Seguridad de la información
2023
Estíbaliz Curiel
gptic.deusto.es
Servicio Informático
Universidad de Deusto
ÍNDICE DE CONTENIDO
ÍNDICE DE CONTENIDO
Vemos una imagen
Reflexionemos
Reflexionemos
Yo he visto cosas que vosotros no creeríais…
¿Podemos sufrir un ataque?
La respuesta a la pregunta si podemos sufrir un ataque es sí. De hecho ya sufrimos diariamente cerca de mil ataques directos o de intentos de explotación de vulnerabilidades y aislamos el acceso de veinte millones de IP con comportamientos sospechosos.
Aún así, aún no hemos recibido “el gran ataque”.
El gran ataque
El gran ataque
El gran ataque
El gran ataque
El gran ataque
¿Pero por qué nos van a atacar?
A veces pensamos que el hecho de que nos ataquen es poco probable porque no nos paramos a pensar en los objetivos que pueden tener. Entre otras cosas porque no estamos en ese “mundillo”. Los motivos por los que podemos sufrir un ataque son varios:
Sobre concienciación
Aunque parezca mentira, el 80 % de los usuarios, cuatro de cada cinco personas, pensamos que el uso de herramientas y procedimientos de seguridad requieren demasiado esfuerzo por su parte o son una molestia.*
Esta actitud se denomina en ciberseguridad “el factor humano”: evitar o relegar de manera sistemática la seguridad ante la prisa, la comodidad, el coste o cualquier otro aspecto.
* Fuente: Panorama actual de la Ciberseguridad en España. 2019
¿Cómo nos pueden atacar?
A nivel de usuario, los ataques se producen a través de tres vías:
¿Cómo nos pueden atacar?
Se utiliza como “señuelo” a un alto cargo de la universidad, aunque con un remitente claramente falso
Se dirige a unos pocos colaboradores específicos, lo que dificulta que sea detectado o informado
Utiliza textos, logotipos y direcciones reales.
¿Cómo nos pueden atacar?
¿Cómo podemos protegernos?
Las contraseñas...
¿Cómo podemos protegernos?
En la Universidad, la política de seguridad exige realizar un cambio de contraseña anual de forma obligatoria.
En caso de no realizar el cambio en un año, la contraseña será cambiada de forma automática, de modo que se perderá el acceso a la cuenta y habrá que restablecerla.
¿Cómo podemos protegernos?
Una de las mejores maneras de proteger tu cuenta es contar con una forma adicional de verificación. La verificación en dos pasos ayuda a mantener a raya a todo aquel que no deba tener acceso a tu cuenta gracias a la necesidad de realizar un segundo paso tras introducir la contraseña. Existen distintos métodos de verificación en dos pasos, como mensajes de texto, Google Authenticator, llaves de seguridad, etc.
Seguridad de la información
Seguridad de la información
Seguridad de la información
Las personas gestionamos, procesamos, almacenamos, modificamos, transmitimos y eliminamos la información en una organización. Sin embargo, el desconocimiento puede crear situaciones críticas de seguridad.
Seguridad de la información
Seguridad de la información
Seguridad de la información
Es por ello que, desde Deusto, hemos decidido formaros en este ámbito. Para ello, hemos tenido en cuenta la política de seguridad de la información de la propia Universidad así como parte de los contenidos del Instituto Nacional de Ciberseguridad (INCIBE) en colaboración con la CRUE TIC.
Política de seguridad de la información de la Universidad de Deusto
Seguridad de la información
Seguridad de la información
Seguridad de la información
Antes de comenzar, una vista general. Distinguimos entre tres grandes patas: la seguridad informática (técnica: firewalls, cierre de puertos…) seguridad de la información (afecta a toda la información y datos de la universidad, en cualquier formato, incluido papel) y luego la parte que tiene datos de carácter personal. Todas se gestionan desde un Sistema de Gestión de Seguridad de la Informacion (SGSI) cuyo responsable es el Responsable de Seguridad. (CISO)
Seguridad de la información
Seguridad de la información
Seguridad de la información
Los datos de carácter personal están amparados por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). De este “asunto” se encarga el Delegado de Protección de Datos (DPD) o DPO (Data Protection Officer).
De manera básica, la LOPDGDD adapta el RGPD de la Unión Europea al marco español. Lo más destacado, cómo se recoge y gestiona el consentimiento de los dueños de los datos y cómo se tratan.
