Javier Rubio Villacé Asesor TIC del Área de Programas ...€¦ · transversal que afecta a las...

Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid

1

Este documento pretende servir de guía para elaborar dos apartados del

PLAN TIC DE CENTRO:

El área de Infraestructuras y equipamiento, que recoge la

organización y uso que el centro hace de la red y el equipamiento

informático.

El plan de seguridad, que pretende abordar los temas

relacionados con la utilización de los dispositivos informáticos de

forma segura, desde el uso seguro de los datos hasta la seguridad

en Internet, siendo conscientes de que la seguridad es un tema

transversal que afecta a las cinco áreas de integración de las TIC.


2

INFRAESTRUCTURA Y EQUIPAMIENTO

Situación de partida + actuaciones de mejora

¿El centro recoge de forma sistemática y estructurada la renovación,

adaptación y aprovechamiento de equipos?

Ideas para mejorar el equipamiento TIC del centro (¿Plan de equipamiento?):

- pedir equipamiento a la Administración,

- conseguir equipamiento de segunda mano,

- participar en concursos, proyectos de innovación,...

- adaptar equipos antiguos: añadir memoria,…

- ...


3

Servicios de Internet

Inventario de servicios. Relación de todos los espacios que el centro tiene en

Internet:

Hosting y sitios web.

Redes sociales y blog de centro.

Criterios de uso y acceso:

Responsabilidad de uso: ¿quién administra la Web del centro, redes sociales,

blog,…?

Control de acceso y perfiles de usuario (plan de seguridad).

Red del centro

Descripción de la estructura. Servicios y uso.

Persona o grupo encargados de administrar la red. Tareas y responsabilidades:

- Detección y solución de averías.

- Toma de decisiones: ampliación, mejora,…

Documentar subredes activas:

- Número de VLAN y puertos asignados.

- Número de router neutros.

- Rango de IP, máscara de subred y puerta de enlace.

- Listas de control de acceso (si existen).

Un inventario de todos los dispositivos de la red, que incluya algunos datos

sobre ellos, puede ayudarnos a solucionar problemas en casos de mal

funcionamiento o incidencias de seguridad:

- Sistemas operativos y servicios que ofrecen los equipos.

- Características de los switch: número de puertos, ancho de banda,

gestionabilidad,…

- Características de los router: tipo (neutro, ADSL), ancho de banda,

gestionabilidad, cortafuegos, mapeos, DHCP, direcciones IP,…

- DMZ (si existe) y servicios que se ofrecen.

- Impresoras de red: ubicación, dirección IP y características principales.


4

Puntos de acceso: dirección IP de administración, frecuencias de funcionamiento

(2,4Gh, 5Gh), canal, protocolo (802.11g, 802.11n, 802.11ac).

Configuración:

- Dirección IP estática, dinámica...

- Es importante mantener un registro de las direcciones asignadas a cada

equipo, siempre que sea posible.

- Control de acceso y perfiles de usuario (plan de seguridad).

Tipo de cableado de la red: UTP (categoría 5e, categoría 6,...), fibra óptica

multimodo,...

- numerar los conectores RJ45 y los puertos de los switch facilitará la

reparación de averías y posibilitará la detección de bucles que saturan la

red.

Organización de los espacios digitales para compartir recursos, guardar los

documentos, aplicaciones,...

- Unidades de red, un equipo concreto, la nube,…

- Grupos de trabajo y equipos que forman parte de ellos:

Es un grupo de ordenadores en red que comparten archivos, impresoras,

Internet,… Normalmente no hay más de 20 equipos. Todos están en la

misma red de área local o en la misma subred.

En este modelo no existe un servidor central. Todos los equipos están al

mismo nivel, ningún equipo tiene control sobre otro. Los equipos son

independientes, cada uno tiene sus usuarios, grupos de usuarios,

directivas de grupo, permisos,…. Para iniciar sesión en un equipo del

grupo debe disponer de una cuenta en él.

Un grupo de trabajo no está protegido por contraseña.

- Dominio: estructura y características. Es una agrupación de ordenadores en

torno a un servidor centralizado que almacena usuarios, grupos, directivas

de grupo, permisos,…

Se necesita un sistema operativo de servidor para el el/los equipos

centrales. Los sistemas operativos de los clientes deben ser del tipo

Profesional, Ultimate o Enterprise; no valen las maquinas Home.

Una cuenta de usuario en un dominio permite iniciar sesión en cualquier

equipo del dominio sin necesidad de tener cuenta en dicho equipo.


5

Un dominio puede incluir miles de equipos que pueden encontrarse en

diferentes redes locales.

Esquema o plano de planta en el que se recoja la ubicación física de los

sistemas.

Red de área local de un centro grande

Red de área local de un centro pequeño

Servidores y servicios.

Criterios educativos, organizativos, de acceso y de uso:

¿Es siempre posible identificar qué usuario ha utilizado un determinado equipo

en un momento dado?

- Los alumnos utilizan siempre el mismo ordenador.

- El tutor o profesor responsable del grupo de alumnos se encarga de registrar

alumno, equipo, fecha y hora en que lo utiliza.

- …


6

¿Con qué perfil acceden alumnos y profesores a los equipos?

Dónde se guardan los datos: ¿se utilizan unidades de red?, ¿está permitido

utilizar memorias externas?...

Se han establecido directivas de grupo para definir las configuraciones de los

equipos y usuarios del dominio?

Servicios de internet que faciliten la participación del alumnado, la interacción y la

comunicación:

Registro de redes sociales, foros,…

Servidor de centro o servicios de almacenamiento para organizar los recursos

didácticos, documentos,….

Descripción de los servidores de los que dispone el centro y servicios que

prestan: dominio, servidor de seguridad, servidor de recursos, NAS.

Equipamiento y software.

Equipamiento y software individual de alumnos:

- Registro de equipamiento (Tablet, portátil, móvil,…) y software privado que se

permite utilizar a los alumnos.

- Registro de equipamiento del centro asignado al uso del alumno.

- Funcionalidad educativa: inventario libros digitales y otro tipo de software de

alumnos.

- Aplicaciones instaladas (propósito general, propósito educativo,…).

- Criterios de instalación de software.

- Gestión de licencias: inventarios para realizar el control de licencias.

- Cuidados y responsabilidades: equipo responsable.

- Inventario de equipamiento específico para alumnos con necesidades

educativas.

Equipamiento y software de aulas.

- Inventario del equipamiento asignado al uso de aula.

- Aula de informática. Tecnología: equipos conectados en red, sistema de clientes

ligeros,…

- ¿Existen aulas digitalizadas (PDI + proyector + acceso a Internet). Quiénes

tienen acceso a ellas. Cómo se utilizan.


7

- Funcionalidad educativa.

¿El uso y mantenimiento del aula de informática está organizado?

¿Se pide a los profesores que entreguen de la unidad didáctica desarrollada en

el aula de informática?,…

- Inventario de aplicaciones instaladas (propósito general, gestión de aula,

propósito educativo,…).

- Criterios de instalación de software y gestión de licencias.

- Sistema de restauración de los equipos.

- Mantenimiento y responsabilidades: equipo responsable.

Equipamiento y software de centro:

- Registro del equipamiento asignado de centro (servidores, equipos de uso

común,…).

- Inventario de aplicaciones instaladas (propósito general, gestión de redes,

gestión y administración, de propósito educativo y de interacción) y gestión de

licencias.

