Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre seguridad informática para el personal de la Universidad de Granada

Inicio >> Archivos paraproteccion

Medidas mínimas de seguridad en nuestros equipos de trabajo.

por

Dentro de nuestros equipos de trabajo debemos tener una serie de cuidados en materia de ciberseguridad para ponerselo dificil a los ciberdelincuentes. A continuacion os detallo algunas pautas que debemos tener si o sí.

  • Activación de firewall. Limitar las peticiones entrantes a la justo necesarias.
  • Antivirus. Se puede utilizar en windows 10 el que trae por defecto.
  • Instalacion en los equipos windows del software antiransomware MicroClaudia.
  • Autobloqueo de pantalla cuando nos levantamos del puesto de trabajo.
  • Cambios de contraseñas cada 3 ó 6 meses como mucho.
  • Utilizar un usuario sin permisos de administración para nuestro trabajo diario.
  • Copias de seguridad periódicas en unidades que no se queden pinchadas continuamente en nuestro equipo, para evitar efectos de cifrado de forma colateral
  • Actualizaciones automáticas del sistema.
  • Revision de actualizaciones de los programas que tengamos instalados al menos una vez al mes.
  • Revisar las politicas, en caso de windows, para activar el control de accesos. Revisar de forma periodica los ultimos accesos por si detectamos alguna anomalia.
  • No utilizas software no licenciado o descargado de sitios no oficiales, pueden llevar troyanos  o descargar malware una vez se ejecuten.
  • Utilizar sistemas de cifrado de disco del sistema, como bitlocker. Esto complica mas a los malos.
  • Evitar la comparticion de recursos desde nuesta máquina, compartir a traves de servidores, esto disminuye la superficie de exposicion a malware.
  • Evitar conexiones escritorio remoto, en caso de usarlas limitar los accesos en el firewall a ip’s controladas, utilizar VPN y contraseñas muy fuertes.
  • Activar politicas de bloqueo de usuario en el caso de 5 reintentos de Login fallidos, por ejemplo bloquear el usuario durante 10 minutos.
  • NUNCA guardes las claves en el navegador para entrar en sitios que puedan comprometerte a ti o a la empresa.

 

Seguir lo consejor que nos marca la herramienta CLARA del CCN, descargarla y pasarla en sistemas windows. Herramienta CLARA del CCN

 

Por último se puede echar un vistazo a las medidas de proteccion que aconsejamos a traves de la Oficina de Proteccion de Datos https://secretariageneral.ugr.es/pages/proteccion_datos/documentos/documentosobremedidasdeproteccion

Algunos informes de buenas prácticas editadas por el CCN.

por

El CCN-CERT nos ha dejado este mes de mayo pasado algunos informes sobre como actuar y recomendaciones en diferentes aspectos de ciberseguridad. Os aconsejo que les echeis un vistazo para completar vuestra cultura en ciberseguridad y aprender a protegeros.

Dispositivos móviles https://www.ccn-cert.cni.es/informes/informes-de-buenas-practicas-bp/1757-ccn-cert-bp-03-dispositivos-moviles/file.html

Correo electrónico https://www.ccn-cert.cni.es/informes/informes-de-buenas-practicas-bp/1598-ccn-cert-bp-02-correo-electronico/file.html

Gestión de incidentes por Ransomware https://www.ccn-cert.cni.es/informes/informes-de-buenas-practicas-bp/5864-ccn-cert-bp-21-gestion-de-incidentes-de-ransomware/file.html

Recomendaciones básicas en materia de ciberseguridad https://www.ccn-cert.cni.es/informes/informes-de-buenas-practicas-bp/2473-ccn-cert-bp-01-principios-y-recomendaciones-basicas-en-ciberseguridad/file.html

 

Puedes ver el resto de buenas prácticas en el enlace : https://www.ccn-cert.cni.es/informes/informes-de-buenas-practicas-bp.html

 

Seguridad de la información para investigadores.

por

En el marco del RGPD en su art. 32 en su apartado dos se habla que las medidas de seguridad que se deben aplicar en los datos personales en los tratamientos están basadas en el análisis de riesgos, por lo que antes de cualquier investigación que trate datos personales lo primero que se debería hacer es ese Análisis de Riesgos. Conviene echar un vistazo a este artículo de forma completa.

