Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de Normativa

Cómo evitar incidentes relacionados con los archivos adjuntos al correo

Desde el INCIBE nos dan unos consejos de como evitar los incidentes de posibles phinsing con ficheros adjuntos, evitar que no caigamos en ellos. Puede ver el consejo entero en este enlace https://www.incibe.es/protege-tu-empresa/blog/evitar-incidentes-relacionados-los-archivos-adjuntos-al-correo

Nueva guía sobre cookies publicada por la Agencia Española de Protección de Datos

Publicación de la nueva guía  por la Agencia de Protección de Datos sobre las cookies y la web. Os cito a continuación parte del texto a tener en cuenta para valorar si no necesitas aplicar las consideraciones que aquí aparecen. En estos meses saldrá un Reglamento Europeo llamado eprivacy, que abordará también el tema de las cookies y la publicidad.

Extracto de la Guía:

» En este sentido, el GT29, en su Dictamen 4/201210, interpretó que entre las cookies exceptuadas estarían aquellas que tienen por finalidad:

• Cookies de “entrada del usuario” .
• Cookies de autenticación o identificación de usuario (únicamente de sesión).
• Cookies de seguridad del usuario .

• Cookies de sesión de reproductor multimedia.

• Cookies de sesión para equilibrar la carga.

• Cookies de personalización de la interfaz de usuario.

• Determinadas cookies de complemento (plug-in) para intercambiar contenidos

Dicho esto, por razones de transparencia se recomienda informar, al menos con carácter genérico, de aquellas cookies excluidas del ámbito de aplicación del artículo 22.2 de la LSSI, ya sea en la política de cookies o en la propia política de privacidad (ejemplo: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”).

En todo caso, deberá tenerse en cuenta que una misma cookie puede tener más de una finalidad (cookies polivalentes), por lo que existe la posibilidad de que una cookie quede exceptuada del ámbito de aplicación del artículo 22.2 de la LSSI para una o varias de sus finalidades y no para otras, quedando estas últimas sujetas al ámbito de aplicación de dicho precepto. Esto debería, dicho con palabras del GT29, “incitar a los propietarios de sitios web a utilizar un cookie diferente para cada finalidad”14 .

En relación con los sistemas de gestión o configuración de cookies a los que se refiere más adelante la presente guía, cuando se utilicen cookies polivalentes con dos o más finalidades diferentes y no exceptuadas del ámbito de aplicación del artículo 22.2 de la LSSI, deberá garantizarse que estas cookies únicamente se utilizan si se aceptan todas las finalidades que agrupan, es decir, si una cookie sirve para dos finalidades, pero el usuario solo acepta una de ellas, la cookie no debería utilizarse, y ello salvo que el sistema de gestión utilizado permita dar un tratamiento diferenciado a las distintas finalidades de estas cookies polivalentes, de forma que sea posible que si el usuario acepta una de sus finalidades y no otras, la cookie solo opere con la finalidad aceptada.

Así pues, puede entenderse que estas cookies quedan excluidas del ámbito de aplicación del artículo 22.2 de la LSSI, y, por lo tanto, no sería necesario informar ni obtener el consentimiento sobre su uso. Por el contrario, será necesario informar y obtener el consentimiento para la utilización de cualesquiera otro tipo de cookies, tanto de primera como de tercera parte, de sesión o persistentes, que no queden fuera del ámbito de aplicación del artículo 22.2 de la LSSI y sobre las que serán útiles las orientaciones de esta guía.»

Espero que os sea de utilidad.

Publicadas dos guías de configuración segura de dispositivos Samsung Galaxy S9 con Android 8 y Samsung Galaxy S10 con Android 9

Publicado el:
jueves, 25 julio 2019

  • Estos documentos se pueden consultar en la parte pública del portal del CCN-CERT.
  • El objetivo de estas guías es orientar al usurario en la configuración segura de los dispositivos Samsung Galaxy S9 y S10, así como en la gestión de contraseñas, aplicaciones y datos, entre otros.
  • Las configuraciones recomendadas presentes en ambos documentos han sido elaborados por Samsung en colaboración con el Centro Criptológico Nacional (CCN).

