Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre seguridad informática para el personal de la Universidad de Granada

Inicio >> Archivos para Normativa

CCN aconseja que los password sean más largos

por

Ahora que se ha demostrado que el segundo factor de autenticación es lo más aconsejable a la vulnerabilidad de los sistemas protegidos sólo con clave, el CCN ha sacado una nueva versión de su anexo V de la guía 821 en lo relativo a normativa de seguridad donde nos explica como hacer claves/contraseñas más robustas. Cito a continuación el párrafo donde nos aconseja que las claves sean más largas para que el tiempo de descifrado, en casos de ataques de fuerza bruta, no tengan el efecto deseado por los ‘malos’:

“Utilizar la concatenación de varias palabras para construir contraseñas largas(passphrases) cuya deducción, automática o no, no sea simple. Por ejemplo:“elefanteneumáticocarpeta”, incluso contemplando la presencia de espacios en blanco. Por ejemplo: “cocina televisor ventana”. También pueden utilizarse frases cortas sin sentido, tales como “blue pigs do not piss”, “los tontos huelen amarillo”, “los de aquí son cortos de nariz”, “azulín, azulado, esta contraseña me la he inventado”.   ”

Si deseas verificar la fortaleza de alguna clave Kaspersky tiene una herramienta donde puedes ver cuanto tiempo tardan en averiguarla con las herramientas de actuales de hacking, https://password.kaspersky.com/es/

Como consejo general cambia las contraseñas de vez en cuando.

Y por último si quereis ver si os han pirateado la cuenta leer este artículo de la revista computer hoy.

 

Informe Agencia Protección de Datos sobre alojar datos de alumnos en la nube.

por

La Agencia Española de Proteccion de Datos ha emitido un informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en la nube con sistemas ajenos a las plataformas educativas. En el se incluye una serie de recomendaciones a seguir. Para leer dicho informe puede pinchar aquí.

Aprobada definitivamente la ley de Protección de Datos con la polémica del tratamiento por parte de los partidos

por

NOTICIAS DE SEGURIDAD
Publicado el:
jueves, 22 noviembre 2018

El Pleno del Senado ha aprobado este miércoles definitivamente el Proyecto de Ley Orgánica de protección de datos personales y garantía de los derechos digitales, con el voto en contra de Unidos Podemos, Compromís, Nueva Canarias y Bildu, en medio de la polémica por el artículo ’58 bis’ sobre utilización de medios tecnológicos y datos personales en las actividades electorales de los partidos políticos.

El texto del Proyecto de ley ha salido adelante en la Cámara Alta tal y como se aprobó en el Congreso de los Diputados ya que PSOE y PP han rechazado todas las enmiendas que habían sido presentadas por Compromís, Ciudadanos, PDeCAT y Unidos Podemos – En Comú Podem – En Marea. La iniciativa legislativa comenzó su tramitación con el PP en el Gobierno. De este modo, sale directamente para su publicación en el Boletín Oficial del Estado (BOE) y su aplicación.

La polémica de esta ley ha surgido a raíz del citado artículo ’58 bis’ que establece que “la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas”.

Además, el nuevo artículo indica que “los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral”.

Europa Press (22/11/2018)

CCN-CERT

 Ponencia BOCG-12-A-13-3 

Guías prácticas de seguridad en dispositivos móviles: iPhone (iOS 11.x y iOS 12.x)

por

Publicado el:
miércoles, 07 noviembre 2018

  • Nuevas guías CCN-STIC-455C y CCN-STIC-455D, disponibles en la parte pública del portal del CCN-CERT
  • Las guías definen una lista de recomendaciones de seguridad para la configuración de dispositivos móviles basados en iPhone iOS 11.x y iPhone iOS 12.x cuyos objetivos son proteger el propio dispositivo, sus comunicaciones, y la información y datos que gestiona y almacena.
  • Asimismo, el documento revisa la actualización del sistema operativo, su modelo y arquitectura de seguridad, la gestión empresarial de estos dispositivos, su acceso físico, el cifrado de datos, la gestión de certificados digitales y credenciales, así como la localización geográfica.