Por otra parte en la ley 3/2018, en su disposición adicional primera, se habla que en el caso  de las administraciones públicas las medidas que se deben aplicar son las que aparecen en el R.D. 3/2010 (Esquema Nacional de Seguridad) .

Así que todo debe partir de ese AR y través de su gestión del riesgo, esto nos dirá que medidas debemos aplicar. Hay una herramienta que utilizamos en las administraciones públicas que se llama PILAR, en otras publicaciones daré unos pasos básicos de como utilizarla con una pequeña base tipo genérica.

No obstante siempre podemos echar un vistazo a los consejos y medidas mínimas de seguridad que hemos establecido desde la Oficina de Protección de  Datos de la UGR, y que cuyos enlaces aparecen mas abajo.

O también podemos revisar este documento publicado por la Agencia Española de Proteccion de Datos para casos en que se utilice datos genéticos o de salud https://www.aepd.es/sites/default/files/2020-02/premio-2019-emilio-aced-accesit-mikel-recuero.pdf  puede orientarnos de una manera muy general que podemos/debemos hacer.

Pero aquí nos centraremos solo en medidas de seguridad intentando dar algunos manuales de  como realizar esa medida.

Presentacion del área de Seguridad Informática ( contacto seguridadinformatica@ugr.es)

  • CIBERPROTECCION Y BRECHAS EN UGR.

* Normas mínimas en ciberproteccion en UGR.

* Protocolo notificación de brechas de seguridad en datos personales.

CIFRADO.

Cifrado ( discos duro, pendrive, nube)

Manual Veracrypt

Software para cifrado en la nube: Cryptomator

-Envío de datos cifrados en un email

* Con 7 zip  en windows o keka en mac.

BACKUP.

Copias de seguridad, el backup de los datos.

Cobian backup

ALMACENAMIENTO DE DATOS EN NUBE.

-Nubes propias ( UGRDrive ó owcloud en un ordenador )

EXTRAS.

Talleres de Ciberseguridad en la Oficina de Seguridad del Internauta.

Malentendidos en la anonimización.

Algunas pinceladas de Análisis de riesgos

https://www.aepd.es/es/es/prensa-y-comunicacion/notas-de-prensa/agencia-presenta-guia-riesgo-tratamiento-datos-y-evaluaciones-impacto

Como enviar información cifrada por email.

por

Hay ocasiones que es necesario enviar información cifrada por correo. Lo normal sería utilizar PGP o algún plugin que nos permitiese cifrar, o en otros casos ya en algunos clientes de correo  llevan algo, como thunderbird. En este post os dejo como utilizar algo más sencillo y que nos valdrá no solo para correo sino para llevar la información en un pendrive, por ejemplo. En este blog hay varios sistemas para cifrar discos tambien.

Si lo que queremos es cifrar sólo un fichero aconsejo utilizar 7zip, que aunque sea un compresor e ficheros además se pude cifrar la información. Lo puedes decargar de https://www.7-zip.org/

 

Para comprimir y cifrar lo que tenemos que hacer es abrir 7zip en windows, aperecerá una ventana como esta

Debemos situarnos en el directorio donde tengamos el fichero cifrar, seleccionamos el fichero y pulsamos agregar.

A continuación aparece una ventana para poner la clave al cifrado.

Debemos escribir la contraseña para la encriptación, dos veces. Nos creará un fichero con la extensión 7z que es descrifrable con cualquier compresor zip, pero  ahora cuando se quiera descomprimir hay que darle la contraseña que hayamos elegido.

El fichero que deberiamos enviar es el fichero terminado en .7z

Cuando hay intercambio de ficheros es bueno concretar una contraseña entre los interlocutores, nunca pasarla en el mismo mensaje donde está el fichero para guardar la privacidad.

 

Por otra parte si tenemos ordenadores MAC podemos utilizar keka, podemos descargarlo de https://www.keka.io/es/

Los instalamos ejecutamos y nos aparecera una ventana donde podemos arrastrar el documento a comprimir, pero previamente debemos poner la clave para cifrarlo. Generará un fichero con la extensión .7z , o la que le indiquemos.