Participación de Dña. Raquel Trillo Lado en la mesa redonda "Introducción a las herramientas de Google Apps y seguridad básica" dentro del Curso Extraordinario de la Universidad de Zaragoza "Mejora de la competencia de creación de contenidos digitales", que se celebró en Huesca los días 4, 5 y 6 de julio de 2018.
2. - Enorme incremento en la cantidad de
datos digitalizados disponibles y la
capacidad de procesamiento
- Nuevos modelos de negocio y
aplicaciones en múltiples ámbitos:
bioinformática
- Adaptar la legislación para garantizar los
derechos de las personas en el contexto de
la Sociedad de la Información
- Un elevado porcentaje de PYMES no
conoce esta normativa
Introducción
3. Legislación vigente
• LOPD (LO 15/1999, de 13 de diciembre)
• RLOPD (RD 1720/2007, de 21 de diciembre)
• LSSI-CE (LEY 34/2002, de 11 de julio)
• LPI (Real Decreto Legislativo 1/1996, de 12 de abril)
• Real Decreto 1337/1999, de 31 de julio
• Firma electrónica (Ley 59/2003, de 19 de diciembre
• Directiva EU 95/46/CE, de 24 de octubre
• ENS (Real Decreto 3/2010, de 8 de enero
• CP (LO 10/1995, de 23 de noviembre)
Artículos 187, 197-200, 248, 256, 264, 270 y 278
Extrapenal
Penal
GDPR en vigor desde el 26 de mayo
4. Evolución de la Web
4
Extraída de: http://internetlivestats.com]
5. Nuestro sitio Web: Google Sites
Ataque y amenazas:
• Externas:
–Contra la disponibilidad: DoS, DDoS, etc.
–Contra la integridad: Alteración del contenido del
servidor Web y sistema de ficheros, etc..
–Contra la confidencialidad: Páginas protegidas con
contraseñas
5
6. Nuestro Sitio Web: Google Sites
Ataque y amenazas:
• Internas:
–Tener información desactualizada o errónea
6
7. Seguridad como usuarios
• Hacer copias de seguridad o backups
• Ordenador, el disco duro, etc.
– Podemos comprar otro
• Pero los datos ….
– Empresas recuperación forense, pero no hay garantía.
• Copias incrementales y copias completas
• ¡Comprobar las copias de seguridad!
• ¡Ojo donde guardamos las copias de seguridad!
7
8. Seguridad como usuarios
• Si se trabaja con datos críticos
• Cifrar el contenido del disco duro o ficheros sensibles
– No basta con guardar con clave
• Realizar borrados seguros!
8
9. Como gestionar nuestras clave
• Trabajamos en multitud de plataformas y
sitios Web:
• Facebook
• Twitter
• Webmail
• Gmail
• Etc…
9
10. Como gestionar nuestras clave
• No suele ser buena práctica crear nuestra
clave:
Fuente: https://es.gizmodo.com/, Melanie Ehrenkranz
10
¿Emplear
Un
Patrón?
11. Como gestionar nuestras clave
• ¿Qué pasa si me olvido de mi clave?
• Preguntas de seguridad:
– ¿El nombre de tu mascota?
– ¿Marca de tu primer coche?
– ¿El nombre de tu mejor amigo? 11
¡Ojo con
la Ing.
Social!
12. Como gestionar nuestras clave
• Ataques de phishing: Intento fraudulento de
conseguir tus credenciales de acceso, por
ejemplo mediante el envío de correos
electrónicos que, aparentando provenir de una
fuentes fiables (entidades bancarias,
administrador de sistemas), solicitando que
accedas a una dirección web donde se ha
reproducido el sitio Web y les proporciones tus
datos y contraseñas
• Ejemplos:
• Buzón de entrada sin espacio, por favor, elimine
mensajes en: https://mail.unïzar.es
12
13. Como gestionar nuestras clave
• ¡Ojo donde hacemos click! Comprobar las
direcciones URLs:
• Caracteres extraños similares a otros ï en lugar de i, ü
en lugar de u
• https://www.abanca.com/
13
15. Otras cuestiones de seguridad básicas
• ¡No confiar en Wifi gratuitas y públicas!
