javier rubio villacé asesor tic del Área de programas ...€¦ · transversal que afecta a las...
TRANSCRIPT
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
1
Este documento pretende servir de guía para elaborar dos apartados del
PLAN TIC DE CENTRO:
El área de Infraestructuras y equipamiento, que recoge la
organización y uso que el centro hace de la red y el equipamiento
informático.
El plan de seguridad, que pretende abordar los temas
relacionados con la utilización de los dispositivos informáticos de
forma segura, desde el uso seguro de los datos hasta la seguridad
en Internet, siendo conscientes de que la seguridad es un tema
transversal que afecta a las cinco áreas de integración de las TIC.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
2
INFRAESTRUCTURA Y EQUIPAMIENTO
Situación de partida + actuaciones de mejora
¿El centro recoge de forma sistemática y estructurada la renovación,
adaptación y aprovechamiento de equipos?
Ideas para mejorar el equipamiento TIC del centro (¿Plan de equipamiento?):
- pedir equipamiento a la Administración,
- conseguir equipamiento de segunda mano,
- participar en concursos, proyectos de innovación,...
- adaptar equipos antiguos: añadir memoria,…
- ...
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
3
Servicios de Internet
Inventario de servicios. Relación de todos los espacios que el centro tiene en
Internet:
Hosting y sitios web.
Redes sociales y blog de centro.
Criterios de uso y acceso:
Responsabilidad de uso: ¿quién administra la Web del centro, redes sociales,
blog,…?
Control de acceso y perfiles de usuario (plan de seguridad).
Red del centro
Descripción de la estructura. Servicios y uso.
Persona o grupo encargados de administrar la red. Tareas y responsabilidades:
- Detección y solución de averías.
- Toma de decisiones: ampliación, mejora,…
Documentar subredes activas:
- Número de VLAN y puertos asignados.
- Número de router neutros.
- Rango de IP, máscara de subred y puerta de enlace.
- Listas de control de acceso (si existen).
Un inventario de todos los dispositivos de la red, que incluya algunos datos
sobre ellos, puede ayudarnos a solucionar problemas en casos de mal
funcionamiento o incidencias de seguridad:
- Sistemas operativos y servicios que ofrecen los equipos.
- Características de los switch: número de puertos, ancho de banda,
gestionabilidad,…
- Características de los router: tipo (neutro, ADSL), ancho de banda,
gestionabilidad, cortafuegos, mapeos, DHCP, direcciones IP,…
- DMZ (si existe) y servicios que se ofrecen.
- Impresoras de red: ubicación, dirección IP y características principales.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
4
Puntos de acceso: dirección IP de administración, frecuencias de funcionamiento
(2,4Gh, 5Gh), canal, protocolo (802.11g, 802.11n, 802.11ac).
Configuración:
- Dirección IP estática, dinámica...
- Es importante mantener un registro de las direcciones asignadas a cada
equipo, siempre que sea posible.
- Control de acceso y perfiles de usuario (plan de seguridad).
Tipo de cableado de la red: UTP (categoría 5e, categoría 6,...), fibra óptica
multimodo,...
- numerar los conectores RJ45 y los puertos de los switch facilitará la
reparación de averías y posibilitará la detección de bucles que saturan la
red.
Organización de los espacios digitales para compartir recursos, guardar los
documentos, aplicaciones,...
- Unidades de red, un equipo concreto, la nube,…
- Grupos de trabajo y equipos que forman parte de ellos:
Es un grupo de ordenadores en red que comparten archivos, impresoras,
Internet,… Normalmente no hay más de 20 equipos. Todos están en la
misma red de área local o en la misma subred.
En este modelo no existe un servidor central. Todos los equipos están al
mismo nivel, ningún equipo tiene control sobre otro. Los equipos son
independientes, cada uno tiene sus usuarios, grupos de usuarios,
directivas de grupo, permisos,…. Para iniciar sesión en un equipo del
grupo debe disponer de una cuenta en él.
Un grupo de trabajo no está protegido por contraseña.
- Dominio: estructura y características. Es una agrupación de ordenadores en
torno a un servidor centralizado que almacena usuarios, grupos, directivas
de grupo, permisos,…
Se necesita un sistema operativo de servidor para el el/los equipos
centrales. Los sistemas operativos de los clientes deben ser del tipo
Profesional, Ultimate o Enterprise; no valen las maquinas Home.
Una cuenta de usuario en un dominio permite iniciar sesión en cualquier
equipo del dominio sin necesidad de tener cuenta en dicho equipo.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
5
Un dominio puede incluir miles de equipos que pueden encontrarse en
diferentes redes locales.
Esquema o plano de planta en el que se recoja la ubicación física de los
sistemas.
Red de área local de un centro grande
Red de área local de un centro pequeño
Servidores y servicios.
Criterios educativos, organizativos, de acceso y de uso:
¿Es siempre posible identificar qué usuario ha utilizado un determinado equipo
en un momento dado?
- Los alumnos utilizan siempre el mismo ordenador.
- El tutor o profesor responsable del grupo de alumnos se encarga de registrar
alumno, equipo, fecha y hora en que lo utiliza.
- …
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
6
¿Con qué perfil acceden alumnos y profesores a los equipos?
Dónde se guardan los datos: ¿se utilizan unidades de red?, ¿está permitido
utilizar memorias externas?...
Se han establecido directivas de grupo para definir las configuraciones de los
equipos y usuarios del dominio?
Servicios de internet que faciliten la participación del alumnado, la interacción y la
comunicación:
Registro de redes sociales, foros,…
Servidor de centro o servicios de almacenamiento para organizar los recursos
didácticos, documentos,….
Descripción de los servidores de los que dispone el centro y servicios que
prestan: dominio, servidor de seguridad, servidor de recursos, NAS.
Equipamiento y software.
Equipamiento y software individual de alumnos:
- Registro de equipamiento (Tablet, portátil, móvil,…) y software privado que se
permite utilizar a los alumnos.
- Registro de equipamiento del centro asignado al uso del alumno.
- Funcionalidad educativa: inventario libros digitales y otro tipo de software de
alumnos.
- Aplicaciones instaladas (propósito general, propósito educativo,…).
- Criterios de instalación de software.
- Gestión de licencias: inventarios para realizar el control de licencias.
- Cuidados y responsabilidades: equipo responsable.
- Inventario de equipamiento específico para alumnos con necesidades
educativas.
Equipamiento y software de aulas.
- Inventario del equipamiento asignado al uso de aula.
- Aula de informática. Tecnología: equipos conectados en red, sistema de clientes
ligeros,…
- ¿Existen aulas digitalizadas (PDI + proyector + acceso a Internet). Quiénes
tienen acceso a ellas. Cómo se utilizan.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
7
- Funcionalidad educativa.
¿El uso y mantenimiento del aula de informática está organizado?
¿Se pide a los profesores que entreguen de la unidad didáctica desarrollada en
el aula de informática?,…
- Inventario de aplicaciones instaladas (propósito general, gestión de aula,
propósito educativo,…).
- Criterios de instalación de software y gestión de licencias.
- Sistema de restauración de los equipos.
- Mantenimiento y responsabilidades: equipo responsable.
