Recordamos que a partir do luns día 03/06/2024 DEIXARÁN DE ESTAR DISPOÑIBLES DEFINITIVAMENTE OS ACCESOS EXTERNOS aos servizos da Deputación. Deberán sustituirse por conexións VPN da Xunta
Medidas preventivas y acciones prioritarias en el ámbito de la seguridad de la información a impulsar en las entidades locales de la provincia
Para garantizar que la información llega a todas las personas con responsabilidades en el ámbito de la seguridad de la información en cada una de vuestras organizaciones, os reiteramos nuestra comunicación del pasado 20.02.2024 en la que incluimos un resumen del conjunto de medidas preventivas y acciones prioritarias en este ámbito y que es necesario impulsar en cada una de vuestras entidades. Estas medidas fueron explicadas en la sesión telemática celebrada el pasado 16.02.2024 en la que conocimos, de la mano de Virginia Fraga, secretaria municipal y responsable de seguridad del Ayuntamiento de Teo, la gestión del ciberincidente que recientemente ha afectado al Ayuntamiento de Teo.
Aspectos y fechas clave a tener en cuenta
- Líneas de comunicaciones: A partir del 1 de septiembre de 2024, se procederá a bloquear el acceso a la Red Corporativa de la Xunta en aquellas sedes que dispongan de equipos a los que se les permita acceder a Internet mediante otra conexión
- Acceso remoto a los equipos de la entidad: no se recomienda el uso de herramientas que se han demostrado vulnerables como TeamViewer, Any Desk, Ammy....
- Accesos externos a aplicaciones (TEDEC, Padrón Municipal, Firmadoc, ...) desde Internet: A partir del 1/6/2024 se dejarán de exponer en Internet los aplicativos anteriormente indicados
- Protección de la información de la entidad: es necesario contar con copias de seguridad "fuera de línea"
- Antivirus proporcionado desde la Diputación: Los equipos que no tienen instalado OCS, no disponen del nuevo antivirus
- Migración del correo a Google Workspace: aún quedan entidades que no han delegado en la Diputación la gestión del DNS (el plazo terminaba el 31/1/2024). A partir del 1/3/2024 sólo se podrá acceder al correo alojado en los servidores de la Diputación a través del cliente Web
- Mínimo privilegio y acceso a la información: Se debe actuar de acuerdo con el principio del mínimo privilegio. Se deben conceder los mínimos permisos necesarios para realizar las tareas encomendadas
- Exposición de la información: se deben revisar frecuentemente los privilegios de los usuarios y que en las bajas de usuarios, se proceda a la baja en todas los activos de la organización a los que el usuario tuviese acceso.
- Accesos no autorizados: La contraseña de acceso no es suficiente para garantizar la identidad del usuario. Es necesario implantar el doble factor: se trata de proteger la información de la organización a la cual el usuario puede acceder, y que podría ser expuesta a usuarios no autorizados.
- Accesos no autorizados: A partir del 28/2/2024 el doble factor será obligatorio en el acceso a los sistemas de información alojados en la Diputación.
Medidas de prevención
- ¿Sabemos qué puertas tenemos abiertas a Internet?
Disponer de líneas de acceso a Internet nos permite comunicación con el exterior, pero ¿Están lo suficientemente securizadas?. Posible entrada de software dañino.
Además, a través de estas líneas es posible el acceso a equipos o activos de la organización, que se exponen a Internet. ¿Están estos activos bastionados y monitorizados?, ¿Es necesaria la exposición?, ¿Es el riesgo proporcional al uso que se les da?
Mediante la colaboración interadministrativa entre la Xunta de Galicia y la Diputación se dota a las entidades locales de la provincia de líneas de acceso a la Red Corporativa de la Xunta de Galicia. A través de estas líneas, se proporciona acceso a Internet. Por motivos de seguridad, no se permite que los equipos que estén conectados a las líneas de acceso puedan acceder a Internet mediante otra conexión, a partir del 1 de septiembre de 2024, se procederá a bloquear el acceso a la Red Corporativa de la Xunta en aquellas sedes que incumplan este requisito.
La Diputación está promoviendo el despliegue de la Red Corporativa de la Xunta en todas aquellas sedes de las entidades locales en las que haya actividad administrativa y un número mínimo de usuarios.
Comprobaciones:
□ ¿Dispongo de otras conexiones a Internet que no sea el acceso a través de la Red Corporativa de la Xunta?
□ ¿Hay activos expuestos a Internet en la infraestructura de mi entidad?
- ¿Cómo se conectan nuestros empleados desde fuera de la red de mi entidad?
Desde la pandemia del COVID ha aumentado la necesidad de acceder desde fuera de la entidad a los diferentes sistemas de información, además se ha implantado el teletrabajo en algunos casos.
En relación a los accesos externos, desde la Diputación se han abierto muchos de los aplicativos a Internet (Tedec, Padrón Municipal, Firmadoc, etc).