El CCN-CERT del Centro Criptológico Nacional ha publicado en la parte pública de su portal web dos nuevas guías sobre configuración segura de dispositivos Samsung Galaxy S9 con Android 8 (Guía CCN-STIC-1604) y Samsung Galaxy S10 con Android 9 (Guía CCN-STIC-1606).

Concretamente, el objetivo de estos documentos es que los usuarios que dispongan de estos dispositivos como herramienta de trabajo dentro de una organización puedan configurarlos de forma segura. Dichas guías han sido elaboradas pensando principalmente en el equipo de administradores de dispositivos móviles de la organización que realiza el despliegue. Entre las indicaciones que se ofrecen se encuentra el despliegue del dispositivo, la configuración recomendada y la gestión de contraseñas, aplicaciones y datos.

Esta configuración recomendada, elaborada por Samsung en colaboración con el Centro Criptológico Nacional (CCN), permite que la solución cumpla los requisitos del marco de seguridad detallados en ambas guías, permitiendo a los administradores gestionar y paliar los riesgos de forma óptima para el despliegue de sistemas con los requisitos del Esquema Nacional de Seguridad (ENS) en su Nivel Alto.

CCN-CERT (25/07/2019)

Guía CCN-STIC-1604

Guía CCN-STIC-1606

Informe para realizar evaluación de impacto en protección de datos.

La AEPD publica un modelo de informe para ayudar a las Administraciones Públicas a realizar evaluaciones impacto en la protección de datos

Publicado el:
miércoles, 10 julio 2019

  • Recopila todos los aspectos que deben ser tenidos en cuenta por las AAPP para elaborar un informe de Evaluación de Impacto (EIPD), complementando a la Guía práctica publicada por la Agencia
  • El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social

La Agencia Española de Protección de Datos (AEPD) ha publicado un modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) dirigido a Administraciones Públicas con el fin de facilitar la realización de estas evaluaciones y desarrollado a partir de la Guía práctica para las Evaluaciones de Impacto en la Protección de Datos, publicada por la AEPD. El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social.

Entre las obligaciones que el Reglamento General de Protección de Datos (RGPD) impone a los responsables del tratamiento se encuentra la necesidad de evaluar el impacto de las actividades de tratamiento en la protección de datos cuando resulte probable que dicho tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas.

El modelo recopila todos los aspectos que deben ser tenidos en cuenta para elaborar un informe de evaluación de impacto, entre los que se encuentra la descripción del tratamiento, la base jurídica que lo justifica, los análisis del tratamiento, de la obligación de realizar una EIPD o de cumplimiento, así como las medidas para la reducción del riesgo, un plan de acción y un apartado de conclusiones y recomendaciones.

Si bien este modelo no va dirigido a responsables que efectúen tratamientos de datos de bajo riesgo, en aquellos casos en que no sea obligatorio hacer una evaluación de impacto puede valorarse la posibilidad de llevar a cabo este análisis con otros fines, como estudiar en profundidad un tratamiento; mejorar la gestión global de los procesos de una organización; generar conocimiento y cultura de protección de datos, o hacer un ejercicio de responsabilidad proactiva.

Más información

Protocolo de comunicación de brechas de seguridad en UGR para datos personales.

Según aparece en la Ley de Protección de Datos se deben comunicar las fugas de información a la Agencia de Protección de Datos. A través de la Oficina de Protección de Datos de la UGR se ha establecido un protocolo de comunicación de dichas fugas/brechas de seguridad. Lo puede ver en la página web de Secretaría General en este enlace.

Se han añadido varios ejemplos de situaciones en las que debemos actuar. Hay que hacer notar que hay que notificarlo en las 72 horas posteriores a su detección, puede conllevar multas de no hacerlo.

Seguridad Informática
Powered by  GDPR Cookie Compliance
Resumen de privacidad

BlogsUGR utiliza cookies propias para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a BlogsUGR, haces algún comentario o seleccionas el idioma de un blog. Rechazar las cookies propias podría suponer la imposibilidad de acceder como usuario a BlogsUGR.

Algunos blogs de BlogsUGR utilizan cookies de terceros con fines analíticos para recabar estadísticas sobre la actividad del usuario en dicho blog y la actividad general del  mismo.