¿Qué es NAS?

Un NAS (almacenamiento conectado en red) es un dispositivo de

almacenamiento conectado a una red que permite el almacenamiento y la

recuperación de datos desde una ubicación centralizada para los usuarios de la

red y los clientes autorizados. Se trata en realidad de una caja compacta,

equipada con varios discos duros, que se conecta al router ADSL mediante un cable de red.

Los dispositivos NAS son flexibles y escalables, lo que significa que a medida que se

necesite almacenamiento adicional se puede añadir al que tiene.

Un dispositivo NAS es como tener una nube privada en el centro. Es más rápido, menos

costoso y ofrece todas las ventajas de una nube pública in situ, proporcionándole un control

completo.

Los dispositivos NAS son perfectos para las pequeñas empresas porque ofrecen mucho

más allá del simple almacenamiento de ficheros, ya que incorporan el software necesario

para realizar muchas tareas sin depender de nuestro ordenador:

Servidor de películas y música para todo tipo de dispositivos (ordenadores,

tabletas, smartphones).

Acceder a tus películas y fotos desde Internet.


8

Si tienes una aplicación web (con PHP y MySQL) puedes usarlo como servidor

(hosting)

Copias de seguridad automáticas


9

Qué es una política de seguridad

"Una política de seguridad es una declaración formal de las reglas a las cuales se debe

adherir el personal que tiene acceso a los bienes tecnológicos y de información de una

organización".

(RFC 2196, Manual de seguridad de sitio)

El nivel de seguridad en cualquier sistema puede ser definido por la interacción de tres

componentes.


10

Amenazas típicas en una red de datos, servicios de seguridad y mecanismos de seguridad

asociados:

Amenaza Servicio de seguridad

Mecanismo de seguridad

Acceso no autorizado a recursos

Control de acceso Lista de control de acceso

Cortafuegos Denegación de servicio

Divulgación no autorizada de la información

Confidencialidad

Cifrado

Rellenado de tráfico

Etiquetas de seguridad

Modificación no autorizada de la información

Integridad del mensaje

Función de comprobación criptográfica

Funciones hash y cifrado

Firma digital

Repudio del mensaje, del origen o del acuse de recibo

No repudio Firma digital

Terceras partes de confianza

Suplantación de personalidad Autenticación

Intercambio de autenticaciones

Cifrado

Firma digital

Función de comprobación criptográfica

Funciones de una política de seguridad

Proteger a las personas, a la información y a los sistemas.

Mantener la disponibilidad de los datos almacenados, así como su disposición

a ser compartidos

- impedir la denegación no autorizada de acceso a la información

Mantener la integridad de los datos ...

- que nadie pueda modificar datos sin autorización

Mantener la confidencialidad de los datos almacenados, procesados y

transmitidos

- evitar la divulgación no autorizada de datos

Reconocer la autenticidad de la información y asegurar la identidad de origen y

destino (autenticidad)


11

- poder certificar que alguien es autor de un acto, un mensaje,… (no

repudio)

Ser capaz de perseguir las violaciones y aprender de las experiencias.

Establecer las normas de comportamiento esperadas de los usuarios, de los

administradores del sistema, de la dirección y del personal de seguridad.

Autorizar al personal de seguridad a monitorear, sondear e investigar.

Definir y autorizar las consecuencias de las violaciones.

…

Una vez analizados cada uno de los ítem anteriores puede comenzar a elaborarse

el Plan de seguridad

La primera actividad para la implementación del Plan es determinar qué hay que proteger y

cómo hacerlo. Se trata de analizar todos los riesgos y clasificarlos acorde a algún tipo de

prioridad.

Ficheros de datos

durante la ejecución, almacenamiento, copias de seguridad, bases de datos...

Red informática

líneas de comunicaciones, servidores, router, switch, puntos de acceso,…

Equipos

hardware: ordenadores, tabletas,…

software: sistemas operativos, programas de comunicaciones, …

elementos auxiliares: discos, pendrives, etc.

A continuación debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir

Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.

PLANIFICAR (Plan): establecer el contexto en el que se crean las políticas de seguridad.


12

HACER (Do): implementar el sistema de gestión de seguridad de la información.

VERIFICAR (Check): monitorear las actividades y hacer auditorías internas.

ACTUAR (Act): ejecutar acciones preventivas, acciones correctivas y propuestas de mejora.

Protección, confidencialidad, conservación y seguridad de los datos de carácter académico y educativo

Justificación

“La informatización de los centros de enseñanza a través de herramientas para la

gestión de los datos del alumnado, creación de páginas web de los centros donde se

publican imágenes de los alumnos y alumnas, e incluso instalación de cámaras de

videovigilancia, se une a otra serie de cuestiones que tradicionalmente podían afectar a

la intimidad del alumnado, como la confidencialidad de los expedientes académicos o

de los informes psicopedagógicos elaborados por los orientadores y orientadoras.

Partiendo de estas premisas, los centros de enseñanza deben ser plenamente

conscientes de que el alumnado es titular de dos derechos fundamentales que hay que

respetar: el derecho a su intimidad, recogido en el art. 18 de la Constitución Española, y

el derecho a la protección de sus datos de carácter personal, consagrado en la

Sentencia del Tribunal Constitucional 292/2000. Ambos derechos están regulados por la


13

LEY ORGÁNICA 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la

intimidad personal y familiar y a la propia imagen y la LEY ORGÁNICA 15/1999, de 13

de diciembre, de Protección de Datos de Carácter Personal, respectivamente.”

Guía de Protección de Datos de carácter personal para los Centros de Enseñanza

Lo que nos interesa conocer

Qué es la Agencia Española de Protección de Datos.

La AEPD es la autoridad de control independiente que vela por el cumplimiento de la

normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la

protección de datos personales.

Qué es un dato de carácter personal

Cualquier información que permita identificar o hacer identificable a un individuo.

No podrán usarse para finalidades incompatibles con aquellas para las que

hubieran sido recogidos,

Serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la

finalidad para la cual hubieran sido recabados o registrados.

Qué es un fichero de datos

Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma

o modalidad de su creación, almacenamiento, organización y acceso.

La Junta de Castilla y León, tiene registrados en el Registro General de Protección de

Datos, una serie de ficheros de datos de carácter personal por cada Consejería y

organismo dependiente. Éstos ficheros se pueden consultar en la página web de la

Agencia de Protección de Datos (https:www.agpd.es) en el siguiente enlace: Ficheros

Inscritos > Titularidad Pública > Índice de Organismos > Administración y Organismos

Públicos de C. Autónomas > Comunidad de Castilla y León.

Niveles de seguridad de los ficheros

Nivel básico

Ficheros de información personal. Nombre, apellidos, direcciones de contacto (tanto

físicas como electrónicas), teléfono (tanto fijo como móvil),…

Medidas a aplicar en ficheros automatizados: para esta categoría de ficheros

deberá disponerse de un registro de accesos.