SGSI
CISO
RGPD
DPD
Seguridad de la información
Seguridad de la información
Seguridad de la información
Ahora bien, cuando un estudiante, trabajador nos cede sus datos, ¿crees que ya son nuestros y que por tanto podemos hacer con ellos lo que consideremos? La respuesta es no y para entenderlo, vamos a ver una analogía.
Imagina que le pides a un amigo cercano que te preste su coche. Por supuesto, cuando se lo pides, le especificas para qué lo necesitas. Es más si luego tienes que usarlo para otra cosa que no estaba prevista cuando se lo pediste (necesitas usarlo un día más, tienes que ir más lejos de lo previsto...), sin duda vuelves a llamarle, le cuentas la situación y vuelves a preguntarle si es posible.
¿Me puedes prestar tu coche?
Seguridad de la información
Seguridad de la información
Seguridad de la información
Y, a la hora de devolvérselo, te asegurarás de que esté tal cual te lo dejó (sin rayones, con el depósito lleno...).
Esto es exactamente lo que ocurre con los datos. No son nuestros sino de las personas que nos los han cedido para determinados y concretos tratamientos. Por eso, si los pedimos, tenemos que decir claramente para qué. Y si necesitamos usarlos para otras cosas, hay que pedir permiso explicito. Y, por supuesto, al igual que hacíamos con el coche de nuestro amigo o amiga los tenemos que cuidar mucho (no cederlos, no perderlos…).
Seguridad de la información
Seguridad de la información
Política de seguridad de la información
El conocimiento en materia de seguridad de la información no hay que inventarlo, ni tomar muchas notas. Está recogido en una serie de documentos que conforman la Política de seguridad de la universidad. Por lo que es importante conocer dónde podemos localizarlo.
Como sabéis todos los trabajadores de la UD contamos con la Intranet para localizar un montón de información, en el ámbito de la seguridad de la información, no iba a ser menos y contamos con un espacio propio definido.
Seguridad de la información
Seguridad de la información
Política de seguridad de la información
Por supuesto, no se trata ni mucho menos de que se lea completo, pero sí es importante consultarlo en caso de duda. El contenido más relevante está en el punto tercero: Normativa de utilización de los recursos y sistemas de información que es el que vamos a repasar en las siguientes transparencias.
ÍNDICE DE CONTENIDO
Seguridad de la información
Seguridad de la información
Política de seguridad de la información
Puesto de trabajo, acceso a sistemas y datos, identificación y autenticación
EL PUESTO DE TRABAJO
El puesto de trabajo es el punto de acceso a todos los sistemas informáticos. Pero no sólo el ordenador. También son los armarios abiertos, los papeles, las fotocopias… como iremos viendo. Sin información, y sobre todo sin un concienciación de la importancia del asunto, es el eslabón más débil de la cadena de seguridad.
Puesto de trabajo, acceso a sistemas y datos, identificación y autenticación
ACCESO A LOS SISTEMAS DE INFORMACIÓN Y A LOS DATOS TRATADOS
El acceso a los sistemas de información y a los datos tratados se rige por el principio de mínimo conocimiento. Es decir, los usuarios tendrán autorizado el acceso únicamente a aquella información y recursos que precisen para el desarrollo de sus funciones, el acceso a la información será personal y las credenciales de acceso intransferibles. Asimismo, cuando un usuario deje de atender un equipo informático durante un cierto tiempo, es “recomendable” bloquear la sesión de usuario o activar el salvapantallas.
Acceso a la mínima información
Acceso a la información personal
Credenciales intransferibles
Activar el salvapantallas
Puesto de trabajo, acceso a sistemas y datos, identificación y autenticación
IDENTIFICACIÓN Y AUTENTICACIÓN
Es importantísimo ser conscientes de toda la información a la que cada uno de los trabajadores de la UD tenemos. Es por ello que bajo ningún concepto debemos revelar o entregar nuestros credenciales de acceso o tarjeta a otra persona, ni mantenerlas por escrito a la vista o al alcance de terceros.