• Comprobar que se esté usando el protocolo
https en lugar de http al navegar por la Web
15
Transp. 1. Título/Presentación
Buenos días, yo soy Raquel, profesora del área de LSI del Depto. de Informática e Ingeniería de Sistemas e imparto clase fundamentalmente en el Grado de Ing. Informática en asignaturas relacionadas con Sistemas de información y gestión de datos.
Transp. 2. Introducción
Durante las últimas décadas y sobre todo en los últimos años, la cantidad de datos digitalizados disponibles en la Web ha aumentado exponencialmente, debido:
al desarrollo de las Tecnologías de la Información y la Comunicación y también
a un cambio cultural. Hoy en día, hay un gran nº de usuarios que publican información en la Web a diario en aplicaciones como Facebook, Twitter, LinkedIN...
Además, los gobiernos y las diferentes administraciones, cada vez más, apuestan por la publicación de sus datos en abierto para fomentar la transparencia y facilitar el desarrollo de la administración electrónica.
Esto ha dado lugar a nuevos modelos de negocio y nuevas aplicaciones y áreas de investigación en múltiples ámbitos; por ejemplo, en el ámbito sanitario, ha surgido el área de la bioinformática (aplicación de las TIC a la gestión y análisis de datos biológicos).
Por otro lado, el desarrollo de las TIC ha generado la necesidad de adaptar la legislación para garantizar los derechos de las personas en el contexto de la Sociedad de la Información.
Sin embargo, según el Instituto Nacional de Ciberseguridad, un elevado porcentaje de PYMES no conoce la legislación vigente relacionada con el uso de TIC y si la conoce en muchos caso no la aplica correctamente a la gestión de datos digitales.
Por ejemplo, antes de la popularización del correo electrónico la mayor parte de los ciudadanos eran consciente de que no era legal leer la correspondencia de otra persona. Sin embargo, a día de hoy, si alguien se deja abierta una sesión del correo:
-por olvido o por haberle dado a grabar la contraseña en el navegador para que no tener que teclearla al volver a entrar,
a un gran porcentaje de la población no le parece grave echar un vistazo, a pesar de que se trata del mismo tipo de delito.
Transp. 3. Legislación vigente
A día de hoy, las leyes más relevantes que afectan a las TIC y a los ciudadanos y que tratan de garantizar nuestros derechos son estas.
Por ejemplo la LOPD y el Real Decreto donde se desarrolla trata de garantizar en derecho a la privacidad de las personas y que los datos personales se gestionen de forma adecuada.
Otra norma que nos afecta es el Reglamento Europeo de Protección de Datos, GDPR (General Data Protection Regulation) que entró en vigor el pasado 26 de mayo y que por esa razón hemos estado recibiendo numerosos correos últimamente para que indicásemos si deseábamos seguir formando parte de listas de correos.
Transp 4:
La Web ha cambiado la forma en la que publicamos y consumimos información, cada vez más optamos por medios digitales para informarnos en lugar de periódicos en papel.
Pero no solo ha cambiado la forma en la que publicamos y consumimos información, sino también la forma en la que nos relacionamos unos con otros.
Esta es una gráfica que nos indica el número de sitios web que hay disponibles. Vemos que ha habido un crecimiento exponencial entre 2008 y 2010 hubo una pequeña recesión que se puede deber a la crisis. Sin embargo, en los últimos años la tendencia parece que está cambiando y ya no se crean tantos sitios web y ya no existe tal aumento. Esto es debido a que los objetivos han cambiado:
-Antes se daba prioridad a crear un sitio web y que los usuarios consultasen tu sitio o página Web. Sin embargo, a día de hoy lo que buscan gran parte de los usuarios y organizaciones es posicionarse en una determinada plataforma o entorno como puede ser Twitter o Facebook o Youtube.
Transp 5:
Cuando optamos por crear nuestro propio sitio Web para difundir información a los estudiantes o para difundir el tipo de investigación e innovación que hacemos, por ejemplo con la herramienta incluida dentro de la suite de Google Apps, Google Sites, podemos sufrir diferentes tipos de ataques:
-Uno de los ataques más comunes en los sitios Web son los ataques contra la disponibilidad, un determinado usuario o varios usuarios organizados deciden hacer una gran cantidad de peticiones a tu sitio Web de manera que el servidor donde se aloja tu web se bloquee y personas interesadas en la información que publicas no puedan acceder.
