos los enlaces relativos a normativas de ciberseguridad en la UGR:

Enlaces a BOE’s:

 

Seguridad Informática
Powered by  GDPR Cookie Compliance
Resumen de privacidad

BlogsUGR utiliza cookies propias para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a BlogsUGR, haces algún comentario o seleccionas el idioma de un blog. Rechazar las cookies propias podría suponer la imposibilidad de acceder como usuario a BlogsUGR.

Algunos blogs de BlogsUGR utilizan cookies de terceros con fines analíticos para recabar estadísticas sobre la actividad del usuario en dicho blog y la actividad general del  mismo.