Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de Normativa

Medidas de seguridad compensatorias en el Esquema Nacional de Seguridad

Publicado el:
jueves, 04 octubre 2018

  • Nueva Guía CCN-STIC-819 del Centro Criptológico Nacional.
  • El objetivo de esta guía es servir de ayuda a las entidades del ámbito de aplicación del ENS en la determinación e implantación de las medidas compensatorias cuando no sea posible la adecuada implantación de las medidas de seguridad contempladas en el Esquema.

El Centro Criptológico Nacional ha hecho público la ‘Guía CCN-STIC 819. Medidas compensatorias’, donde se recogen una serie de medidas de seguridad alternativas cuando no sea posible la adecuada implantación de aquellas contempladas en el Anexo II del Esquema Nacional de Seguridad, siempre y cuando se justifique documentalmente que protegen igual o mejor del riesgo sobre los activos y se satisfacen los principios básicos y los requisitos mínimos.

La guía pretende servir de ayuda a las entidades del ámbito de aplicación del ENS que por diversos tipos de razones (técnicas, operativas, presupuestarias o de otro tipo), y debidamente documentadas y justificadas, no esté en condiciones de aplicar alguna de las medidas de seguridad contempladas en el ENS.

El documento recoge el ámbito de aplicación de estas medidas compensatorias, un cuadro de comprobación de dichas medidas, la evaluación y auditoría, así como las referencias legales y normativas, junto con algunos escenarios a modo de ejemplo.

CCN-CERT (04/10/2018)

Guía CCN-STIC 819. Medidas compensatorias

Aprobado el Real Decreto para trasponer la directiva europea de ciberseguridad

Publicado el:
domingo, 09 septiembre 2018

  • El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información se publicó este sábado en el Boletín Oficial del Estado
  • El texto señala al CCN-CERT, del Centro Criptológico Nacional, como el Equipo de Respuesta a Incidentes de Seguridad (CSIRT ) de referencia para el Sector público y como el coordinador nacional de la respuesta técnica en los supuestos de especial gravedad y que requieran un nivel de coordinación superior.
  • El Ministerio de Defensa, a través del Centro Criptológico Nacional, será la autoridad competente en materia de seguridad relativa a los operadores esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el Sector público.

Para ver el comunicado completo pincha aquí.   Enlace al Real Decreto 12/2018

Publicadas varias preconfiguraciones para equipos Windows siguiendo las medidas de seguridad establecidas por las guías CCN-STIC

Publicado: 21 Junio 2018
  • Las preconfiguraciones y sus guías están disponibles en la parte privada del portal del CCN-CERT.
  • Junto a las preconfiguraciones para equipos Windows se incluyen sus respectivas Guías STIC con instrucciones detalladas sobre la instalación.
  • Están disponibles para equipos Windows 7 (Pro y Enterprise), Windows 10 Enterprise (LTSB/LTSC), Windows Server 2008 R2 (Standard y Enterprise), Windows Server 2012 R2 Standard.
  • Opcionalmente se puede instalar de manera desatendida y preconfigurada el paquete ofimático Microsoft Office 2013 (Standard, Professional y Professional Plus) para los clientes Windows 7 y Windows 10.

Resto de la noticia aquí.

Brechas de seguridad en datos personales

Hoy vamos a hablar de las brechas de seguridad. Como ya indiqué en una entrada anterior tenemos que notificar las brechas a la Agencia Española de Protección de Datos en un plazo de 72 horas por parte del encargado del tratamiento de los datos. En la UGR podemos dirigirnos a la Oficina de Protección de Datos, a la Delegada de Protección de Datos o al Servicio de Seguridad Informática del CSIRC, para conseguir asesoramiento o para tramitar la comunicación de la Brecha.

El RGPD define, de un modo amplio, las “violaciones de seguridad de los datos personales” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

La Agencia de Protección de Datos ha editado una Guía sobre brechas de seguridad, podemos verla aquí, o si deseamos comunicar una Brecha podemos hacerlo sede electrónica de la Agencia de Protección de Datos. Siempre antes de comunicarlo debemos notificarlo dentro de UGR a los actores que aparecen en negrita en el párrafo primero.

Veamos algunos ejemplo en tono de humor en este enlace.

Roles en la protección de datos en la UGR

DPD.- Delegada de protección de datos (delegadapd@ugr.es) . Tiene una labor de revisión de cumplimiento de normativa y asesoramiento a la institución en materia de protección de datos.

Oficina de protección de datos .- (protecciondedatos@ugr.es) depende de Secretaria General. En ella se podrá consultar o gestionar cualquier asunto en materia en protección de datos.

Responsable del tratamiento.– En los datos relativos a la Universidad de Granada será la propia Universidad. Pueden dirigirse a secretariageneral@ugr.es o a la dirección de email de la Oficina de protección de datos o a la Delegada.

Encargado del tratamiento.- Es quién gestiona los datos. Si es una aplicación externa sería la empresa externa con la cual debe haber un contrato para dicho tratamiento, siempre asociado al servicio que nos dé.

Para cualquier brecha de seguridad, exposición de datos personales, hay que avisar a la Oficina de protección de datos, caso de ser datos no informatizados, o el Servicio de Seguridad Informática del CSIRC (seguridadinformatica@ugr.es) caso de datos informatizados. En breve se hará público un procedimiento para toda la UGR para informar brechas de seguridad. En cualquier caso hay 72 horas, según ley, para avisar. ! Ojo ! de no hacerlo, si se ha detectado, puede ser sancionable.

Puede extender esta información aquí.

 

Seguridad Informática
Powered by  GDPR Cookie Compliance
Resumen de privacidad

BlogsUGR utiliza cookies propias para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a BlogsUGR, haces algún comentario o seleccionas el idioma de un blog. Rechazar las cookies propias podría suponer la imposibilidad de acceder como usuario a BlogsUGR.

Algunos blogs de BlogsUGR utilizan cookies de terceros con fines analíticos para recabar estadísticas sobre la actividad del usuario en dicho blog y la actividad general del  mismo.