Se accede tanto a los sistemas publicados en Internet, como a los propios equipos en la red de la organización.¿Están securizadas estas conexiones? ¿Usamos VPN con doble factor o herramientas que se han demostrado vulnerables como TeamViewer, Any Desk, Ammy....?
Desde la Diputación se recomienda el uso de la VPN que proporciona la Xunta de Galicia para el acceso a la Red Corporativa, sea a los equipos o a los activos de la entidad. A partir del 1/6/2024 se dejarán de exponer en Internet los aplicativos anteriormente indicados, siendo la única forma de acceso, a través de la Red Corporativa de la Xunta de Galicia.
Comprobaciones:
□ ¿Disponen de VPN de Xunta los usuarios de la entidad que requieran acceso desde fuera de la Red Corporativa de la Xunta?
- ¿Dónde están los datos de la organización?
Es importante que conozcamos de qué datos dispone la entidad para saber qué es lo que tenemos que proteger. Se ha de realizar un inventario de activos de la entidad (el diagnóstico inicial de la adecuación al ENS requiere este proceso).
Una vez realizado el inventario, es necesario establecer medidas de protección para evitar la pérdida de la información.
Una medida fundamental son las copias de seguridad. Además está demostrado que es necesario contar con copias de seguridad "fuera de línea" para que no puedan ser eliminadas por los posibles atacantes. (En el caso del ciberataque al Ayuntamiento de Teo, se ha podido restaurar la información gracias a la copia "fuera de línea")
Comprobaciones:
□ Elaborar el inventario de activos.
□ Copias de seguridad de los datos
□ Copias "fuera de línea"
- ¿Cómo detectar/evitar intrusión/ robo de información?
Para tratar de detectar/evitar intentos de intrusión o robo de información se han de instalar en todo el parque de equipos de la organización herramientas de seguridad que los protejan. Antivirus (Diputación), EDR (Diputación/Amtega) y Microclaudia (CCN) son 3 de las herramientas se proporcionan desde para esta tarea.
La Diputación proporciona un software(OCS) para facilitar el despliegue de estas herramientas que debe instalarse en todos los equipos.
Recientemente se ha cambiado de antivirus y aquellos equipos que no tengan instalado OCS no disponen de antivirus.
El correo electrónico es una de las fuentes más habituales de entrada de posibles ataques. Se ha contratado para las entidades que tienen alojado el correo electrónico en Diputación, licencias de Google Workspace que ofrecen una mejor protección anti-spam, anti-phising que el sistema actual. El plazo para realizar la migración era del 31/1/2024. A fecha de hoy aún hay entidades que no han delegado en la Diputación la gestión del DNS, paso necesario para realizar esta migración.
Para aquellas entidades que no hayan migrado a Google Workspace, a partir del 1/3/2024 sólo se podrá acceder al correo alojado en los servidores de la Diputación a través del cliente Web (Webmail) no será posible hacerlo a través de aplicaciones de escritorio (Thunderbird, Windows Live Mail, Outlook) o de aplicaciones específicas de dispositivos móviles.
Comprobaciones:
□ Instalación de OCS en todos los equipos corporativos
□ Delegación de DNS para la migración a Google Workspace.
- ¿Quién puede acceder a nuestra información? ¿A qué información tiene acceso?
Uno de los principios más importantes en seguridad informática es el mínimo privilegio. Se deben conceder los mínimos permisos necesarios para realizar las tareas encomendadas.
Otro de los aspectos importantes es la trazabilidad, no se deben utilizar cuentas genéricas que no permitan determinar quién realizó una acción determinada.
Así como en las altas de usuarios se solicitan los permisos necesarios para que la persona que se incorpora pueda realizar su trabajo, es fundamental que, en el momento que ya no exista relación contractual con la entidad, se proceda a la baja del usuario en todas los activos de la organización a los que el usuario tuviese acceso.
Comprobaciones:
□ Aplicar el principio de mínimo privilegio
□ Eliminar cuentas genéricas
□ Control periódico de las bajas y comprobación de los permisos de los usuarios en las aplicaciones.
□ Revisar periódicamente usuario/privilegios en el Directorio Público Local de la Diputación
- ¿Estamos seguros de que el que accede es quien dice ser?
Con cierta frecuencia asistimos a la publicación/venta de credenciales de acceso (usuarios/contraseñas) en la internet profunda. La contraseña de acceso no es suficiente para garantizar la identidad del usuario.
Se hace necesario la implantación de un segundo factor de autenticación, recordemos que no estamos tratando con la información de un usuario particular, se trata de proteger la información de la organización a la cual el usuario puede acceder, y que podría ser expuesta a usuarios no autorizados.
A partir del 28/2/2024 el doble factor será obligatorio en el acceso a los sistemas de información alojados en la Diputación. El compromiso de una cuenta de usuario de cualquiera de las entidades de la provincia aumenta el riesgo de un incidente que afecte a todos los sistemas de información alojados en la Diputación
Comprobaciones:
□ Implantar el doble factor en activos que lo permitan