Cuando se trabaja con documentación que contiene datos personales o información corporativa confidencial, se debe aplicar la política de "mesas limpias" al abandonar el puesto de trabajo. Los documentos se guardarán bajo llave en cajones y armarios para evitar que accedan a la información personas no autorizadas.
La Normativa de acceso físico de la Universidad de Sevilla establece que en cada área restringida debe haber una persona encargada del control y registro de accesos. Esta persona será responsable de identificación en primera instancia del personal autorizado y del seguimiento de los accesos. Para más información puede consultar dicha Normativa en este enlace.
Los servicios mínimos necesarios que deben estar arrancados en un equipo dependen del uso que se le vaya a dar al equipo y del sistema operativo usado. Puede encontrar información de cómo realizarlo en esta Guía de bastionado o configuración segura. Sin los conocimientos necesarios es una tarea difícil de realizar por el usuario por lo que recomendamos que para los puestos de trabajo se solicite ayuda al Servicio de Atención a Usuarios SOS.
Sólo en algunos casos puntuales puede ocurrir esto. En estos casos recomendamos al usuario que acuda al Servicio de Atención a Usuarios SOS para estudiar la mejor solución.
La actualización de Java puede afectar al uso de herramientas de UXXI que requieren una versión específica. La actualización automática del Sistema Operativo no implica la actualización automática de Java. No obstante, ante cualquier problema que surja, debe contactar con el Servicio de Atención a Usuarios SOS y seguir sus indicaciones.
Si todos los usuarios están autorizados a acceder a la información, no habría problemas de confidencialidad. No obstante, la protección de las copias requiere que haya una persona responsable de que haya una política de copias de seguridad necesarias, que esta se cumpla y que custodie el disco externo de forma segura. Los discos externos no deben estar conectados permanentemente a los equipos ya que el compromiso de un equipo puede comprometer la copia de seguridad. Aquí puedes consultar la normativa de copias de seguridad de la Universidad de Sevilla.
Lo recomendable es que hubiera una persona con estabilidad laboral que se hiciera responsable del puesto de trabajo, de su correcta configuración, su mantenimiento y su seguridad.
Sí. Lo ideal, si el sistema operativo lo permite, es que se creen perfiles por usuario y cada trabajador tenga su usuario y contraseña. Si esto no es posible, una persona del servicio debe responsabilizarse de que siempre esté puesta la clave, de su cambio periódico y de que la conozcan sólo los autorizados. Cualquier compromiso de la clave debe comunicarse inmediatamente al responsable.
Sí. En este enlace se puede consultar la normativa específica para el uso de las redes de comunicaciones de la Universidad de Sevilla. Aplica a todos los dispositivos que se conectan a la red inalámbrica de la Universdad de Sevilla independientemente de que sea un dispositivo personal o corporativo, si en él se usan servicios digitales de la Universidad.
Dependiendo del terminal móvil las opciones de configuración pueden variar. Nuestra recomendación es que busque las opciones de configuración para su modelo de móvil en Internet y localice la forma de cambiar en el móvil la clave para acceder a una red wifi particular (la de casa, por ejemplo). En relación al acceso a Eduroam, para que la configuración sea segura, la mejor opción es acceder a la página web de Eduroam CAT para configurar su dispositivo. La página incluye un instalador.
No, no está permitido el acceso directo al puesto de trabajo mediante ningún escritorio remoto desde fuera de la Universidad. Cuando sea necesario acceder a recursos de la US desde fuera de nuestras instalaciones, se recomienda el uso de VPN (Red Privada Virtual). En la web del SIC puedes encontrar toda la información respecto a la VPN de la Universidad de Sevilla.
Para acceder al escritorio remoto de Microsoft (RDP) es necesario acceder desde la Red Informática de la Universidad de Sevilla (RIUS). Para acceder desde fuera de la Universidad de Sevilla hay que estar conectado a la VPN de la Universidad se debe cumplir la Normativa de acceso local y remoto.
Cualquier información generada en el ejercicio de nuestras funciones en la Universidad de Sevilla es corporativa. Las medidas de protección de la información corporativa dependerán de la clasificación de dicha información. Puedes consultar la normativa relativa a la clasificación y tratamiento de la información en este enlace.
Los datos sobre un trabajador que aparecen en el directorio de la Universidad de Sevilla deben ser exactos y si no lo son, se deben actualizar. Puesto que se obtienen de distintas fuentes de datos corporativas, si un trabajador detecta que no son correctos, la mejor opción es comunicarlo al Servicios de Atención a Usuarios SOS mediante un petición en la plataforma para que el dato incorrecto se actualice en la fuente correspondiente.
Todo el correo electrónico del dominio us.es es corporativo. Se puede distinguir entre cuentas nominales asociadas al UVUS, de uso personal e intransferible, ya que nos permite el acceso a las aplicaciones corporativas y a nuestros datos personales, y cuentas misceláneas asociadas a un puesto de trabajo, que tienen un único responsable pero que puede ser usada por más de una persona en el tiempo para el ejercicio de sus funciones. Los procedimientos de solicitud, uso y custodia son diferentes y se encuentran descritos en el “Procedimiento de gestión de la Identidad Digital y acceso lógico de la Universidad de Sevilla”.