El CCN-CERT ha publicado en su portal las Guías Prácticas CCN-STIC-455C, de seguridad en dispositivos móviles: iPhone (iOS 11.x) y CCN-STIC-455D, de seguridad en dispositivos móviles: iPhone (iOS 12.x). En adelante, las guías de seguridad de dispositivos móviles de la serie 400 (Android o iOS) se denominarán guías prácticas.

En ambas versiones se definen una serie de recomendaciones de seguridad para la configuración de dispositivos móviles, basados en el sistema operativo iOS de Apple (empleado en dispositivos iPhone, iPad, y iPod Touch, en sus diferentes variantes) y, en concreto, están centrados en las versiones 11.x y 12.x, con el objetivo de reducir su superficie de exposición frente a ataques de seguridad.

Los documentos analizan, de manera exhaustiva, el procedimiento de actualización del sistema operativo, su modelo y arquitectura de seguridad, la gestión empresarial de estos dispositivos, el cifrado de datos y la localización geográfica, entre otras cuestiones. Además, explican el modo seguro de empleo de los distintos tipos de comunicaciones a través de estos dispositivos: comunicaciones USB, NFC1, Bluetooth, Wi-Fi, mensajes de texto (SMS), voz y datos o TCP/IP2.

Del mismo modo, ambas Guías incluyen un Decálogo Básico de Seguridad de IOS 11 y 12 respectivamente.

CCN-CERT (07/11/2018)

Este martes dia 30 octubre se abre el plazo para la carga de datos del Informe Nacional del Estado de Seguridad, INES

por

Publicado el:
lunes, 29 octubre 2018

  • El Centro Criptológico Nacional recuerda la obligación de obtener la Certificación de Conformidad en los sistemas de categoría Media y Alta.
  • El Informe, se elabora desde el año 2014 y en el que el año pasado participaron 590 organismos que dan servicio a 2.770.366 millones de usuarios, es la herramienta para evaluar regularmente el estado de la seguridad de los sistemas TIC del sector público y su adecuación al Esquema Nacional de Seguridad (ENS).
  • Para facilitar la carga de los datos, el Centro Criptológico Nacional pone a disposición de los interesados en su portal un curso online, recientemente actualizado, con todas las novedades de la campaña, así como las nuevas versiones de las Guías CCN-STIC 824 INES y la Guía CCN-STIC 844 Manual de INES.

Este martes, 30 de octubre, comienza el plazo para que todos los organismos del sector público actualicen o incluyan por primera vez sus datos en la plataforma INES, Informe Nacional del Estado de Seguridad. Así lo exige el artículo 35 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS), que establece la obligación de evaluar regularmente el estado de la seguridad de los sistemas de las Tecnologías de la Información y la Comunicación del sector público y la necesidad de establecer un sistema de medición.

En esta nueva campaña, el Centro Criptológico Nacional quiere hacer hincapié en que la Certificación de Conformidad es de aplicación obligatoria a los sistemas de información de categoría Media o Alta del sector público, y voluntaria en el caso de sistemas de información de categoría Básica.

Para facilitar la carga de datos, el CCN ha puesto a disposición de todos los organismos la actualización del curso de INES online, así como la actualización de la Guía 824 nforme Nacional del Estado de Seguridad de los Sistemas TIC y la Guía 844 Manual de INES, cuyo objetivo es proporcionar al usuario información sobre el uso de INES y su acceso.

Responsable de la carga de datos

El acceso a la herramienta INES se realiza desde la parte privada del Portal del CCN-CERT y deben ser los responsables de la seguridad del organismo, o el personal delegado de su equipo de seguridad, los que completen los datos solicitados y a los que se les autorizará el acceso a su ficha, independientemente de que la organización subcontrate a terceros la recogida de datos.

Más información:

Curso online INES
Documentación y vídeos Plataforma VANESA
Guía CCN-STIC 824 Informe del Estado de Seguridad
Guía CCN-STIC 844 Manual de Usuario de INES