Nivel medio

a) Los relativos a la comisión de infracciones administrativas o penales.

https://www.agpd.es/


14

b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica

15/1999, de 13 de diciembre (solvencia patrimonial y crédito).

c) Aquellos de los que sean responsables Administraciones tributarias y se

relacionen con el ejercicio de sus potestades tributarias.

d) Aquéllos de los que sean responsables las entidades financieras para

finalidades relacionadas con la prestación de servicios financieros.

e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios

Comunes de la Seguridad Social y se relacionen con el ejercicio de sus

competencias. De igual modo, aquellos de los que sean responsables las

mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad

Social.

f) Aquéllos que contengan un conjunto de datos de carácter personal que

ofrezcan una definición de las características o de la personalidad de los

ciudadanos y que permitan evaluar determinados aspectos de la personalidad

o del comportamiento de los mismos.

Medidas a aplicar en ficheros automatizados: las anteriores más identificación y

autenticación personalizada con límite de intentos reiterados de acceso no

autorizado.

Nivel alto:

a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias,

origen racial, salud o vida sexual.

b) Los que contengan o se refieran a datos recabados para fines policiales sin

consentimiento de las personas afectadas.

c) Aquéllos que contengan datos derivados de actos de violencia de género.

Algunos ejemplos habituales de datos especialmente protegidos que pueden ser

tratados en los centros de enseñanza son los siguientes:

- Los datos psicológicos contenidos en los informes psicopedagógicos, test de

inteligencia y conducta, etc. confeccionados por los orientadores y orientadoras

(datos referentes a la salud del alumnado).

- El dato del grado de minusvalía de determinados alumnos y alumnas con

necesidades educativas especiales.

- Los datos sobre alergias a determinados alimentos de algunos alumnos y

alumnas, para su conocimiento por parte del servicio de comedor escolar.


15

- Los datos referentes a determinados alumnos y alumnas que presenten

problemas de salud que les imposibilite el ejercicio físico.

- El dato del origen racial de algunos alumnos y alumnas.

Sin embargo, el dato relacionado con el hecho de que el alumno o la alumna curse

o no la asignatura de religión no tiene la consideración de dato especialmente

protegido, ya que, en interpretación de la Agencia Española de Protección de

Datos, el hecho mismo de cursar la asignatura de religión no revela necesariamente

que el estudiante profese las creencias a las que tal asignatura se refiere.

Medidas a aplicar en ficheros automatizados: las anteriores más cifrado de datos.

¿Es un centro docente responsable del fichero de datos?

Responsable del fichero o tratamiento: persona física o jurídica de naturaleza

pública o privada u órgano administrativo que decida sobre la finalidad, contenido y

uso del tratamiento. (art. 3 d) de la Ley 15/99), aunque no lo realice materialmente.

https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/preguntas_frec

uentes/glosario/index-ides-idphp.php)

Los centros concertados son de titularidad privada. El responsable del fichero

será el propio centro, correspondiendo al mismo la notificación del tratamiento al

Registro General de Protección de Datos de la Agencia.

¿Es un centro docente responsable del fichero en la enseñanza pública? Informe

jurídico 143/2004:

(http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestio

nes/common/pdfs/2004-0143_Responsable-del-fichero-en-la-ensenanza-p-uu-blica.pdf)

“De lo dispuesto en la legislación básica estatal y en la autonómica se desprende

que los Centros Públicos no son sino órganos directamente dependientes de la

Consejería autonómica y carentes de personalidad propia y diferenciada de la

misma, sin prejuicio de las peculiaridades que les son propias en lo referente al

respeto de los principios de autonomía pedagógica, organizativa y de gestión

económica que la Ley establece.”

“Por ello, ha de concluirse que, integrados orgánicamente en la Administración

autonómica, será ésta la obligada al cumplimiento de las obligaciones que

respecto de los ficheros de titularidad pública impone la Ley Orgánica 15/1999,

debiendo la misma adoptar la correspondiente disposición de carácter general y

proceder a la notificación de los tratamientos al Registro General de Protección de

Datos, en la que se hará constar que el centro es el lugar de ubicación del fichero.”

https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/preguntas_frecuentes/glosario/index-ides-idphp.php

https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/preguntas_frecuentes/glosario/index-ides-idphp.php

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestiones/common/pdfs/2004-0143_Responsable-del-fichero-en-la-ensenanza-p-uu-blica.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestiones/common/pdfs/2004-0143_Responsable-del-fichero-en-la-ensenanza-p-uu-blica.pdf


16

El centro no será sino un mero usuario del fichero, cuyo responsable sería la

administración educativa autonómica, de forma que la obligación de notificación

correspondería a la Consejería de Educación de la Comunidad Autónoma

correspondiente, debiendo hacerse referencia al centro educativo únicamente como

lugar de ubicación del fichero.

Prestaciones de servicios sin tratamiento de datos de carácter personal.

En aquellos supuestos en que la prestación de servicios no conlleve el tratamiento de

datos de carácter personal, el contrato de prestación de servicios deberá, de

conformidad con lo establecido en el art. 83 párrafo segundo del Real Decreto

1720/2007, recoger expresamente la prohibición del personal ajeno de acceder a los

datos personales y la obligación de secreto respecto a los datos que hubiera podido

conocer con motivo de la prestación del servicio. Este podría ser el caso de las

empresas prestadoras de servicios de limpieza, cuya prestación no implica el

tratamiento de datos de carácter personal, pero que, sin embargo, tienen acceso a las

dependencias del centro de enseñanza, donde se almacenan los datos de carácter

personal del alumnado, personal docente, etc.

(Artículo 83 del Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de

la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

El responsable del fichero o tratamiento adoptará las medidas adecuadas para limitar el acceso

del personal a datos personales, a los soportes que los contengan o a los recursos del sistema

de información, para la realización de trabajos que no impliquen el tratamiento de datos

personales.

Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá

expresamente la prohibición de acceder a los datos personales y la obligación de secreto

respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del

servicio.)

http://www.educa.jcyl.es/educacyl/cm/dpvalladolid/images?idMmedia=580986

Otras consideraciones

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a

la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones

de interés general, así lo disponga una ley o el afectado consienta expresamente.

Articulo 7.3 Ley 15/1999.

No existe derecho acceso a una red social a un menor de 14 años. Se necesita

consentimiento de los padres o tutores legales.

Padres y alumnos no pueden negar consentimiento para tratar sus datos el centro

docente.

Se pueden, sin consentimiento, utilizar datos para objetivos estadísticos.



17

A qué edad puede recabarse de un menor sus datos personales

Afectado o interesado: persona física titular de los datos que sean objeto de

tratamiento por parte del responsable:

menores, pero mayores de 14 años (pueden consentir por sí mismos),

menores de 14 años (requiere el consentimiento de sus representantes

legales).

Los interesados a los que se soliciten datos personales deberán ser previamente

informados de modo expreso, preciso e inequívoco… Art. 5 Ley 15/99.

Fotografías de menores

Son un dato personal si permiten identificar a las personas. Necesita el

consentimiento inequívoco del interesado.

La publicación de fotos por internet de los alumnos es una cesión de datos,

necesita consentimiento expreso interesado:

menor pero mayor de 14 años,

menor de 14 años.

La LOPD se aplica a las fotografías si constituyen un fichero para tratar.

No las de carácter doméstico (L.O. 1/1982).

Estableciendo criterios para asegurar la confidencialidad y la protección de

datos

Criterios que se están cumpliendo en la actualidad (situación de partida) más los que

deberán cumplirse (actuaciones de mejora).

Control de acceso a los datos

Relación de equipos en los que se encuentran los datos protegidos

‒ Deberían localizarse en los equipos dedicados a la administración.