Si no se cumplen los principios de protección de datos, sí es una mala práctica, incluso cuando se publican sólo para personal interno a la US. Dependiendo del evento puede ser necesario tener un consentimiento explícito de las personas que aparezcan en la fotografía, pero en todo caso el obligatorio anunciar la grabación y dar información sobre el tratamiento y la finalidad que se va a dar a esas fotografías. Ante cualquier duda debemos consultar a la Oficina de Protección de Datos de la Universidad de Sevilla.
No se puede ya que no es posible identificar correctamente al solicitante. Las nuevas tecnologías ya permiten la consulta de las calificaciones de forma segura sin tener que acudir a esta vía.
Nombre, apellidos, DNI y calificaciones son datos personales y hay que cumplir la ley. La Universidad de Sevilla establece las directrices para la correcta publicación de las calificaciones en relación a la protección de datos personales y la transparencia. Las instrucciones de publicación de calificaciones se pueden consultar aquí.
Pedir a los conserjes que los retiren y simplemente informen en una nota de que se ha encontrado un DNI o carné universitario.
El Reglamento General de Protección de Datos no aplica al tratamiento de imágenes efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, si bien la publicación de información de terceros en el ámbito doméstico nunca podrá lesionar los derechos e intereses de las personas. La Agencia Española de Protección de Datos ha publicado una Guía sobre el uso de videocámaras para seguridad y otras finalidades que aclara muchos puntos relacionados con la publicación de imágenes y vídeos, tanto en el ámbito profesional como en el personal.
Los datos profesionales se pueden publicar siempre que sean los mínimos imprescindibles para localizar al profesional. La finalidad debe ser la de entablar relaciones profesionales-empresariales. Cualquier dato que no sea necesario para este fin no podrá ser publicado y el trabajador podrá solicitar la retirada del mismo.
Se puede limitar la indexación de nuestra web, no solo por parte de Google, sino por cualquier otro buscador (Yahoo, Bing…) utilizando el archivo de texto plano robots.txt. Hay que crearlo en la raíz del sitio web, por lo que debe hacerlo el administrador de la página. En dicho archivo se establecen las indicaciones que deben cumplir los robots spiders cuando visiten y rastreen nuestro sitio web.
Las convocatorias deben ser acordes al Reglamento General de Protección de Datos. El registro online permite mantener la privacidad si las convocatorias se ajustan a la ley. No obstante, cualquier consulta relacionada con protección de datos debe hacerse a través del Delegado de Protección de Datos de la Universidad de Sevilla (dpd@us.es).
El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, establecen el principio de minimización de los datos, que significa que estos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. La Universidad de Sevilla trata los datos imprescindibles para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos que tiene conferidos sin necesidad de tener un consentimiento explícito del usuario. Pero una fotografía puede no ser un dato mínimo y en este caso, sí pide, a través de SEVIUS, el consentimiento para publicarla en el Portal de la Universidad. La publicación es voluntaria.
No. Debería tener el consentimiento explícito de los asistentes a la clase. No obstante, cualquier consulta relacionada con protección de datos debe hacerse a través del Delegado de Protección de Datos de la Universidad de Sevilla (dpd@us.es).
El uso responsable no es suficiente para proteger el equipo. Debemos usar siempre un antivirus independientemente del sistema operativo que use nuestro dispositivo.
Debido a la finalización de las licencias de antivirus deTrendMicro para los equipos con XP el Servicio de Informática y Comunicaciones recomienda el uso de algunos de los antivirus compatibles que aparecen en la siguiente esta tabla. Toda la información relativa a antivirus se publica en la web del SIC.
No siempre. Tendría que ser un cortafuegos muy avanzado con un módulo específico de protección del correo electrónico. No obstante, la Universidad de Sevilla, en su servidor de Correo, dispone de un sistema de detección de mensajes con adjuntos potencialmente peligrosos. Estos sistemas nunca tienen un 100% de eficacia, pero constituyen una buena barrera de protección.
En principio, no debe ocurrir cuando se navega desde dentro de la propia universidad hacia la página de un servicio corporativo ya que las conexiones, dependiendo desde dónde nos conectemos, no siempre pasan por el cortafuego. Cuando navegamos desde la Universidad hacia Internet y nos aparece ese mensaje es que la página a la que intentamos conectarnos está catalogada como maliciosa. El motivo del mensaje es que la página remota contiene código que puede ser dañino para nuestros equipos y por eso se bloquea. Sólo en el caso de que el usuario esté seguro de que la página es buena, debe seguir las instrucciones de la propia página de aviso para pedir la revisión de la misma al fabricante del cortafuego. Ante la duda, mejor preguntar al Servicio de Atención al Usuario SOS.
La actualización de la base de datos es dinámica. Tanto las firmas de virus como las direcciones IPs maliciosas en listas negras se actualizan periódicamente.