Debemos tener claro también que la universidad nunca va a solicitar la contraseña del usuario en ningún formulario ni por teléfono. Por lo que si alguien os la pide, sospechad ;-)
Política de mesas limpias
POLÍTICA DE MESAS LIMPIAS
Para evitar el “robo de información” o compartir sin querer información, es necesario mantener una política de mesas limpias, sobre todo, en entornos compartidos o públicos. Asimismo, debemos limitar el acceso no autorizado a la información clasificada.
Servicios de almacenamiento, documentación impresa, dispositivos de almacenamiento externo
Servicios de almacenamiento
No se deben utilizar servicios de alojamiento externo no corporativo para datos de carácter personal. Un ejemplo podría ser Dropbox. Para uso personal puede ser una herramienta fabulosa, pero no debe usarse bajo ningún concepto para almacenar datos de la universidad o de estudiantes porque no cumple lo establecido por la Agencia Española de Protección de Datos respecto a dónde almacenamos nuestros datos, y qué medidas de seguridad adoptamos. En el caso de Google Drive, sí lo cumple.
Servicios de almacenamiento, documentación impresa, dispositivos de almacenamiento externo
CUIDADO Y PROTECCIÓN DE LA DOCUMENTACIÓN IMPRESA
La documentación impresa debe ser especialmente resguardada, de forma que sólo tenga acceso a ella el personal autorizado, debiendo ser custodiada en armarios bajo llave.
Cuando concluya la vida útil deberán ser eliminados de forma que no sea recuperable la información que pudieran contener, contactando con el servicio de recogida selectiva de documentos confidenciales existente en la universidad o utilizando las
Servicios de almacenamiento, documentación impresa, dispositivos de almacenamiento externo
destructoras de papel.
Por razones ecológicas y de seguridad, antes de imprimir documentos, el usuario debe asegurarse de que es absolutamente necesario hacerlo.
Servicios de almacenamiento, documentación impresa, dispositivos de almacenamiento externo
USO DE DISPOSITIVOS DE ALMACENAMIENTO EXTERNO
Con carácter general, el uso de estos dispositivos en Deusto está autorizado aunque desaconsejado.
Se recomienda que estos dispositivos estén destinados a transporte de ficheros, no a almacenamiento.
En caso de contener datos o información clasificada deben estar protegidos con contraseña.
ÍNDICE DE CONTENIDO
Credenciales de acceso
Contraseñas únicas y seguras
Contraseñas únicas y seguras
Como acabamos de ver en el videotutorial, podemos generar contraseñas únicas y seguras de forma rápida y sencilla. Es más, éstas serán fáciles de recordar. Sin embargo, si no deseamos aplicar ese método es conveniente que al menos sigamos la siguientes pautas:
ÍNDICE DE CONTENIDO
Correo electrónico
¿Os es conocido el caso?
¿Habéis mandado algún correo confundiendo el destinatario?
¿Conocéis a alguien que le haya pasado?
Correo electrónico
Con objeto de no compartir información con aquellos que no la necesiten (recordemos el principio de mínimo conocimiento), antes de enviar un mensaje de correo, se debe revisar el destinatario. De esta manera, evitaremos el envío de información a destinatarios o direcciones no deseadas que puedan suponer una brecha en la confidencialidad de la información.
Por otra parte, deben evaluarse cuidadosamente las circunstancias en las que se envían correos con copia (CC).
Correo electrónico
La AEPD (Agencia Española de Protección de Datos) considera que… puede ser una cesión de datos y en consecuencia una falta relacionada con el deber de guardar secreto al que obliga el RGPD.
Si vas a acceder a tu correo desde un equipo de acceso compartido, debes utilizar una nueva ventana del navegador en modo incógnito o privado para conseguir el borrado automático de la información sensible registrada tras el cierre de la misma (Google Chrome, Mozzila Firefox, Safari).
Para evitar phishing u otros fraudes de suplantación de personalidad, cuando se reciba un correo electrónico u otro tipo de comunicación que derive a un enlace, es importante comprobar y verificar dicho enlace. Ante la duda sobre si un correo es o no verídico, es mejor preguntar siempre antes incluso de abrirlo.
Correo electrónico
Os aconsejamos que leáis detenidamente el siguiente documento para aprender a leer direcciones así como para aprender a diferenciar lo que puede ser phishing de lo que no. Pincha aquí
Para saber más...
Seguridad de la información
2023
Estíbaliz Curiel
gptic.deusto.es
Servicio Informático
Universidad de Deusto