Acceso físico a los equipos y a los datos

‒ Relación de usuarios con acceso autorizado.

‒ Relación de recursos que comparten en la red.

‒ Registro de extracción de datos, que documente: nombre del archivo,

fecha, autor, motivo.

‒ Relación de personas ajenas al centro con acceso a estos equipos:

contrato que garantice la confidencialidad de los datos




18

¿Se han clasificado y registrado los ficheros con datos sensibles utilizados en

el centro?

‒ Nombre del archivo, ubicación y cifrado.

¿Existen procedimientos de identificación y autenticación?

Gestión de contraseñas

Procedimiento de asignación, distribución y almacenamiento de contraseñas

que garantice su confidencialidad e integridad.

Persona encargada de la custodia.

Contraseñas diferentes para servicios diferentes.

Cambiarlas con regularidad.

Fortaleza:

- que no contenga todo o parte del nombre de la cuenta del usuario;

- que sean por lo menos de 8 caracteres en la longitud;

- que contengan caracteres en mayúsculas (A-Z), letras minúsculas (a-z),

números (0 a 9) y caracteres distintos a los alfanuméricos (por ejemplo !,

$, #,%)

Una estrategia utilizada para construir contraseñas seguras que puedan

recordarse consiste en utilizar frases cortas, sin espacios en blanco,

añadiendo algunos números, por ejemplo: MiMejorAñoNoFueEl2016

Lo más acertado para no olvidar contraseñas es escribirlas, pero de forma

segura: utilizar herramientas de gestión de contraseñas como KeePass,

Password Safe, LastPass, KeePassX, DashLane.

Cifrado de datos

Cifrado simétrico

Es aconsejable utilizar sistemas de cifrado robustos si vamos a almacenar

información sensible.

Con las herramientas del sistema operativo:

https://lastpass.com/

http://bitelia.com/2014/04/contrasenas-con-keepassx

https://www.dashlane.com/es/


19

En Windows encriptación EFS: clic con el botón secundario del ratón sobre un

fichero o carpeta del disco o una unidad extraíble y pinchar en Propiedades,

Opciones avanzadas, Cifrar contenido para proteger datos. Permite cifrar

archivos o directorios de forma individual.

BitLocker: es la herramienta diseñada para proteger todos los archivos

personales y del sistema. Ofrece la posibilidad de cifrar nuestro disco, un

volumen o partición completamente o incluso cualquier otra partición de una

unidad flash USB u otro tipo de almacenamiento externo.

Está incluido por defecto en las versiones Ultimate y Enterprise desde Windows

Vista en adelante. Una vez que se activa BitLocker, se cifran automáticamente

todos los archivos almacenados en la unidad.

En Linux cryptsetup: instalado por defecto en algunas distribuciones.

Con herramientas externas

VeraCrypt, AxCrypt, AES Crypt, Cloudfogger (enfocada a los servicios de

almacenamiento online como Dropbox), Challenger, Camouflage, Rohos Mini

Drive (crea un contenedor cifrado en un pendrive).

https://www.osi.es/herramientas-gratuitas?herramienta_selec[]=118

Soportes de almacenamiento

Crear un inventario de soportes en el que se registran entradas y salidas:

‒ Fecha, emisor/destinatario, número, tipo de información, forma de envío,

responsable autorizado para recepción/entrega.

Almacenarlos en lugares de acceso restringido.

Mecanismos para que solamente puedan acceder a los datos las personas

autorizadas.

- Cifrado: utilizar herramientas de cifrado.

Herramientas para bloquear el uso de dispositivos de memoria externos los

equipos de administración:

- Ratool (Removable Access Tool): deshabilita fácilmente las unidades de

almacenamiento USB o la lectura/escritura de las mismas en Windows.

- Phrozen Safe USB: similar a la anterior.

Herramientas para eliminar los datos de los alumnos de los equipos y soportes

que ya no se utilizan:

https://www.osi.es/herramientas-gratuitas?herramienta_selec%5b%5d=118


20

- Hardwipe: permite eliminar de forma segura la información del disco duro

de un sistema Windows de forma permanente.

- Eraser: permite eliminar ficheros de forma segura, impidiendo la posibilidad

de recuperar estos ficheros una vez eliminados.

Política de copias de seguridad

Conviene realizar respaldos regulares de los datos críticos. Estos respaldos deben

hacerse por lo menos una vez al día en el caso de usuarios o empresas pequeñas.

Para organizaciones más grandes y complejas, deben realizarse respaldos

completos por lo menos una vez a la semana, y respaldos incrementales todos los

días.

- Persona o equipo responsable.

- Periodicidad: con qué frecuencia se realizan.

- Tipo: automática o manual.

- Dónde se conservan las copias: ¿se trata de un dispositivo diferente al de los

equipos que tratan los datos?, ¿en la nube?

No debemos olvidar que cuando subimos información a la nube, ésta deja de

estar completamente bajo nuestro control y podría verse afectada por fallos

de seguridad. Por este motivo, cuando subamos información a la nube

deberemos cifrarla antes.

La recomendación es no subir a la nube archivos que contengan información

sensible.

- Herramientas para realizar copias de seguridad en Windows: Cobian Backup.


Otra opción para la realización de copias de seguridad automáticas es utilizar

el programa del panel de control de Windows (panel de Configuración de

Windows 10).

Criterios para difusión y extensión de datos personales dentro y fuera del

centro

¿Autorizamos el uso de las redes sociales horizontales?

- Creación de la identidad digital del centro.

- Inculcar a los alumnos sentido común para usar las redes sociales.

Elaborar estrategias para formar y concienciar a los alumnos sobre el uso

correcto de los datos y la tecnología:

https://www.osi.es/es/herramientas-gratuitas/hardwipe

https://www.osi.es/es/herramientas-gratuitas/eraser



21

- tratamiento de imágenes,

- acceso a contenidos inapropiados en la red,

- difusión de datos personales en Internet,

- no entablar relaciones con desconocidos.

Uso de dispositivos móviles

¿Existe en el centro un documento que regule el uso de los dispositivos

móviles?

Plan de auditorías de seguridad

Una auditoría de seguridad informática es una evaluación de los sistemas

informáticos cuyo fin es detectar errores y fallas:

- Persona o equipo responsable.

- Verificación del cumplimiento de la normativa vigente LOPD.

- Análisis de seguridad en los equipos y en la red.

- Amenazas y elementos de seguridad de entrada y salida de datos.

- Control de sistemas y programas instalados.

- Seguridad física.

- Custodia y gestión de contraseñas.

Las auditorías de seguridad permiten conocer en el momento de su realización

cuál es la situación exacta de la información en cuanto a protección, control y

medidas de seguridad.


22

Seguridad de la red (protección de la red del centro)

Garantizar que el funcionamiento de todas las máquinas de la red sea óptimo y que todos

los usuarios posean los derechos que les han sido concedidos.

Funciones del equipo responsable

Establecer criterios de uso, configuración y acceso a los sistemas (usuario,

contraseña,…).

Registrar las directivas de grupo utilizadas para definir las configuraciones de los

equipos y usuarios del dominio (centros que cuentan con controladores de dominio).

Evitar que personas no autorizadas accedan el sistema.

Evitar que los usuarios realicen operaciones involuntarias que puedan dañar el

sistema.

Enumerar los grupos de trabajo existentes, los equipos que forman parte de ellos,

qué recursos se comparten y cómo se protegen.