-Otro ataque común que podemos sufrir son los ataques contra la integridad. Un usuario o bot puede acceder a nuestro sitio Web y alterar el contenido de nuestra página poniendo información falsa o incorrecta para desprestigiarnos. En general estos ataques son sencillos de detectar y para solucionarlo basta con eliminar la información errónea.
-Si decidimos que determinado contenido de nuestro sitio Web no sea público y lo protegemos con un usuario y una clave, podemos sufrir ataques contra la confidencialidad
En general cuando se habla de temas relacionados con la seguridad se dice que las dimensiones de disponibilidad, integridad y confidencialidad forman un triángulo y que cuando queremos aumentar una de ellas, disminuimos las otras dos.
Por ejemplo si nosotros estamos trabajando en un determinado artículo lo podemos tener en el ordenador del despacho, en el de casa, en la nube. Aumentamos su disponibilidad para tenerlo accesible desde cualquier sitio pero al mismo tiempo también aumentamos el riesgo de que una persona no autorizada acceda a esa investigación.
Es más, también aumentamos el riesgo de sufrir problemas de integridad porque podemos actualizar diferentes partes del artículo en diferentes sitios y después no tener claro cuál es la versión correcta o enviar a la revista una versión donde una de las secciones no es la correcta.
Transp 6:
En general la mayor amenaza que podemos sufrir nosotros si optamos por crear nuestro propio sitio Web no son las amenazas externas, sino las amenazas internas.
Podemos tener información desactualizada por diferentes razones. p.e., en mi caso el número de teléfono del despacho en mi página Web no es correcto.
Transp 7:
Las máquinas fallan (antes cortes de luz, ordenador sin batería… guardar en todo momento… ahora las aplicaciones han mejorado y se hace guardado automático…)
Jordi Fuente de alimentación y no había forma de recuperar el ordenador….
Elena,
Transp 8:
Datos sensibles, como por ejemplo datos médicos, mejor cifrarlos
Ejemplo de la Excel…. (Microsoft) y las instrucciones para abrirlo para que sólo pudiese ver la información que me afectaba a mi.
y no sólo eso cuando los borremos hacer borrados seguros…
Transp 9:
Poner la llave de casa debajo de la alfombra!
Todavía es más grave si usas para diferentes cuentas la misma clave porque si alguien descubre una puede probarla en las otras.
(igual pin en el móvil que en la tarjeta de crédito)
El "top ten" de la imprudencia password 123456 qwerty abc123 letmein monkey myspace1 password1 blink182 (tu nombre) Ver más en: https://www.20minutos.es/noticia/228488/0/claves/comunes/internet/#xtor=AD-15&xts=467263
Transp 10:
Poner la llave de casa debajo de la alfombra!
Todavía es más grave si usas para diferentes cuentas la misma clave porque si alguien descubre una puede probarla en las otras.
(igual pin en el móvil que en la tarjeta de crédito)
Usar un generador de claves para que genere las claves de acceso y cambiarlas con frecuencia
Transp 11:
Poner la llave de casa debajo de la alfombra!
Todavía es más grave si usas para diferentes cuentas la misma clave porque si alguien descubre una puede probarla en las otras.
(igual pin en el móvil que en la tarjeta de crédito)
Pérdida de tiempo.
Transp 12:
Transp 13:
Poner la llave de casa debajo de la alfombra!
Todavía es más grave si usas para diferentes cuentas la misma clave porque si alguien descubre una puede probarla en las otras.
(igual pin en el móvil que en la tarjeta de crédito)
Transp 14:
Solo tienes que acordarte de una única contraseña y no de varias
Genera contraseñas seguras
Detecta automáticamente las contraseñas que estás introduciendo y las guarda de forma segura
Genera alertas de seguridad automáticas
Audita las claves
Transp 15:
Solo tienes que acordarte de una única contraseña y no de varias
Genera contraseñas seguras
Detecta automáticamente las contraseñas que estás introduciendo y las guarda de forma segura
Genera alertas de seguridad automáticas
Audita las claves