Equipamiento y software de centro:
- Registro del equipamiento asignado de centro (servidores, equipos de uso
común,…).
- Inventario de aplicaciones instaladas (propósito general, gestión de redes,
gestión y administración, de propósito educativo y de interacción) y gestión de
licencias.
¿Qué es NAS?
Un NAS (almacenamiento conectado en red) es un dispositivo de
almacenamiento conectado a una red que permite el almacenamiento y la
recuperación de datos desde una ubicación centralizada para los usuarios de la
red y los clientes autorizados. Se trata en realidad de una caja compacta,
equipada con varios discos duros, que se conecta al router ADSL mediante un cable de red.
Los dispositivos NAS son flexibles y escalables, lo que significa que a medida que se
necesite almacenamiento adicional se puede añadir al que tiene.
Un dispositivo NAS es como tener una nube privada en el centro. Es más rápido, menos
costoso y ofrece todas las ventajas de una nube pública in situ, proporcionándole un control
completo.
Los dispositivos NAS son perfectos para las pequeñas empresas porque ofrecen mucho
más allá del simple almacenamiento de ficheros, ya que incorporan el software necesario
para realizar muchas tareas sin depender de nuestro ordenador:
Servidor de películas y música para todo tipo de dispositivos (ordenadores,
tabletas, smartphones).
Acceder a tus películas y fotos desde Internet.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
8
Si tienes una aplicación web (con PHP y MySQL) puedes usarlo como servidor
(hosting)
Copias de seguridad automáticas
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
9
Qué es una política de seguridad
"Una política de seguridad es una declaración formal de las reglas a las cuales se debe
adherir el personal que tiene acceso a los bienes tecnológicos y de información de una
organización".
(RFC 2196, Manual de seguridad de sitio)
El nivel de seguridad en cualquier sistema puede ser definido por la interacción de tres
componentes.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
10
Amenazas típicas en una red de datos, servicios de seguridad y mecanismos de seguridad
asociados:
Amenaza Servicio de seguridad
Mecanismo de seguridad
Acceso no autorizado a recursos
Control de acceso Lista de control de acceso
Cortafuegos Denegación de servicio
Divulgación no autorizada de la información
Confidencialidad
Cifrado
Rellenado de tráfico
Etiquetas de seguridad
Modificación no autorizada de la información
Integridad del mensaje
Función de comprobación criptográfica
Funciones hash y cifrado
Firma digital
Repudio del mensaje, del origen o del acuse de recibo
No repudio Firma digital
Terceras partes de confianza
Suplantación de personalidad Autenticación
Intercambio de autenticaciones
Cifrado
Firma digital
Función de comprobación criptográfica
Funciones de una política de seguridad
Proteger a las personas, a la información y a los sistemas.
Mantener la disponibilidad de los datos almacenados, así como su disposición
a ser compartidos
- impedir la denegación no autorizada de acceso a la información
Mantener la integridad de los datos ...
- que nadie pueda modificar datos sin autorización
Mantener la confidencialidad de los datos almacenados, procesados y
transmitidos
- evitar la divulgación no autorizada de datos
Reconocer la autenticidad de la información y asegurar la identidad de origen y
destino (autenticidad)
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
11
- poder certificar que alguien es autor de un acto, un mensaje,… (no
repudio)
Ser capaz de perseguir las violaciones y aprender de las experiencias.
Establecer las normas de comportamiento esperadas de los usuarios, de los
administradores del sistema, de la dirección y del personal de seguridad.
Autorizar al personal de seguridad a monitorear, sondear e investigar.
Definir y autorizar las consecuencias de las violaciones.
…
Una vez analizados cada uno de los ítem anteriores puede comenzar a elaborarse
el Plan de seguridad
La primera actividad para la implementación del Plan es determinar qué hay que proteger y
cómo hacerlo. Se trata de analizar todos los riesgos y clasificarlos acorde a algún tipo de
prioridad.
Ficheros de datos
durante la ejecución, almacenamiento, copias de seguridad, bases de datos...
Red informática
líneas de comunicaciones, servidores, router, switch, puntos de acceso,…
Equipos
hardware: ordenadores, tabletas,…
software: sistemas operativos, programas de comunicaciones, …
elementos auxiliares: discos, pendrives, etc.
A continuación debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir
Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.
PLANIFICAR (Plan): establecer el contexto en el que se crean las políticas de seguridad.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
12
HACER (Do): implementar el sistema de gestión de seguridad de la información.
VERIFICAR (Check): monitorear las actividades y hacer auditorías internas.
ACTUAR (Act): ejecutar acciones preventivas, acciones correctivas y propuestas de mejora.
Protección, confidencialidad, conservación y seguridad de los datos de carácter académico y educativo
Justificación
“La informatización de los centros de enseñanza a través de herramientas para la
gestión de los datos del alumnado, creación de páginas web de los centros donde se
publican imágenes de los alumnos y alumnas, e incluso instalación de cámaras de
videovigilancia, se une a otra serie de cuestiones que tradicionalmente podían afectar a
la intimidad del alumnado, como la confidencialidad de los expedientes académicos o
de los informes psicopedagógicos elaborados por los orientadores y orientadoras.
Partiendo de estas premisas, los centros de enseñanza deben ser plenamente
conscientes de que el alumnado es titular de dos derechos fundamentales que hay que
respetar: el derecho a su intimidad, recogido en el art. 18 de la Constitución Española, y
el derecho a la protección de sus datos de carácter personal, consagrado en la
Sentencia del Tribunal Constitucional 292/2000. Ambos derechos están regulados por la
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
13
LEY ORGÁNICA 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la
intimidad personal y familiar y a la propia imagen y la LEY ORGÁNICA 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal, respectivamente.”
Guía de Protección de Datos de carácter personal para los Centros de Enseñanza
Lo que nos interesa conocer
Qué es la Agencia Española de Protección de Datos.
La AEPD es la autoridad de control independiente que vela por el cumplimiento de la
normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la
protección de datos personales.
Qué es un dato de carácter personal
Cualquier información que permita identificar o hacer identificable a un individuo.
No podrán usarse para finalidades incompatibles con aquellas para las que
hubieran sido recogidos,
Serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la
finalidad para la cual hubieran sido recabados o registrados.
Qué es un fichero de datos
Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma
o modalidad de su creación, almacenamiento, organización y acceso.
La Junta de Castilla y León, tiene registrados en el Registro General de Protección de
Datos, una serie de ficheros de datos de carácter personal por cada Consejería y
organismo dependiente. Éstos ficheros se pueden consultar en la página web de la
Agencia de Protección de Datos (https:www.agpd.es) en el siguiente enlace: Ficheros
Inscritos > Titularidad Pública > Índice de Organismos > Administración y Organismos
Públicos de C. Autónomas > Comunidad de Castilla y León.
Niveles de seguridad de los ficheros
Nivel básico
Ficheros de información personal. Nombre, apellidos, direcciones de contacto (tanto
físicas como electrónicas), teléfono (tanto fijo como móvil),…
Medidas a aplicar en ficheros automatizados: para esta categoría de ficheros
deberá disponerse de un registro de accesos.