Comprobar si están funcionando las medidas de seguridad previstas.

Garantizar que no se interrumpan los servicios.

Informar y educar a los usuarios sobre el uso seguro de la red.

Definir los posibles riesgos y las medidas a tomar.

Responder en primera instancia a las incidencias de seguridad detectadas.

Llevar a cabo la auditoria de los sistemas.

Seguridad inalámbrica. Protección de los puntos de acceso (AP)

Equipo responsable del funcionamiento y configuración de los AP.

Los puntos de acceso y router inalámbrico de la LAN deben quedar registrados e

incluidos en la documentación de red.

¿Es necesario tenerlos siembre conectados? Quizás sea posible apagarlos

durante los fines de semana o período vacacional.

Política de contraseñas: las redes inalámbricas deben estar protegidas por

contraseña.

Período de validez, custodia, fortaleza,…

Cifrado: estándar WPA2 con AES, siempre que el dispositivo lo permita.

Filtrado MAC: lista de direcciones MAC (lista de dispositivos) que introduciremos en

el punto de acceso. Es necesario conocer la dirección MAC de todos los dispositivos


23

que quieran conectarse al punto de acceso (se pueden utilizar escáner como

Advanced IP Scanner o wnetwatcher). Se puede configurar en dos modos opuestos:

Permitiendo la conexión a los dispositivos añadidos a la lista de direcciones

MAC.

Denegando la conexión a los dispositivos que aparecen en la lista de

direcciones MAC.

Asignación de direcciones IP: dinámica (por DHCP) o estática (aumenta la

seguridad, pero disminuye la usabilidad).

Un escalón más en la seguridad inalámbrica:

Habilitar el aislamiento AP que permiten algunos puntos de acceso

inalámbricos: esta característica limita y restringe los clientes conectados a la

red wifi. No pueden interactuar con dispositivos conectados a la red de cable, y

tampoco pueden comunicarse entre sí. Sólo pueden comunicarse con el router.

Creación de subredes + cortafuego.

Utilizar la wifi gestionada. Los elementos básicos que componen las redes

wireless gestionadas están formados por un conjunto distribuido de puntos de

acceso (AP) conectados a la red cableada a través de un controlador de

acceso (AC).

El controlador de acceso es el dispositivo o servidor que facilita, entre otras,

funciones de control de los AP. Su formato es como el de un switch, siendo una

implementación hardware/software que permite que desde cualquier puesto de

la red se pueda acceder y gestionar todo el conjunto de AP.

RADIUS: es un protocolo de autenticación y autorización para aplicaciones de

acceso a la red, en nuestro caso red inalámbrica (WiFi). Cuando se realiza la

conexión con un punto de acceso, en lugar de una clave de red, se enviará un

nombre de usuario y una contraseña; esta información se transfiere a un

servidor con el protocolo radius,

que comprueba si la información de

usuario es correcta. Si el usuario es

aceptado, el servidor autorizará el

acceso del dispositivo al sistema y

le asignará los recursos de red

necesarios para establecer la conexión a la misma, tales como una dirección

IP, puerta de enlace, etc.

http://www.ntdhoy.com/category/switches/


24

Controladores de dominio

Un dominio es un conjunto de sistemas informáticos conectados en una red que confían

a uno de los equipos de dicha red la administración de los usuarios y los privilegios que

cada uno de ellos tienen.

Permite gestionar de forma centralizada todos los usuarios y recursos de la red y

configurar bajo una única interfaz quién tiene acceso a los diferentes servicios.

Cada usuario de la red tiene asignado un perfil y unos recursos. Permite que un usuario

inicie sesión en los equipos unidos al dominio. Permite también autorizar o denegar el

acceso a los recursos del Dominio.

El hecho de acceder con usuario y contraseña facilita poder averiguar, en caso de

necesidad, qué persona concreta ha utilizado un equipo en un momento dado.

Se utilizan para:

Personalización por usuario del escritorio y entorno de Windows.

Establecer políticas de seguridad.

Instalación automática de software.

Ejecución de scripts.

Redirección de carpetas locales a recursos de red.

Subredes. Separar redes de alumnos, profesores y administración

La segmentación de la red en subredes, además de mejorar el funcionamiento general

reduciendo el tráfico mediante la contención del broadcast dentro de las subredes,

mejora la seguridad al aislar unas de otras según convenga. Por ejemplo, podría ser

conveniente aislar la subred de alumnos de manera que desde la subred de profesores

se pueda acceder a ella pero no al contrario.

Con VLAN, utilizando switch gestionables.

Con router neutros.

Switch gestionable Router neutro


25

Red compleja con subredes y DMZ

Acceso a Internet

Es importante ser consciente de que una red de área local que sale a Internet a través

de un router (ADSL, Wimax, Satélite, 4G,...), vista desde Internet es prácticamente "una

caja negra", de hecho no existe más que una dirección IP asociada a un número de

teléfono, a una fecha y a una hora. Estos datos son los que figuran en los registros de

los ISP (Proveedores de Servicios de Internet), junto con los sitios Web visitados y los

contenidos subidos o descargados. Esto supone que, ante cualquier ilegalidad cometida

desde el interior de la red, sólo figurará como responsable quien lo sea de la línea de

acceso a Internet. Para poder "delegar la responsabilidad" es necesario poder

determinar:

1º desde que equipo de la red se cometió la ilegalidad,

2º quién utilizaba el equipo en ese momento.

Control de acceso y perfiles de usuario

Establecer criterios de responsabilidad de uso (buenas prácticas).


26

Establecer criterios de control de acceso, que permitan identificar incidencias

de seguridad o mal uso, identificando riesgos y estableciendo posibles medidas

de respuesta.

Control parental:

- Registro de sitios web, redes sociales y blog de centros bloqueados desde

la red del centro.

- Registro de sitios web, redes sociales y blog con acceso recomendado.

Bloquear los accesos indebidos desde Internet a la red local.

Bloquear la salida de datos no autorizada desde la red local a Internet.

Protocolo de actuación en caso de acceso a recursos no permitidos o

descargas de materiales ilegales.

- Sistema de monitorización y generación de informes (del tipo Squid +

Sarg). Genera registros de descargas y Web a las que se ha accedido

desde cualquier equipo del centro.

- Procedimiento para averiguar la persona física que realizó el acceso o

descarga ilegal.

- Medidas de respuesta.

Organización de los recursos tecnológicos:

Es importante poder saber qué dirección IP tiene asignada cada equipo en la

red.

Router ADSL:

- modificar las credenciales de administrador, cambiando el nombre de

usuario y contraseña que trae por defecto;

- habilitar la administración remota sólo en caso necesario y durante el

menor tiempo posible para minimizar la ventana de tiempo de posibles

ataques;

- documentar puertos abiertos (mapeo de puertos). Una red local que no

presta servicios en Internet debe tener todos los puertos cerrados.

http://www.puertosabiertos.com/es/escaner-de-puertos.htm

Servidor de seguridad. Cortafuegos situado entre la red interna y la externa.

http://www.puertosabiertos.com/es/escaner-de-puertos.htm


27

Cortafuegos situado entre la red interna y la externa

Filtrado de paquetes (nivel de red / a nivel de circuito): la mayoría de los router

disponen de cortafuegos de este tipo (capa 3 y 4). Se configura como una lista

de reglas estáticas, comprobadas secuencialmente una a una, con condiciones

basadas en los campos de la cabecera IP y/o TCP y acciones que consisten en

descartar, rechazar, retransmitir. Los de nivel de circuito se basan en el

establecimiento, seguimiento y liberación de las conexiones que se realizan

entre las máquinas internas y externas.

