Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de Normativa

Aprobado el Real Decreto para trasponer la directiva europea de ciberseguridad

Publicado el:
domingo, 09 septiembre 2018

  • El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información se publicó este sábado en el Boletín Oficial del Estado
  • El texto señala al CCN-CERT, del Centro Criptológico Nacional, como el Equipo de Respuesta a Incidentes de Seguridad (CSIRT ) de referencia para el Sector público y como el coordinador nacional de la respuesta técnica en los supuestos de especial gravedad y que requieran un nivel de coordinación superior.
  • El Ministerio de Defensa, a través del Centro Criptológico Nacional, será la autoridad competente en materia de seguridad relativa a los operadores esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el Sector público.

Para ver el comunicado completo pincha aquí.   Enlace al Real Decreto 12/2018

Publicadas varias preconfiguraciones para equipos Windows siguiendo las medidas de seguridad establecidas por las guías CCN-STIC

Publicado: 21 Junio 2018
  • Las preconfiguraciones y sus guías están disponibles en la parte privada del portal del CCN-CERT.
  • Junto a las preconfiguraciones para equipos Windows se incluyen sus respectivas Guías STIC con instrucciones detalladas sobre la instalación.
  • Están disponibles para equipos Windows 7 (Pro y Enterprise), Windows 10 Enterprise (LTSB/LTSC), Windows Server 2008 R2 (Standard y Enterprise), Windows Server 2012 R2 Standard.
  • Opcionalmente se puede instalar de manera desatendida y preconfigurada el paquete ofimático Microsoft Office 2013 (Standard, Professional y Professional Plus) para los clientes Windows 7 y Windows 10.

Resto de la noticia aquí.

Brechas de seguridad en datos personales

Hoy vamos a hablar de las brechas de seguridad. Como ya indiqué en una entrada anterior tenemos que notificar las brechas a la Agencia Española de Protección de Datos en un plazo de 72 horas por parte del encargado del tratamiento de los datos. En la UGR podemos dirigirnos a la Oficina de Protección de Datos, a la Delegada de Protección de Datos o al Servicio de Seguridad Informática del CSIRC, para conseguir asesoramiento o para tramitar la comunicación de la Brecha.

El RGPD define, de un modo amplio, las “violaciones de seguridad de los datos personales” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

La Agencia de Protección de Datos ha editado una Guía sobre brechas de seguridad, podemos verla aquí, o si deseamos comunicar una Brecha podemos hacerlo sede electrónica de la Agencia de Protección de Datos. Siempre antes de comunicarlo debemos notificarlo dentro de UGR a los actores que aparecen en negrita en el párrafo primero.

Veamos algunos ejemplo en tono de humor en este enlace.

Roles en la protección de datos en la UGR

DPD.- Delegada de protección de datos (delegadapd@ugr.es) . Tiene una labor de revisión de cumplimiento de normativa y asesoramiento a la institución en materia de protección de datos.

Oficina de protección de datos .- (protecciondedatos@ugr.es) depende de Secretaria General. En ella se podrá consultar o gestionar cualquier asunto en materia en protección de datos.

Responsable del tratamiento.– En los datos relativos a la Universidad de Granada será la propia Universidad. Pueden dirigirse a secretariageneral@ugr.es o a la dirección de email de la Oficina de protección de datos o a la Delegada.

Encargado del tratamiento.- Es quién gestiona los datos. Si es una aplicación externa sería la empresa externa con la cual debe haber un contrato para dicho tratamiento, siempre asociado al servicio que nos dé.

Para cualquier brecha de seguridad, exposición de datos personales, hay que avisar a la Oficina de protección de datos, caso de ser datos no informatizados, o el Servicio de Seguridad Informática del CSIRC (seguridadinformatica@ugr.es) caso de datos informatizados. En breve se hará público un procedimiento para toda la UGR para informar brechas de seguridad. En cualquier caso hay 72 horas, según ley, para avisar. ! Ojo ! de no hacerlo, si se ha detectado, puede ser sancionable.

Puede extender esta información aquí.

 

Deber de informar de brechas de seguridad en datos personales en un plazo de 72 horas.RGPD

La AEPD presenta una guía para gestionar y notificar las quiebras de seguridad según el Reglamento

  • El documento ofrece a las organizaciones recomendaciones preventivas y un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan
  • Desde el pasado 25 de mayo, es obligatorio notificar a la Agencia las brechas de seguridad que afecten a datos personales y constituyan un riesgo, cumpliendo unos plazos para ello
  • Además, si existe un alto riesgo para los derechos y libertades también será obligatorio notificarlas a las personas cuyos datos pudieran haberse visto afectados

Comunicado completo de la Agencia de Protección de Datos (19 de junio 2018)

Guía para la gestión y notificación de brechas de seguridad