Nivel medio
a) Los relativos a la comisión de infracciones administrativas o penales.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
14
b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica
15/1999, de 13 de diciembre (solvencia patrimonial y crédito).
c) Aquellos de los que sean responsables Administraciones tributarias y se
relacionen con el ejercicio de sus potestades tributarias.
d) Aquéllos de los que sean responsables las entidades financieras para
finalidades relacionadas con la prestación de servicios financieros.
e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios
Comunes de la Seguridad Social y se relacionen con el ejercicio de sus
competencias. De igual modo, aquellos de los que sean responsables las
mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad
Social.
f) Aquéllos que contengan un conjunto de datos de carácter personal que
ofrezcan una definición de las características o de la personalidad de los
ciudadanos y que permitan evaluar determinados aspectos de la personalidad
o del comportamiento de los mismos.
Medidas a aplicar en ficheros automatizados: las anteriores más identificación y
autenticación personalizada con límite de intentos reiterados de acceso no
autorizado.
Nivel alto:
a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias,
origen racial, salud o vida sexual.
b) Los que contengan o se refieran a datos recabados para fines policiales sin
consentimiento de las personas afectadas.
c) Aquéllos que contengan datos derivados de actos de violencia de género.
Algunos ejemplos habituales de datos especialmente protegidos que pueden ser
tratados en los centros de enseñanza son los siguientes:
- Los datos psicológicos contenidos en los informes psicopedagógicos, test de
inteligencia y conducta, etc. confeccionados por los orientadores y orientadoras
(datos referentes a la salud del alumnado).
- El dato del grado de minusvalía de determinados alumnos y alumnas con
necesidades educativas especiales.
- Los datos sobre alergias a determinados alimentos de algunos alumnos y
alumnas, para su conocimiento por parte del servicio de comedor escolar.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
15
- Los datos referentes a determinados alumnos y alumnas que presenten
problemas de salud que les imposibilite el ejercicio físico.
- El dato del origen racial de algunos alumnos y alumnas.
Sin embargo, el dato relacionado con el hecho de que el alumno o la alumna curse
o no la asignatura de religión no tiene la consideración de dato especialmente
protegido, ya que, en interpretación de la Agencia Española de Protección de
Datos, el hecho mismo de cursar la asignatura de religión no revela necesariamente
que el estudiante profese las creencias a las que tal asignatura se refiere.
Medidas a aplicar en ficheros automatizados: las anteriores más cifrado de datos.
¿Es un centro docente responsable del fichero de datos?
Responsable del fichero o tratamiento: persona física o jurídica de naturaleza
pública o privada u órgano administrativo que decida sobre la finalidad, contenido y
uso del tratamiento. (art. 3 d) de la Ley 15/99), aunque no lo realice materialmente.
https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/preguntas_frec
uentes/glosario/index-ides-idphp.php)
Los centros concertados son de titularidad privada. El responsable del fichero
será el propio centro, correspondiendo al mismo la notificación del tratamiento al
Registro General de Protección de Datos de la Agencia.
¿Es un centro docente responsable del fichero en la enseñanza pública? Informe
jurídico 143/2004:
(http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestio
nes/common/pdfs/2004-0143_Responsable-del-fichero-en-la-ensenanza-p-uu-blica.pdf)
“De lo dispuesto en la legislación básica estatal y en la autonómica se desprende
que los Centros Públicos no son sino órganos directamente dependientes de la
Consejería autonómica y carentes de personalidad propia y diferenciada de la
misma, sin prejuicio de las peculiaridades que les son propias en lo referente al
respeto de los principios de autonomía pedagógica, organizativa y de gestión
económica que la Ley establece.”
“Por ello, ha de concluirse que, integrados orgánicamente en la Administración
autonómica, será ésta la obligada al cumplimiento de las obligaciones que
respecto de los ficheros de titularidad pública impone la Ley Orgánica 15/1999,
debiendo la misma adoptar la correspondiente disposición de carácter general y
proceder a la notificación de los tratamientos al Registro General de Protección de
Datos, en la que se hará constar que el centro es el lugar de ubicación del fichero.”
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
16
El centro no será sino un mero usuario del fichero, cuyo responsable sería la
administración educativa autonómica, de forma que la obligación de notificación
correspondería a la Consejería de Educación de la Comunidad Autónoma
correspondiente, debiendo hacerse referencia al centro educativo únicamente como
lugar de ubicación del fichero.
Prestaciones de servicios sin tratamiento de datos de carácter personal.
En aquellos supuestos en que la prestación de servicios no conlleve el tratamiento de
datos de carácter personal, el contrato de prestación de servicios deberá, de
conformidad con lo establecido en el art. 83 párrafo segundo del Real Decreto
1720/2007, recoger expresamente la prohibición del personal ajeno de acceder a los
datos personales y la obligación de secreto respecto a los datos que hubiera podido
conocer con motivo de la prestación del servicio. Este podría ser el caso de las
empresas prestadoras de servicios de limpieza, cuya prestación no implica el
tratamiento de datos de carácter personal, pero que, sin embargo, tienen acceso a las
dependencias del centro de enseñanza, donde se almacenan los datos de carácter
personal del alumnado, personal docente, etc.
(Artículo 83 del Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de
la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
El responsable del fichero o tratamiento adoptará las medidas adecuadas para limitar el acceso
del personal a datos personales, a los soportes que los contengan o a los recursos del sistema
de información, para la realización de trabajos que no impliquen el tratamiento de datos
personales.
Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá
expresamente la prohibición de acceder a los datos personales y la obligación de secreto
respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del
servicio.)
http://www.educa.jcyl.es/educacyl/cm/dpvalladolid/images?idMmedia=580986
Otras consideraciones
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a
la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones
de interés general, así lo disponga una ley o el afectado consienta expresamente.
Articulo 7.3 Ley 15/1999.
No existe derecho acceso a una red social a un menor de 14 años. Se necesita
consentimiento de los padres o tutores legales.
Padres y alumnos no pueden negar consentimiento para tratar sus datos el centro
docente.
Se pueden, sin consentimiento, utilizar datos para objetivos estadísticos.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
17
A qué edad puede recabarse de un menor sus datos personales
Afectado o interesado: persona física titular de los datos que sean objeto de
tratamiento por parte del responsable:
menores, pero mayores de 14 años (pueden consentir por sí mismos),
menores de 14 años (requiere el consentimiento de sus representantes
legales).
Los interesados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso, preciso e inequívoco… Art. 5 Ley 15/99.
Fotografías de menores
Son un dato personal si permiten identificar a las personas. Necesita el
consentimiento inequívoco del interesado.
La publicación de fotos por internet de los alumnos es una cesión de datos,
necesita consentimiento expreso interesado:
menor pero mayor de 14 años,
menor de 14 años.
La LOPD se aplica a las fotografías si constituyen un fichero para tratar.
No las de carácter doméstico (L.O. 1/1982).
Estableciendo criterios para asegurar la confidencialidad y la protección de
datos
Criterios que se están cumpliendo en la actualidad (situación de partida) más los que
deberán cumplirse (actuaciones de mejora).
Control de acceso a los datos
Relación de equipos en los que se encuentran los datos protegidos
‒ Deberían localizarse en los equipos dedicados a la administración.
Acceso físico a los equipos y a los datos
‒ Relación de usuarios con acceso autorizado.