Nivel de aplicación (proxy): hacen posible un control a más alto nivel.

Proporcionan informes de auditoría más detallados que los cortafuegos de nivel

de red. Ofrecen una mayor flexibilidad.

- Control fino para cada aplicación concreta.

- Autentificación de usuario a alto nivel.

- Posibilita registro de eventos a nivel de aplicación.

Es necesario configurar un servidor proxy para cada servicio que se desee

proporcionar (HTTP, FTP, SMTP,...)

Posibles opciones: podemos optar por montar sistemas con software libre, pero

que requieren tiempo y conocimientos para instalarlos y administrarlos, como por

ejemplo un ordenador con sistema operativo Linux + Iptables + Squid + Sarg +

DansGuardian,... (entre otras posibilidades) o sistemas hardware + software del tipo

SonicWALL, fáciles de instalar y administrar, pero que pueden llegar a ser

relativamente caros.


28

Seguridad de los equipos

Tareas del equipo responsable

Asegurarse de que las herramientas de seguridad estén

funcionando y se actualicen correctamente en todos los

equipos.

Escanear los equipo con la periodicidad que se considere conveniente.

Detectar incidencias y aplicar medidas en respuesta a ellas.

Fijar criterios de acceso y configuración:

usuario, contraseña, perfiles.

Fijar criterios de responsabilidad de uso (buenas prácticas).

Algunas normas básicas:

‒ antes de iniciar la clase, comprobar que a todos los ordenadores se ha

accedido con el perfil adecuado (alumno/profesor), y que tiene el antivirus

activo;

‒ no dejar equipos con perfil administrador abierto. De esta forma, evitamos

que personas no autorizadas puedan acceder a determinados contenidos;

‒ utilizar el perfil del administrador sólo en caso de querer realizar

modificaciones permanentes, como instalación de programas,...

‒ abrir los documentos de Office (Word, Excel...) sin macros;

‒ no ejecutar programas que lleguen vía correo electrónico, aunque vengan de

una persona conocida;

‒ tener copias de seguridad actualizadas de nuestros ficheros de trabajo;

‒ tener copias de respaldo de todo el disco duro (imágenes de discos);

‒ revisar con un antivirus todos los discos antes de utilizarlos;

‒ revisar con un antivirus los programas descargados de la red;

‒ revisar periódicamente el ordenador con antivirus y antimalware.

Registro de aplicaciones de seguridad. Se debe llevar un registro de todas las

herramientas de seguridad instaladas en los equipos:

Antivirus

Un antivirus es un programa informático específicamente diseñado para detectar,

bloquear y eliminar código malicioso (virus, troyanos, gusanos, etc.); no sólo analiza


29

ficheros, también nos protege de direcciones web maliciosas o correos que puedan

contener virus. Pero para poder hacer su misión debe estar activado. También es

necesario que el antivirus esté actualizado. La explicación a esto es muy sencilla;

cuando instalamos un antivirus en el ordenador, éste es capaz de detectar los virus

existentes hasta ese momento. Sin embargo, cada día se descubren nuevas

amenazas informáticas. Entonces, si no actualizamos el antivirus, no será capaz de

alertarnos ante ellas. Los fabricantes de antivirus, a través del servicio de

actualizaciones, lo que hacen es añadir a su base de datos, todos los nuevos virus

que se descubren. La actualización del Patrón de Definiciones de virus es vital y

debe hacerse como mínimo una vez a la semana.

Conviene instalar un antivirus en cada equipo o utilizar uno corporativo, pero sólo

uno.

Debe nombrarse un responsable de actualizarlos y de escanear el equipo al menos

una vez a la semana.

Antimalware (https://www.infospyware.com/antimalware/)

Malware es todo tipo de programa o código informático malicioso cuya función es

dañar a un sistema o causar un mal funcionamiento. Dentro de este grupo podemos

encontrar términos como: virus, troyanos, Gusanos, keyloggers,

botnets, ransomwares, spyware, adware, hijackers, keyloggers, rootkits,...

¿Cuáles serían los síntomas de un equipo infectado por malware? El malware

moderno es cada vez más sigiloso y escurridizo y ya no se trata de borrar los datos

del disco duro, sino de aprovechar el sistema convirtiendo el equipo en un PC zombi

(botnet) para enviar spam, robar datos, etc; por lo que éstos intentaran permanecer

el mayor tiempo posible en el sistema sin ser detectados.

Conviene instalar varios antimalware en cada equipo.

Tipos de ataque más conocidos

Exploits. Es muy frecuente ingresar a un sistema aprovechándose de agujeros

debidos a fallos de programación en las aplicaciones utilizadas. Los programas

para aprovechar o explotar estos “agujeros” se denominan “exploits”. La defensa

inmediata ante esta vulnerabilidad es la actualización del software que

utilizamos.

Virus. Pequeños programas capaces de infectar a otros programas,

modificándolos para que incluyan una copia y cuyos efectos van desde nada

hasta el colapso total del sistema.

https://www.infospyware.com/antimalware/

http://www.infospyware.com/tag/Botnet/


30

Adware (Advertising Supported software). En otros casos son más notorios al

hacer modificaciones en nuestro equipo, como es el cambiar la página de inicio y

de búsquedas de nuestro navegador, redirigir los resultados de Google hacia

otros sitios, emitir falsos mensajes de alertas o infecciones, impedir la instalación

o ejecución de programas, impedir el visitar sitios webs de seguridad o actualizar

el antivirus,...

Spyware. Es capaz de recoger información privada: hábitos de navegación,

mensajes de correo, contraseñas, datos bancarios, etc, para después

transmitirlos a otro destino en Internet, por ejemplo, un servidor web. Al igual que

los virus, también puede ser instalado al abrir un fichero adjunto de correo

infectado, pulsando en una ventana de publicidad o camuflado junto a otros

programas.

La mejor solución pasa por usar programas antiespías, que tienen un

funcionamiento similar a los programas antivirus, pero analizan el sistema en

busca de programas espías y los eliminan. Estos programas no son

incompatibles con los antivirus, sino complementarios. Teniendo ambos

instalados estaremos mejor protegidos contra posibles intrusiones en nuestro

sistema. Lo recomendado es instalar dos o tres y activarlos al menos una vez a

la semana.

Gusanos. Es un código maligno cuya principal misión es reenviarse a sí mismo.

El mayor efecto de los gusanos es su capacidad para saturar, e incluso bloquear

por exceso de tráfico los sitios web.

Troyanos. Están diseñados para que un atacante acceda a un sistema en forma

remota y realizar diferentes acciones sin pedir permiso. Están compuestos por

dos programas: un cliente que envía las órdenes y un servidor que las recibe del

cliente, las ejecuta y devuelve resultados.

…

Control parental

Ayudan a controlar, supervisar y dirigir el uso que hacen los menores de la

tecnología. Algunas funcionalidades que suelen incorporar estas aplicaciones:

Denegación de actividades que implican un desembolso económico: estas

opciones, generalmente en smartphones, evitan que el menor haga llamadas

telefónicas, envíe mensajes o descargue aplicaciones de pago.