Es más operativo realizar el filtrado de ataques a un servidor concreto de la Universidad en el cortafuego del propio servidor, a no ser que se detecte que el ataque se realiza de forma masiva a múltiples equipos de la Universidad de Sevilla. No obstante, es conveniente estudiar estos ataques que a veces ocurren porque tenemos expuesto un puerto o servicio al mundo cuando que debería estar restringido a la Universidad de Sevilla. En ciertos casos se podría incluir una regla en el cortafuego perimetral que paliara un ataque concreto.
Importantísima. Significa que la conexión es segura y la información va cifrada. Siempre que nos conectemos a una página que tenga información confidencial, acceso restringido por usuario o cualquier formulario de registro o recogida de datos, debemos asegurarnos de que el protocolo usado es https y no http.
No todas. Dependiendo del navegador, a veces, en una conexión segura https, en vez del candado aparece un signo de advertencia en lugar del candado o una página que dice que la conexión es insegura. Esto significa que el certificado digital que usa el servidor al que intentamos conectarnos está caducado o no es de confianza. En ese caso debemos valorar si nos conectamos o no.
Es obligatorio avisar al usuario de que el sitio utiliza cookies. Antes de que se aprobara el Reglamento General Europeo de Protección de Datos bastaba con informar y que el usuario aceptara haber sido informado. Después del 25 de mayo de 2018 las webs que utilizan cookies deben dar una información más detallada sobre las cookies que utilizan, ofrecer al usuario la posibilidad de aceptar o no las que no sean obligatorias para navegar y guardar la aceptación explícita de las condiciones por parte del usuario.
Algunos Centros tienen sus webs integradas en un gestor de contenidos mantenido por el SIC. Otros tienen webs independientes alojadas en servidores que están en las infraestructuras del SIC y el resto tienen sus propios servidores con sus páginas Web fuera del CPD del SIC. Lo ideal es que todos los Centros tuvieran sus páginas Web alojadas en infraestructura del SIC ya que el CPD reúne las condiciones de seguridad físicas y lógicas requeridas.
No. Cada usuario es responsable de gestionar sus contraseñas de forma segura. El uso de gestores de contraseñas tiene ventajas y desventajas por lo que es conveniente evaluarlos correctamente y elegir el más adecuado para cada situación.
No. Se recomienda usar distintas claves para no comprometer la seguridad de todos los dispositivos si se compromete uno de ellos. Especial cuidado hay que tener de no usar las mismas claves en cuentas personales y laborales. Sólo en las aplicaciones de la US integradas con Single Sign On o con LDAP utilizaremos el mismo identificador y la misma clave, que son las del UVUS.
No para claves de la Universidad. El gestor de contraseñas de Google mejora cada vez más, pero las claves están protegidas solo por la contraseña de la cuenta de Google. Si nos roban las credenciales de esta cuenta, tendrán el acceso a todas nuestras claves.
Si están encriptadas y protegidas con un doble factor de autenticación para acceder a ellas, sería una buena opción.
Estos sistemas lo que hacen es guardar la clave en el navegador, por ejemplo, en el gestor de contraseñas de Google. Es mejor usar un programa específico para gestión de contraseñas con doble factor de autenticación.
La Política de contraseñas de la Universidad de Sevilla establece limitaciones a la elección de la clave de forma que esta sea segura. La plataforma de cambio de claves gid.us.es no permite usar una contraseña que no cumpla con la política en el UVUS. Podemos aplicar esas mismas reglas a cualquier otra contraseña que necesitemos crear, como por ejemplo, la de bloqueo de los puestos de trabajo.
Todos los sistemas tienen una opción de reinicio por consola que permite cambiar la clave en caso de emergencia. Sólo se puede hacer si se tiene acceso físico al ordenador.
Para sacar información corporativa fuera de las dependencias de la Universidad de Sevilla es necesario disponer de una autorización del responsable de dicha información. En función del tipo de información almacenada en el disco duro externo o en cualquier otro soporte extraible, podría ser necesario cifrarlo debido a que el transporte de este tipo de dispositivos tienen un riesgo añadido de pérdida, robo o daño.
Consulte la siguiente Guía de cifrado de la información que le orientará sobre cuándo y cómo cifrar la información. El acceso a la guía está restringido por UVUS.
En principio, cifrar la información almacenada en un equipo, sea fijo o portátil, o en dispositivos extraíbles, cuando los datos sean sensibles o la información confidencial, es responsabilidad del usuario que trabaja con dicho equipo o dispositivo.
El Centro Informático Científico de Andalucía (CICA) es un centro de la Junta de Andalucía concebido para prestar servicios a la comunidad científica andaluza. Es nuestro punto de acceso a Internet. Todas las Universidades Andaluzas y centros de investigación accedemos a Internet a través del CICA.
Completamente. Ambos pertenecen al nivel de supervisión de la Comisión de Seguridad de la Información y trabajan de forma coordinada.
Sí se puede, siendo siempre recomendable como primera opción la publicación en Enseñanza Virtual. El uso del tablón debe limitarse el tiempo mínimo necesario.