‒ Relación de recursos que comparten en la red.
‒ Registro de extracción de datos, que documente: nombre del archivo,
fecha, autor, motivo.
‒ Relación de personas ajenas al centro con acceso a estos equipos:
contrato que garantice la confidencialidad de los datos
http://www.educa.jcyl.es/educacyl/cm/dpvalladolid/images?idMmedia=580986
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
18
¿Se han clasificado y registrado los ficheros con datos sensibles utilizados en
el centro?
‒ Nombre del archivo, ubicación y cifrado.
¿Existen procedimientos de identificación y autenticación?
Gestión de contraseñas
Procedimiento de asignación, distribución y almacenamiento de contraseñas
que garantice su confidencialidad e integridad.
Persona encargada de la custodia.
Contraseñas diferentes para servicios diferentes.
Cambiarlas con regularidad.
Fortaleza:
- que no contenga todo o parte del nombre de la cuenta del usuario;
- que sean por lo menos de 8 caracteres en la longitud;
- que contengan caracteres en mayúsculas (A-Z), letras minúsculas (a-z),
números (0 a 9) y caracteres distintos a los alfanuméricos (por ejemplo !,
$, #,%)
Una estrategia utilizada para construir contraseñas seguras que puedan
recordarse consiste en utilizar frases cortas, sin espacios en blanco,
añadiendo algunos números, por ejemplo: MiMejorAñoNoFueEl2016
Lo más acertado para no olvidar contraseñas es escribirlas, pero de forma
segura: utilizar herramientas de gestión de contraseñas como KeePass,
Password Safe, LastPass, KeePassX, DashLane.
Cifrado de datos
Cifrado simétrico
Es aconsejable utilizar sistemas de cifrado robustos si vamos a almacenar
información sensible.
Con las herramientas del sistema operativo:
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
19
En Windows encriptación EFS: clic con el botón secundario del ratón sobre un
fichero o carpeta del disco o una unidad extraíble y pinchar en Propiedades,
Opciones avanzadas, Cifrar contenido para proteger datos. Permite cifrar
archivos o directorios de forma individual.
BitLocker: es la herramienta diseñada para proteger todos los archivos
personales y del sistema. Ofrece la posibilidad de cifrar nuestro disco, un
volumen o partición completamente o incluso cualquier otra partición de una
unidad flash USB u otro tipo de almacenamiento externo.
Está incluido por defecto en las versiones Ultimate y Enterprise desde Windows
Vista en adelante. Una vez que se activa BitLocker, se cifran automáticamente
todos los archivos almacenados en la unidad.
En Linux cryptsetup: instalado por defecto en algunas distribuciones.
Con herramientas externas
VeraCrypt, AxCrypt, AES Crypt, Cloudfogger (enfocada a los servicios de
almacenamiento online como Dropbox), Challenger, Camouflage, Rohos Mini
Drive (crea un contenedor cifrado en un pendrive).
https://www.osi.es/herramientas-gratuitas?herramienta_selec[]=118
Soportes de almacenamiento
Crear un inventario de soportes en el que se registran entradas y salidas:
‒ Fecha, emisor/destinatario, número, tipo de información, forma de envío,
responsable autorizado para recepción/entrega.
Almacenarlos en lugares de acceso restringido.
Mecanismos para que solamente puedan acceder a los datos las personas
autorizadas.
- Cifrado: utilizar herramientas de cifrado.
Herramientas para bloquear el uso de dispositivos de memoria externos los
equipos de administración:
- Ratool (Removable Access Tool): deshabilita fácilmente las unidades de
almacenamiento USB o la lectura/escritura de las mismas en Windows.
- Phrozen Safe USB: similar a la anterior.
Herramientas para eliminar los datos de los alumnos de los equipos y soportes
que ya no se utilizan:
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
20
- Hardwipe: permite eliminar de forma segura la información del disco duro
de un sistema Windows de forma permanente.
- Eraser: permite eliminar ficheros de forma segura, impidiendo la posibilidad
de recuperar estos ficheros una vez eliminados.
Política de copias de seguridad
Conviene realizar respaldos regulares de los datos críticos. Estos respaldos deben
hacerse por lo menos una vez al día en el caso de usuarios o empresas pequeñas.
Para organizaciones más grandes y complejas, deben realizarse respaldos
completos por lo menos una vez a la semana, y respaldos incrementales todos los
días.
- Persona o equipo responsable.
- Periodicidad: con qué frecuencia se realizan.
- Tipo: automática o manual.
- Dónde se conservan las copias: ¿se trata de un dispositivo diferente al de los
equipos que tratan los datos?, ¿en la nube?
No debemos olvidar que cuando subimos información a la nube, ésta deja de
estar completamente bajo nuestro control y podría verse afectada por fallos
de seguridad. Por este motivo, cuando subamos información a la nube
deberemos cifrarla antes.
La recomendación es no subir a la nube archivos que contengan información
sensible.
- Herramientas para realizar copias de seguridad en Windows: Cobian Backup.
https://www.osi.es/herramientas-gratuitas?herramienta_selec[]=124
Otra opción para la realización de copias de seguridad automáticas es utilizar
el programa del panel de control de Windows (panel de Configuración de
Windows 10).
Criterios para difusión y extensión de datos personales dentro y fuera del
centro
¿Autorizamos el uso de las redes sociales horizontales?
- Creación de la identidad digital del centro.
- Inculcar a los alumnos sentido común para usar las redes sociales.
Elaborar estrategias para formar y concienciar a los alumnos sobre el uso
correcto de los datos y la tecnología:
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
21
- tratamiento de imágenes,
- acceso a contenidos inapropiados en la red,
- difusión de datos personales en Internet,
- no entablar relaciones con desconocidos.
Uso de dispositivos móviles
¿Existe en el centro un documento que regule el uso de los dispositivos
móviles?
Plan de auditorías de seguridad
Una auditoría de seguridad informática es una evaluación de los sistemas
informáticos cuyo fin es detectar errores y fallas:
- Persona o equipo responsable.
- Verificación del cumplimiento de la normativa vigente LOPD.
- Análisis de seguridad en los equipos y en la red.
- Amenazas y elementos de seguridad de entrada y salida de datos.
- Control de sistemas y programas instalados.
- Seguridad física.
- Custodia y gestión de contraseñas.
Las auditorías de seguridad permiten conocer en el momento de su realización
cuál es la situación exacta de la información en cuanto a protección, control y
medidas de seguridad.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
22
Seguridad de la red (protección de la red del centro)
Garantizar que el funcionamiento de todas las máquinas de la red sea óptimo y que todos
los usuarios posean los derechos que les han sido concedidos.
Funciones del equipo responsable
Establecer criterios de uso, configuración y acceso a los sistemas (usuario,
contraseña,…).
Registrar las directivas de grupo utilizadas para definir las configuraciones de los
equipos y usuarios del dominio (centros que cuentan con controladores de dominio).
Evitar que personas no autorizadas accedan el sistema.
Evitar que los usuarios realicen operaciones involuntarias que puedan dañar el
sistema.
Enumerar los grupos de trabajo existentes, los equipos que forman parte de ellos,
qué recursos se comparten y cómo se protegen.
Comprobar si están funcionando las medidas de seguridad previstas.