31

Establecimiento de una zona segura para el menor: esta opción limita el acceso

del menor a partes concretas del dispositivo. De esta manera se protege

información del adulto a la que no debe tener acceso el niño.

Reinicio automático de la aplicación: con esta opción se evita que el niño pueda

salir de la aplicación de control parental. Si por algún motivo lo hace, la

aplicación se reiniciará automáticamente.

Bloqueo de programas: esta opción permite bloquear cualquier programa o

aplicación instalada en el dispositivo, o que sea necesaria una contraseña para

ejecutarla.

Supervisión de los sitios webs visitados y establecimiento de “listas blancas” o

“listas negras”: mediante esta funcionalidad es posible impedir el acceso a

determinadas webs (listas negras), e incluso supervisar las más visitadas. La

mayoría de programas vienen configurados con categorías predefinidas para

una mayor comodidad a la hora de definir las restricciones.

Establecimiento de horarios de uso del dispositivo: esta funcionalidad permite

limitar los horarios en los que el dispositivo será utilizado por el menor. Esto

incluye la posibilidad de supervisar el tiempo que se utiliza el equipo, incluso

programando horarios diferentes para cada día de la semana. Si el dispositivo

está encendido cuando termine el límite horario, la sesión se apagará

automáticamente.

Localización por GPS del dispositivo: si el menor sale de casa con el dispositivo

es posible obtener su localización aproximada mediante esta funcionalidad.

Restricciones a los juegos: esto permite limitar los juegos que puede ejecutar el

menor según la edad, la temática o incluso el título.

Informes de actividad: muchas de estas herramientas permiten el envío de

informes de actividad del uso del dispositivo, que se envían por correo

electrónico al adulto.

Control remoto desde el PC: en algunas aplicaciones es posible obtener el

control remoto del equipo desde otro PC, para controlar así el uso que hace el

menor del equipo.

https://www.osi.es/

Algunas herramientas:

Para dispositivos individuales: Golden Filter Premium


Para la red: https://www.opendns.com/

https://www.osi.es/

http://www.osi.es/es/herramientas-gratuitas/golden-filter-premium


https://www.opendns.com/


32

Congeladores de disco

Los congeladores de discos duros son programas que sirven como protección al

sistema operativo de un ordenador, se encargan de borrar todos los archivos una vez

reiniciando; así, todo programa, virus, páginas visitadas, y todo lo que se haga en el

equipo se borra, dejándolo como estaba en el momento de activarlo.

Deep Freeze es un controlador que protege la integridad del disco duro

redirigiendo la información que se va a escribir en él o en una partición

protegida, dejando la información original intacta.

ToolWiz Time Freeze crea un entorno virtual, una copia del sistema real con todo

su software instalado para ejecutarlo sin modificaciones, manteniendo el sistema

"congelado".

Cortafuegos (Firewall)

Una de las mejores opciones para proteger un equipo es el cortafuegos, sobre todo

si no tenemos un servidor de seguridad en la red. En un equipo solamente se debe

instalar un cortafuegos, si hay más de uno pueden producirse conflictos y problemas.

Es importante resaltar que un cortafuegos no va a eliminar malwares de nuestro

sistema y que sus funciones son muy distintas a un antivirus o antispyware. Sin

embargo, su utilización correcta es fundamental para la seguridad de nuestro sistema

operativo, y para mantenerlo libre de malwares. Realiza su tarea comprobando la

información que viene de Internet o de la red y bloqueándola o permitiendo que pase

a nuestro equipo.


33

Formación y concienciación

La seguridad absoluta no es posible, no existe un sistema 100% seguro, de forma que el

elemento de riesgo está siempre presente, independientemente de las medidas que

tomemos.

Como parte de su responsabilidad para conseguir un uso seguro de Internet, los centros

educativos deben desarrollar una política de buen uso de esta tecnología. Es

importante formar y concienciar a los alumnos en el uso correcto y seguro de las nuevas

tecnologías. Por ejemplo, mediante reuniones periódicas en las que se debata con ellos

los peligros relacionados con el uso de Internet (https://www.osi.es/). La política debería

proveer cobertura para una gran variedad de nuevas tecnologías, que pueden ser

utilizadas tanto dentro como fuera del centro: correo electrónico, chat, mensajería

instantánea, webcams, blogs, redes sociales,…

Algunos temas a tratar:

Robos de Contraseñas, con el consiguiente acceso a información confidencial o

personal, y como sonsecuencia:

- Robo de identidad: alguien se ha hecho con nuestra cuenta y la utiliza

ilegalmente, por ejemplo, para realizar algún fraude o delito.

- Suplantación de identidad: alguien ha creado un perfil con nuestros datos y

fotografías para que la gente piense que somos nosotros.

Ingeniería Social. Consiste en utilizar un reclamo que atraiga nuestra atención para

conseguir que actuemos de la forma que los delincuentes desean, por ejemplo

convenciéndonos de la necesidad de reenviar un correo electrónico a toda nuestra

lista de contactos, descargar y abrir un archivo que se adjunta en un correo bajo

alguna excusa o incitándonos a proporcionar información sensible como son las

claves de acceso a un determinado servicio o los datos bancarios. Aprovechan

cualquier referencia a temas de actualidad o temas de interés; emplean el miedo

que una determinada situación causa al usuario: multas económicas, Agencia

Tributaria, denuncias de la Policía, etc.

Redes Sociales, Whatsapp,… No publicar información personal, ni compartir fotos

ni vídeos en los que aparezcas en situaciones comprometidas. No aceptar

solicitudes de desconocidos,….

Pensar antes de publicar algo, ya que una vez publicado no sabes si saldrá de la

red social. Podrán utilizar esa información en tu contra.

https://www.osi.es/


34

Cada vez que publicamos algo en una red social perdemos el control sobre ese

contenido. Aunque lo borremos, quedará como mínimo registrado en los servidores

de la red social y cualquiera que lo haya visto puede haber hecho uso de esa

información.

Uso de Dispositivos Móviles. En zonas públicas, verificar que la red a la que te vas

a conectar pertenezca al establecimiento en el que estás. Hay personas que

pueden hacerse pasar por una red auténtica sin serlo.

Riesgos en Internet

- Ciberbullying: acoso entre menores a través de Internet.

- Grooming: generar lazos de amistad con un menor para obtener una satisfacción

sexual.

- Sexting: difusión o publicación de contenido sexual a través de dispositivos

tecnológicos.

- Gestión de la privacidad e identidad digital.

Una propuesta para abordar estos temas puede ser utilizar las horas de tutoría y

organizar talleres en los que participen los alumnos.

¿El Reglamento de Régimen Interior recoge los procesos y actuaciones a aplicar en el

caso de uso inadecuado e incidencias en materiales y servicios?

Se deben establecer unas pautas de uso de los equipos informáticos por parte de

cualquier miembro de la comunidad educativa, especialmente por el profesorado y

alumnado.

¿El Reglamento de Régimen Interior recoge protocolos de actuación para hacer frente a

las incidencias de seguridad?

Crear protocolos para responder a las infracciones de las normas de seguridad

establecidas por el centro (tratamiento de imágenes, redes sociales,...)