Garantizar que no se interrumpan los servicios.
Informar y educar a los usuarios sobre el uso seguro de la red.
Definir los posibles riesgos y las medidas a tomar.
Responder en primera instancia a las incidencias de seguridad detectadas.
Llevar a cabo la auditoria de los sistemas.
Seguridad inalámbrica. Protección de los puntos de acceso (AP)
Equipo responsable del funcionamiento y configuración de los AP.
Los puntos de acceso y router inalámbrico de la LAN deben quedar registrados e
incluidos en la documentación de red.
¿Es necesario tenerlos siembre conectados? Quizás sea posible apagarlos
durante los fines de semana o período vacacional.
Política de contraseñas: las redes inalámbricas deben estar protegidas por
contraseña.
Período de validez, custodia, fortaleza,…
Cifrado: estándar WPA2 con AES, siempre que el dispositivo lo permita.
Filtrado MAC: lista de direcciones MAC (lista de dispositivos) que introduciremos en
el punto de acceso. Es necesario conocer la dirección MAC de todos los dispositivos
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
23
que quieran conectarse al punto de acceso (se pueden utilizar escáner como
Advanced IP Scanner o wnetwatcher). Se puede configurar en dos modos opuestos:
Permitiendo la conexión a los dispositivos añadidos a la lista de direcciones
MAC.
Denegando la conexión a los dispositivos que aparecen en la lista de
direcciones MAC.
Asignación de direcciones IP: dinámica (por DHCP) o estática (aumenta la
seguridad, pero disminuye la usabilidad).
Un escalón más en la seguridad inalámbrica:
Habilitar el aislamiento AP que permiten algunos puntos de acceso
inalámbricos: esta característica limita y restringe los clientes conectados a la
red wifi. No pueden interactuar con dispositivos conectados a la red de cable, y
tampoco pueden comunicarse entre sí. Sólo pueden comunicarse con el router.
Creación de subredes + cortafuego.
Utilizar la wifi gestionada. Los elementos básicos que componen las redes
wireless gestionadas están formados por un conjunto distribuido de puntos de
acceso (AP) conectados a la red cableada a través de un controlador de
acceso (AC).
El controlador de acceso es el dispositivo o servidor que facilita, entre otras,
funciones de control de los AP. Su formato es como el de un switch, siendo una
implementación hardware/software que permite que desde cualquier puesto de
la red se pueda acceder y gestionar todo el conjunto de AP.
RADIUS: es un protocolo de autenticación y autorización para aplicaciones de
acceso a la red, en nuestro caso red inalámbrica (WiFi). Cuando se realiza la
conexión con un punto de acceso, en lugar de una clave de red, se enviará un
nombre de usuario y una contraseña; esta información se transfiere a un
servidor con el protocolo radius,
que comprueba si la información de
usuario es correcta. Si el usuario es
aceptado, el servidor autorizará el
acceso del dispositivo al sistema y
le asignará los recursos de red
necesarios para establecer la conexión a la misma, tales como una dirección
IP, puerta de enlace, etc.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
24
Controladores de dominio
Un dominio es un conjunto de sistemas informáticos conectados en una red que confían
a uno de los equipos de dicha red la administración de los usuarios y los privilegios que
cada uno de ellos tienen.
Permite gestionar de forma centralizada todos los usuarios y recursos de la red y
configurar bajo una única interfaz quién tiene acceso a los diferentes servicios.
Cada usuario de la red tiene asignado un perfil y unos recursos. Permite que un usuario
inicie sesión en los equipos unidos al dominio. Permite también autorizar o denegar el
acceso a los recursos del Dominio.
El hecho de acceder con usuario y contraseña facilita poder averiguar, en caso de
necesidad, qué persona concreta ha utilizado un equipo en un momento dado.
Se utilizan para:
Personalización por usuario del escritorio y entorno de Windows.
Establecer políticas de seguridad.
Instalación automática de software.
Ejecución de scripts.
Redirección de carpetas locales a recursos de red.
Subredes. Separar redes de alumnos, profesores y administración
La segmentación de la red en subredes, además de mejorar el funcionamiento general
reduciendo el tráfico mediante la contención del broadcast dentro de las subredes,
mejora la seguridad al aislar unas de otras según convenga. Por ejemplo, podría ser
conveniente aislar la subred de alumnos de manera que desde la subred de profesores
se pueda acceder a ella pero no al contrario.
Con VLAN, utilizando switch gestionables.
Con router neutros.
Switch gestionable Router neutro
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
25
Red compleja con subredes y DMZ
Acceso a Internet
Es importante ser consciente de que una red de área local que sale a Internet a través
de un router (ADSL, Wimax, Satélite, 4G,...), vista desde Internet es prácticamente "una
caja negra", de hecho no existe más que una dirección IP asociada a un número de
teléfono, a una fecha y a una hora. Estos datos son los que figuran en los registros de
los ISP (Proveedores de Servicios de Internet), junto con los sitios Web visitados y los
contenidos subidos o descargados. Esto supone que, ante cualquier ilegalidad cometida
desde el interior de la red, sólo figurará como responsable quien lo sea de la línea de
acceso a Internet. Para poder "delegar la responsabilidad" es necesario poder
determinar:
1º desde que equipo de la red se cometió la ilegalidad,
2º quién utilizaba el equipo en ese momento.
Control de acceso y perfiles de usuario
Establecer criterios de responsabilidad de uso (buenas prácticas).
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
26
Establecer criterios de control de acceso, que permitan identificar incidencias
de seguridad o mal uso, identificando riesgos y estableciendo posibles medidas
de respuesta.
Control parental:
- Registro de sitios web, redes sociales y blog de centros bloqueados desde
la red del centro.
- Registro de sitios web, redes sociales y blog con acceso recomendado.
Bloquear los accesos indebidos desde Internet a la red local.
Bloquear la salida de datos no autorizada desde la red local a Internet.
Protocolo de actuación en caso de acceso a recursos no permitidos o
descargas de materiales ilegales.
- Sistema de monitorización y generación de informes (del tipo Squid +
Sarg). Genera registros de descargas y Web a las que se ha accedido
desde cualquier equipo del centro.
- Procedimiento para averiguar la persona física que realizó el acceso o
descarga ilegal.
- Medidas de respuesta.
Organización de los recursos tecnológicos:
Es importante poder saber qué dirección IP tiene asignada cada equipo en la
red.
Router ADSL:
- modificar las credenciales de administrador, cambiando el nombre de
usuario y contraseña que trae por defecto;
- habilitar la administración remota sólo en caso necesario y durante el
menor tiempo posible para minimizar la ventana de tiempo de posibles
ataques;
- documentar puertos abiertos (mapeo de puertos). Una red local que no
presta servicios en Internet debe tener todos los puertos cerrados.
http://www.puertosabiertos.com/es/escaner-de-puertos.htm
Servidor de seguridad. Cortafuegos situado entre la red interna y la externa.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
27
Cortafuegos situado entre la red interna y la externa
Filtrado de paquetes (nivel de red / a nivel de circuito): la mayoría de los router
disponen de cortafuegos de este tipo (capa 3 y 4). Se configura como una lista
de reglas estáticas, comprobadas secuencialmente una a una, con condiciones
basadas en los campos de la cabecera IP y/o TCP y acciones que consisten en
descartar, rechazar, retransmitir. Los de nivel de circuito se basan en el
establecimiento, seguimiento y liberación de las conexiones que se realizan
entre las máquinas internas y externas.
Nivel de aplicación (proxy): hacen posible un control a más alto nivel.
Proporcionan informes de auditoría más detallados que los cortafuegos de nivel
de red. Ofrecen una mayor flexibilidad.
- Control fino para cada aplicación concreta.
- Autentificación de usuario a alto nivel.
- Posibilita registro de eventos a nivel de aplicación.
Es necesario configurar un servidor proxy para cada servicio que se desee
proporcionar (HTTP, FTP, SMTP,...)
Posibles opciones: podemos optar por montar sistemas con software libre, pero
que requieren tiempo y conocimientos para instalarlos y administrarlos, como por
ejemplo un ordenador con sistema operativo Linux + Iptables + Squid + Sarg +
DansGuardian,... (entre otras posibilidades) o sistemas hardware + software del tipo
SonicWALL, fáciles de instalar y administrar, pero que pueden llegar a ser
relativamente caros.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
28
Seguridad de los equipos
Tareas del equipo responsable
Asegurarse de que las herramientas de seguridad estén
funcionando y se actualicen correctamente en todos los
equipos.
Escanear los equipo con la periodicidad que se considere conveniente.
Detectar incidencias y aplicar medidas en respuesta a ellas.
Fijar criterios de acceso y configuración:
usuario, contraseña, perfiles.
Fijar criterios de responsabilidad de uso (buenas prácticas).
Algunas normas básicas:
‒ antes de iniciar la clase, comprobar que a todos los ordenadores se ha
accedido con el perfil adecuado (alumno/profesor), y que tiene el antivirus
activo;
‒ no dejar equipos con perfil administrador abierto. De esta forma, evitamos
que personas no autorizadas puedan acceder a determinados contenidos;
‒ utilizar el perfil del administrador sólo en caso de querer realizar
modificaciones permanentes, como instalación de programas,...
‒ abrir los documentos de Office (Word, Excel...) sin macros;
‒ no ejecutar programas que lleguen vía correo electrónico, aunque vengan de
una persona conocida;
‒ tener copias de seguridad actualizadas de nuestros ficheros de trabajo;
‒ tener copias de respaldo de todo el disco duro (imágenes de discos);
‒ revisar con un antivirus todos los discos antes de utilizarlos;
‒ revisar con un antivirus los programas descargados de la red;
‒ revisar periódicamente el ordenador con antivirus y antimalware.
Registro de aplicaciones de seguridad. Se debe llevar un registro de todas las
herramientas de seguridad instaladas en los equipos:
Antivirus
Un antivirus es un programa informático específicamente diseñado para detectar,
bloquear y eliminar código malicioso (virus, troyanos, gusanos, etc.); no sólo analiza
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
29
ficheros, también nos protege de direcciones web maliciosas o correos que puedan
contener virus. Pero para poder hacer su misión debe estar activado. También es
necesario que el antivirus esté actualizado. La explicación a esto es muy sencilla;
cuando instalamos un antivirus en el ordenador, éste es capaz de detectar los virus
existentes hasta ese momento. Sin embargo, cada día se descubren nuevas
amenazas informáticas. Entonces, si no actualizamos el antivirus, no será capaz de
alertarnos ante ellas. Los fabricantes de antivirus, a través del servicio de
actualizaciones, lo que hacen es añadir a su base de datos, todos los nuevos virus
que se descubren. La actualización del Patrón de Definiciones de virus es vital y
debe hacerse como mínimo una vez a la semana.
Conviene instalar un antivirus en cada equipo o utilizar uno corporativo, pero sólo
uno.
Debe nombrarse un responsable de actualizarlos y de escanear el equipo al menos
una vez a la semana.
Antimalware (https://www.infospyware.com/antimalware/)
Malware es todo tipo de programa o código informático malicioso cuya función es
dañar a un sistema o causar un mal funcionamiento. Dentro de este grupo podemos
encontrar términos como: virus, troyanos, Gusanos, keyloggers,
botnets, ransomwares, spyware, adware, hijackers, keyloggers, rootkits,...
¿Cuáles serían los síntomas de un equipo infectado por malware? El malware
moderno es cada vez más sigiloso y escurridizo y ya no se trata de borrar los datos
del disco duro, sino de aprovechar el sistema convirtiendo el equipo en un PC zombi
(botnet) para enviar spam, robar datos, etc; por lo que éstos intentaran permanecer
el mayor tiempo posible en el sistema sin ser detectados.
Conviene instalar varios antimalware en cada equipo.
Tipos de ataque más conocidos
Exploits. Es muy frecuente ingresar a un sistema aprovechándose de agujeros
debidos a fallos de programación en las aplicaciones utilizadas. Los programas
para aprovechar o explotar estos “agujeros” se denominan “exploits”. La defensa
inmediata ante esta vulnerabilidad es la actualización del software que
utilizamos.
Virus. Pequeños programas capaces de infectar a otros programas,
modificándolos para que incluyan una copia y cuyos efectos van desde nada
hasta el colapso total del sistema.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
30
Adware (Advertising Supported software). En otros casos son más notorios al
hacer modificaciones en nuestro equipo, como es el cambiar la página de inicio y
de búsquedas de nuestro navegador, redirigir los resultados de Google hacia
otros sitios, emitir falsos mensajes de alertas o infecciones, impedir la instalación
o ejecución de programas, impedir el visitar sitios webs de seguridad o actualizar
el antivirus,...
Spyware. Es capaz de recoger información privada: hábitos de navegación,
mensajes de correo, contraseñas, datos bancarios, etc, para después
transmitirlos a otro destino en Internet, por ejemplo, un servidor web. Al igual que
los virus, también puede ser instalado al abrir un fichero adjunto de correo
infectado, pulsando en una ventana de publicidad o camuflado junto a otros
programas.
La mejor solución pasa por usar programas antiespías, que tienen un
funcionamiento similar a los programas antivirus, pero analizan el sistema en
busca de programas espías y los eliminan. Estos programas no son
incompatibles con los antivirus, sino complementarios. Teniendo ambos
instalados estaremos mejor protegidos contra posibles intrusiones en nuestro
sistema. Lo recomendado es instalar dos o tres y activarlos al menos una vez a
la semana.
Gusanos. Es un código maligno cuya principal misión es reenviarse a sí mismo.
El mayor efecto de los gusanos es su capacidad para saturar, e incluso bloquear
por exceso de tráfico los sitios web.
Troyanos. Están diseñados para que un atacante acceda a un sistema en forma
remota y realizar diferentes acciones sin pedir permiso. Están compuestos por
dos programas: un cliente que envía las órdenes y un servidor que las recibe del
cliente, las ejecuta y devuelve resultados.
…
Control parental
Ayudan a controlar, supervisar y dirigir el uso que hacen los menores de la
tecnología. Algunas funcionalidades que suelen incorporar estas aplicaciones:
Denegación de actividades que implican un desembolso económico: estas
opciones, generalmente en smartphones, evitan que el menor haga llamadas
telefónicas, envíe mensajes o descargue aplicaciones de pago.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
31
Establecimiento de una zona segura para el menor: esta opción limita el acceso
del menor a partes concretas del dispositivo. De esta manera se protege
información del adulto a la que no debe tener acceso el niño.