35

Anexo I

Pasos a seguir para eliminar malware en un equipo

1. Ejecutar un antivirus y, a continuación, las herramientas antispyware. Si no funciona:

2. Desactivar “Restaurar Sistema”.

3. Borramos los archivos temporales de Internet y las cookies.

4. Iniciar el sistema en “Modo seguro”.

5. Ejecutar las herramientas antispyware y eliminar los intrusos que encuentren. Si no

los encuentra:

Averiguar los programas que se cargan al iniciar el sistema, con herramientas

como msconfig, autoruns,…

Cuando la mera visión de la lista de los programas que se cargan al inicio no nos

permita decidir qué entrada(s) del registro activan al causante(s) del daño, la

solución consistirá en deshabilitar una a una las entradas dudosas,

comprobando en cada una de ellas si es o no la que buscamos (Para comprobar

una entrada deshabilitada hay que reiniciar el sistema en modo normal y ver si

se carga el malware, si no lo hace habremos acertado). Una vez localizado, el

siguiente paso será volver al modo seguro, activar msconfig, anotar la ruta del

malware y borrar la entrada deshabilitada. A continuación eliminaremos el

programa del disco duro.

6. Eliminar cookies y temporales (CCleaner).

7. Pasarle un antivirus.

8. Reiniciar el sistema en modo normal.

9. Comprobar que el problema ha desaparecido.

http://www.infospyware.com/pr/herramientas/


36

Anexo II

Plan de auditoría de seguridad

Una auditoría de seguridad informática permite conocer en el momento de su

realización cuál es la situación exacta de la información en cuanto a protección,

control y medidas de seguridad.

Verificación del cumplimiento de la Normativa vigente LOPD.

Equipos para uso administrativo:

‒ quiénes tienen acceso,

‒

Análisis de Seguridad en los equipos y en la red.

Amenazas y elementos de seguridad de entrada y salida de datos.

Control de Sistemas y Programas instalados.

Seguridad Física.

Plan de Seguridad. ¿Se está ejecutando?

Custodia y gestión de contraseñas.

...


37

Auditoría de seguridad

Protección, confidencialidad, conservación y seguridad de los datos de carácter académico y educativo

Acceso físico a los equipos y a los datos

¿Los datos sensibles están localizados en los equipos

de administración? Sí/No

¿Se garantiza que el acceso a los recursos de estos

equipos se permite sólo al personal autorizado y con

el perfil autorizado? Sí/No

¿Existe una relación de usuarios con acceso autorizado? Sí/No

¿Se Comparten recursos en la red? ¿Se documenta? Sí/No

¿La extracción de ficheros de datos se produce siempre

de forma autorizada y controlada? ¿Se documenta? Sí/No

¿Se ha firmado un contrato que garantice la confidencialidad de los

datos con las personas ajenas al centro que tienen acceso a ellos? Sí/No

¿Existe un registro de ficheros con informaciones sensibles?

¿Se registran correctamente todos los archivos que

almacenan datos sensibles? Sí/No

¿El procedimiento de asignación, distribución, almacenamiento y custodia

de contraseñas garantiza su confidencialidad e integridad?

¿Hay una persona encargada de la custodia? Sí/No

¿Se utilizan contraseñas diferentes para servicios diferentes? Sí/No

¿Se cambian con regularidad? Sí/No

¿Se utiliza alguna herramienta de gestión de contraseñas? Sí/No

Soportes utilizados para el almacenamiento de ficheros

¿Existe un inventario de soportes? Sí/No

¿Se registran las entradas y salidas? Sí/No

¿Se almacenan en lugares de acceso restringido? Sí/No

¿Se codifican los ficheros con datos sensibles en los


38

dispositivos de memoria externos? Sí/No

¿Los equipos de administración bloquean el acceso

de dispositivos de memoria externos? Sí/No

Copias de seguridad

¿Se realizan periódicamente copias de seguridad

de los datos sensibles almacenados en el centro? Sí/No

¿Existe un registro de copias de seguridad? Sí/No

¿Se almacenan en lugares de acceso restringido? Sí/No

Difusión y extensión de datos personales dentro y fuera del centro

¿Hay un registro con las redes sociales autorizadas desde

el centro? Sí/No

¿El Reglamento de Régimen Interior incorpora protocolos de

actuación para hacer frente a las incidencias de seguridad? Sí/No

¿Existe un plan para formar y concienciar a los alumnos en el

uso correcto de los datos y la tecnología? ¿Se lleva a la práctica? Sí/No

Seguridad de la red

¿Existe un equipo responsable de supervisar el funcionamiento

de la red y detectar incidencias de seguridad? Sí/No

¿Es capaz de detectar incidencias y solucionarlas en

primera instancia? Sí/No

¿El acceso a todos los sistemas (ordenadores, tabletas y

equipos de red) está protegido por usuario y contraseña? Sí/No

¿Se forma a los usuarios sobre el uso seguro de los sistemas? Sí/No

¿Se han definido los posibles riesgos y las medidas a tomar? Sí/No

Seguridad inalámbrica. Protección de los puntos de acceso

¿Existe un registro actualizado con los puntos de acceso

inalámbricos que funcionan en el centro? Sí/No

¿Se documentan las características de funcionamiento


39

de los puntos de acceso inalámbrico? Sí/No

¿Se protege adecuadamente la red inalámbrica?

- WPA2 con AES Sí/No

- Filtrado MAC Sí/No

- Lista de control de acceso (AC) Sí/No

- Aislamiento AP Sí/No

¿La gestión de contraseñas se realiza correctamente? Sí/No

Controlador de dominio

¿Se ha documentado correctamente su configuración? Sí/No

¿Se utiliza antivirus corporativo? Sí/No

¿La gestión de contraseñas se realiza mediante directivas de grupo? Sí/No

¿Se han creado perfiles de usuario diferentes para cada grupo de

Usuarios? Sí/No

Subredes

¿Se utilizan AC para bloquear el acceso a la subred? Sí/No

¿Se han configurado VLAN para crear subredes? Sí/No

- Si la respuesta es Sí, ¿funcionan correctamente? Sí/No

¿Se utilizan router para configurar subredes? Sí/No

- Si la respuesta es Sí, ¿funcionan correctamente? Sí/No

¿Hay algún cortafuegos activo? Sí/No

Acceso a Internet

Se protege adecuadamente el acceso a la administración Sí/No

del router ADSL

¿Existe un documento de buenas prácticas adaptado Sí/No

para profesores y alumnos?

¿Se utilizan herramientas de control parental? Sí/No

Se utiliza un servidor de seguridad con sistema de

monitorización y generación de informes de la

actividad de los usuarios en Internet. Sí/No


40

Existe un procedimiento para averiguar el usuario que

realizó un acceso o descarga ilegal en Internet. Sí/No

Hay un protocolo de actuación para el caso de

acceso a recursos no permitidos en Internet. Sí/No

Seguridad de los equipos

¿Existe un registro de las aplicaciones de seguridad

instaladas en los equipos? Sí/No

¿Hay un encargado de actualizar los programas de

Seguridad y de escanear los equipo periódicamente? Sí/No

¿Se aplican medidas en respuesta a la detección de

una incidencia? Sí/No

¿Existe una guía de buenas prácticas en el uso seguro

de los equipos? Sí/No

Javier Rubio Villacé Asesor TIC del Área de Programas ...€¦ · transversal que afecta a las...

Documents

Transcript of Javier Rubio Villacé Asesor TIC del Área de Programas ...€¦ · transversal que afecta a las...