Reinicio automático de la aplicación: con esta opción se evita que el niño pueda
salir de la aplicación de control parental. Si por algún motivo lo hace, la
aplicación se reiniciará automáticamente.
Bloqueo de programas: esta opción permite bloquear cualquier programa o
aplicación instalada en el dispositivo, o que sea necesaria una contraseña para
ejecutarla.
Supervisión de los sitios webs visitados y establecimiento de “listas blancas” o
“listas negras”: mediante esta funcionalidad es posible impedir el acceso a
determinadas webs (listas negras), e incluso supervisar las más visitadas. La
mayoría de programas vienen configurados con categorías predefinidas para
una mayor comodidad a la hora de definir las restricciones.
Establecimiento de horarios de uso del dispositivo: esta funcionalidad permite
limitar los horarios en los que el dispositivo será utilizado por el menor. Esto
incluye la posibilidad de supervisar el tiempo que se utiliza el equipo, incluso
programando horarios diferentes para cada día de la semana. Si el dispositivo
está encendido cuando termine el límite horario, la sesión se apagará
automáticamente.
Localización por GPS del dispositivo: si el menor sale de casa con el dispositivo
es posible obtener su localización aproximada mediante esta funcionalidad.
Restricciones a los juegos: esto permite limitar los juegos que puede ejecutar el
menor según la edad, la temática o incluso el título.
Informes de actividad: muchas de estas herramientas permiten el envío de
informes de actividad del uso del dispositivo, que se envían por correo
electrónico al adulto.
Control remoto desde el PC: en algunas aplicaciones es posible obtener el
control remoto del equipo desde otro PC, para controlar así el uso que hace el
menor del equipo.
https://www.osi.es/
Algunas herramientas:
Para dispositivos individuales: Golden Filter Premium
https://www.osi.es/herramientas-gratuitas?herramienta_selec[]=120
Para la red: https://www.opendns.com/
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
32
Congeladores de disco
Los congeladores de discos duros son programas que sirven como protección al
sistema operativo de un ordenador, se encargan de borrar todos los archivos una vez
reiniciando; así, todo programa, virus, páginas visitadas, y todo lo que se haga en el
equipo se borra, dejándolo como estaba en el momento de activarlo.
Deep Freeze es un controlador que protege la integridad del disco duro
redirigiendo la información que se va a escribir en él o en una partición
protegida, dejando la información original intacta.
ToolWiz Time Freeze crea un entorno virtual, una copia del sistema real con todo
su software instalado para ejecutarlo sin modificaciones, manteniendo el sistema
"congelado".
Cortafuegos (Firewall)
Una de las mejores opciones para proteger un equipo es el cortafuegos, sobre todo
si no tenemos un servidor de seguridad en la red. En un equipo solamente se debe
instalar un cortafuegos, si hay más de uno pueden producirse conflictos y problemas.
Es importante resaltar que un cortafuegos no va a eliminar malwares de nuestro
sistema y que sus funciones son muy distintas a un antivirus o antispyware. Sin
embargo, su utilización correcta es fundamental para la seguridad de nuestro sistema
operativo, y para mantenerlo libre de malwares. Realiza su tarea comprobando la
información que viene de Internet o de la red y bloqueándola o permitiendo que pase
a nuestro equipo.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
33
Formación y concienciación
La seguridad absoluta no es posible, no existe un sistema 100% seguro, de forma que el
elemento de riesgo está siempre presente, independientemente de las medidas que
tomemos.
Como parte de su responsabilidad para conseguir un uso seguro de Internet, los centros
educativos deben desarrollar una política de buen uso de esta tecnología. Es
importante formar y concienciar a los alumnos en el uso correcto y seguro de las nuevas
tecnologías. Por ejemplo, mediante reuniones periódicas en las que se debata con ellos
los peligros relacionados con el uso de Internet (https://www.osi.es/). La política debería
proveer cobertura para una gran variedad de nuevas tecnologías, que pueden ser
utilizadas tanto dentro como fuera del centro: correo electrónico, chat, mensajería
instantánea, webcams, blogs, redes sociales,…
Algunos temas a tratar:
Robos de Contraseñas, con el consiguiente acceso a información confidencial o
personal, y como sonsecuencia:
- Robo de identidad: alguien se ha hecho con nuestra cuenta y la utiliza
ilegalmente, por ejemplo, para realizar algún fraude o delito.
- Suplantación de identidad: alguien ha creado un perfil con nuestros datos y
fotografías para que la gente piense que somos nosotros.
Ingeniería Social. Consiste en utilizar un reclamo que atraiga nuestra atención para
conseguir que actuemos de la forma que los delincuentes desean, por ejemplo
convenciéndonos de la necesidad de reenviar un correo electrónico a toda nuestra
lista de contactos, descargar y abrir un archivo que se adjunta en un correo bajo
alguna excusa o incitándonos a proporcionar información sensible como son las
claves de acceso a un determinado servicio o los datos bancarios. Aprovechan
cualquier referencia a temas de actualidad o temas de interés; emplean el miedo
que una determinada situación causa al usuario: multas económicas, Agencia
Tributaria, denuncias de la Policía, etc.
Redes Sociales, Whatsapp,… No publicar información personal, ni compartir fotos
ni vídeos en los que aparezcas en situaciones comprometidas. No aceptar
solicitudes de desconocidos,….
Pensar antes de publicar algo, ya que una vez publicado no sabes si saldrá de la
red social. Podrán utilizar esa información en tu contra.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
34
Cada vez que publicamos algo en una red social perdemos el control sobre ese
contenido. Aunque lo borremos, quedará como mínimo registrado en los servidores
de la red social y cualquiera que lo haya visto puede haber hecho uso de esa
información.
Uso de Dispositivos Móviles. En zonas públicas, verificar que la red a la que te vas
a conectar pertenezca al establecimiento en el que estás. Hay personas que
pueden hacerse pasar por una red auténtica sin serlo.
Riesgos en Internet
- Ciberbullying: acoso entre menores a través de Internet.
- Grooming: generar lazos de amistad con un menor para obtener una satisfacción
sexual.
- Sexting: difusión o publicación de contenido sexual a través de dispositivos
tecnológicos.
- Gestión de la privacidad e identidad digital.
Una propuesta para abordar estos temas puede ser utilizar las horas de tutoría y
organizar talleres en los que participen los alumnos.
¿El Reglamento de Régimen Interior recoge los procesos y actuaciones a aplicar en el
caso de uso inadecuado e incidencias en materiales y servicios?
Se deben establecer unas pautas de uso de los equipos informáticos por parte de
cualquier miembro de la comunidad educativa, especialmente por el profesorado y
alumnado.
¿El Reglamento de Régimen Interior recoge protocolos de actuación para hacer frente a
las incidencias de seguridad?
Crear protocolos para responder a las infracciones de las normas de seguridad
establecidas por el centro (tratamiento de imágenes, redes sociales,...)
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
35
Anexo I
Pasos a seguir para eliminar malware en un equipo
1. Ejecutar un antivirus y, a continuación, las herramientas antispyware. Si no funciona:
2. Desactivar “Restaurar Sistema”.
3. Borramos los archivos temporales de Internet y las cookies.
4. Iniciar el sistema en “Modo seguro”.
5. Ejecutar las herramientas antispyware y eliminar los intrusos que encuentren. Si no
los encuentra:
Averiguar los programas que se cargan al iniciar el sistema, con herramientas
como msconfig, autoruns,…
Cuando la mera visión de la lista de los programas que se cargan al inicio no nos
permita decidir qué entrada(s) del registro activan al causante(s) del daño, la
solución consistirá en deshabilitar una a una las entradas dudosas,
comprobando en cada una de ellas si es o no la que buscamos (Para comprobar
una entrada deshabilitada hay que reiniciar el sistema en modo normal y ver si
se carga el malware, si no lo hace habremos acertado). Una vez localizado, el
siguiente paso será volver al modo seguro, activar msconfig, anotar la ruta del
malware y borrar la entrada deshabilitada. A continuación eliminaremos el
programa del disco duro.
6. Eliminar cookies y temporales (CCleaner).
7. Pasarle un antivirus.
8. Reiniciar el sistema en modo normal.
9. Comprobar que el problema ha desaparecido.
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
36
Anexo II
Plan de auditoría de seguridad
Una auditoría de seguridad informática permite conocer en el momento de su
realización cuál es la situación exacta de la información en cuanto a protección,
control y medidas de seguridad.
Verificación del cumplimiento de la Normativa vigente LOPD.
Equipos para uso administrativo:
‒ quiénes tienen acceso,
‒
Análisis de Seguridad en los equipos y en la red.
Amenazas y elementos de seguridad de entrada y salida de datos.
Control de Sistemas y Programas instalados.
Seguridad Física.
Plan de Seguridad. ¿Se está ejecutando?
Custodia y gestión de contraseñas.
...
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
37
Auditoría de seguridad
Protección, confidencialidad, conservación y seguridad de los datos de carácter académico y educativo
Acceso físico a los equipos y a los datos
¿Los datos sensibles están localizados en los equipos
de administración? Sí/No
¿Se garantiza que el acceso a los recursos de estos
equipos se permite sólo al personal autorizado y con
el perfil autorizado? Sí/No
¿Existe una relación de usuarios con acceso autorizado? Sí/No
¿Se Comparten recursos en la red? ¿Se documenta? Sí/No
¿La extracción de ficheros de datos se produce siempre
de forma autorizada y controlada? ¿Se documenta? Sí/No
¿Se ha firmado un contrato que garantice la confidencialidad de los
datos con las personas ajenas al centro que tienen acceso a ellos? Sí/No
¿Existe un registro de ficheros con informaciones sensibles?
¿Se registran correctamente todos los archivos que
almacenan datos sensibles? Sí/No
¿El procedimiento de asignación, distribución, almacenamiento y custodia
de contraseñas garantiza su confidencialidad e integridad?
¿Hay una persona encargada de la custodia? Sí/No
¿Se utilizan contraseñas diferentes para servicios diferentes? Sí/No
¿Se cambian con regularidad? Sí/No
¿Se utiliza alguna herramienta de gestión de contraseñas? Sí/No
Soportes utilizados para el almacenamiento de ficheros
¿Existe un inventario de soportes? Sí/No
¿Se registran las entradas y salidas? Sí/No
¿Se almacenan en lugares de acceso restringido? Sí/No
¿Se codifican los ficheros con datos sensibles en los
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
38
dispositivos de memoria externos? Sí/No
¿Los equipos de administración bloquean el acceso
de dispositivos de memoria externos? Sí/No
Copias de seguridad
¿Se realizan periódicamente copias de seguridad
de los datos sensibles almacenados en el centro? Sí/No
¿Existe un registro de copias de seguridad? Sí/No
¿Se almacenan en lugares de acceso restringido? Sí/No
Difusión y extensión de datos personales dentro y fuera del centro
¿Hay un registro con las redes sociales autorizadas desde
el centro? Sí/No
¿El Reglamento de Régimen Interior incorpora protocolos de
actuación para hacer frente a las incidencias de seguridad? Sí/No
¿Existe un plan para formar y concienciar a los alumnos en el
uso correcto de los datos y la tecnología? ¿Se lleva a la práctica? Sí/No
Seguridad de la red
¿Existe un equipo responsable de supervisar el funcionamiento
de la red y detectar incidencias de seguridad? Sí/No
¿Es capaz de detectar incidencias y solucionarlas en
primera instancia? Sí/No
¿El acceso a todos los sistemas (ordenadores, tabletas y
equipos de red) está protegido por usuario y contraseña? Sí/No
¿Se forma a los usuarios sobre el uso seguro de los sistemas? Sí/No
¿Se han definido los posibles riesgos y las medidas a tomar? Sí/No
Seguridad inalámbrica. Protección de los puntos de acceso
¿Existe un registro actualizado con los puntos de acceso
inalámbricos que funcionan en el centro? Sí/No
¿Se documentan las características de funcionamiento
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
39
de los puntos de acceso inalámbrico? Sí/No
¿Se protege adecuadamente la red inalámbrica?
- WPA2 con AES Sí/No
- Filtrado MAC Sí/No
- Lista de control de acceso (AC) Sí/No
- Aislamiento AP Sí/No
¿La gestión de contraseñas se realiza correctamente? Sí/No
Controlador de dominio
¿Se ha documentado correctamente su configuración? Sí/No
¿Se utiliza antivirus corporativo? Sí/No
¿La gestión de contraseñas se realiza mediante directivas de grupo? Sí/No
¿Se han creado perfiles de usuario diferentes para cada grupo de
Usuarios? Sí/No
Subredes
¿Se utilizan AC para bloquear el acceso a la subred? Sí/No
¿Se han configurado VLAN para crear subredes? Sí/No
- Si la respuesta es Sí, ¿funcionan correctamente? Sí/No
¿Se utilizan router para configurar subredes? Sí/No
- Si la respuesta es Sí, ¿funcionan correctamente? Sí/No
¿Hay algún cortafuegos activo? Sí/No
Acceso a Internet
Se protege adecuadamente el acceso a la administración Sí/No
del router ADSL
¿Existe un documento de buenas prácticas adaptado Sí/No
para profesores y alumnos?
¿Se utilizan herramientas de control parental? Sí/No
Se utiliza un servidor de seguridad con sistema de
monitorización y generación de informes de la
actividad de los usuarios en Internet. Sí/No
Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid
40
Existe un procedimiento para averiguar el usuario que
realizó un acceso o descarga ilegal en Internet. Sí/No
Hay un protocolo de actuación para el caso de
acceso a recursos no permitidos en Internet. Sí/No
Seguridad de los equipos
¿Existe un registro de las aplicaciones de seguridad
instaladas en los equipos? Sí/No
¿Hay un encargado de actualizar los programas de
Seguridad y de escanear los equipo periódicamente? Sí/No
¿Se aplican medidas en respuesta a la detección de
una incidencia? Sí/No
¿Existe una guía de buenas prácticas en el uso seguro
de los equipos? Sí/No