Política de Seguretat de la Informació : Esquema Nacional de Seguretat

El propòsit d'aquesta Política de Seguretat de la Informació és establir les bases de la fiabilitat amb la què els sistemes d'informació prestaran els seus serveis i custodiaran la informació d'acord amb les seves especificacions funcionals, sense interrupcions o modificacions fora de control i sense que la informació pugui arribar al coneixement de persones no autoritzades. En aquest document es recull el conjunt de mesures necessàries, tècniques i organitzatives, per a aconseguir un nivell de protecció adequat per a assegurar el compliment legal, i garantir la disponibilitat i la confidencialitat de la informació

Disseny i implementació d'un sistema de seguretat de sistemes d'informació

El projecte pretén crear, implementar i implantar un SGSI dins d'una empresa per tal de preservar la confidencialitat, la integritat i la disponibilitat de la informació així com dels sistemes implicats en el tractament d'aquesta dins de l'empresa.El proyecto pretende crear, implementar e implantar un SGSI en una empresa con el objetivo de preservar la confidencialidad, la integridad y la disponibilidad de la información asi como de los sistemas implicados en el tratamiento de ésta en la empresa

Sistema de còpies de seguretat per a servidors domèstics

En aquest projecte s'ha desenvolupat un sistema que permet fer còpies de seguretat xifrades entre servidors per a ús domèstic. En aquest article s'explica la metodologia de desenvolupament que s'ha seguit durant el projecte, així com les funcionalitats del sistema desenvolupades que han permès aconseguir els objectius establerts. El motiu per el que s'ha implementat aquesta solució és perquè actualment no hi ha un sistema que permeti als usuaris realitzar còpies de seguretat en remot entre servidors domèstics. Les plataformes que permeten realitzar còpies de seguretat al núvol són tecnologies de pagament que tenen un cost en funció de la quantitat d'informació que els usuaris hi emmagatzemen. Els resultats obtinguts de la implementació del sistema ens porten a concloure que és totalment viable el desplegament del projecte, tot i que encara es pot extendre amb noves funcionalitats que el deixerien llest per ser posat en producció. En aquest article es detallen les tasques de desenvolupament realitzades durant el projecte i es mostren les proves que s'han realitzat. Finalment, s'analitzen els resultats obtinguts d'aquestes proves i s'extreuen unes conclusions.In this project we have developed a system that allows the users to do encrypted backups of the information stored in a home server in an other private home server. In this article we explain the methodology used during the development of the project and also the different functionalities developed to achieve the planned objectives. The reason why this project has been developed is because nowadays there is not a system that allows people to backup their home servers data in an other remote home server. The current technologies that are available to do backups online are private services that have a cost depending on the amount of data needed by the user. The results obtained in the project lead us to conclude that is completely feasible the development of this project. However, in the current state, there are some functionalities that are still pending due to lack of time. In this article we present the development tasks done during the project and there are shown the tests executed. Finally, the results obtained in the tests are analyzed and we extract some concusions.En este proyecto se ha desarrollado un sistema que permite realizar copias de seguridad entre servidores domésticos. En este artículo se explica la metodología de desarrollo que se ha seguido durante el proyecto, así como las funcionalidades desarrolladas del sistema que han permitido conseguir los objetivos establecidos. El motivo por el que se ha desarrollado esta solución es porque actualmente no se dispone de un sistema que permita a los usuarios realizar copias de seguridad en remoto entre servidores domésticos. Las plataformas que permiten realizar copias de seguridad en la nube son tecnologías de pago que tienen un coste en función de la cantidad de información que los usuarios necesitan. Los resultados obtenidos en la implementación del sistema nos llevan a concluir que es totalmente viable el despliegue del proyecto, a pesar de que todavía es posible extender nuevas funcionalidades que lo dejarían listo para ser puesto en producción. En este artículo se detallan las tareas de desarrollo realizadas durante el proyecto y se muestran las pruebas que se han efectuado. Finalmente, se analizan los resultados obtenidos en las pruebas y se extraen las conclusiones

Marc de l’auditoria informàtica de SI i la seguretat de la informació: estudi normatiu, teòric i pràctic

[CA] A aquest document es du a terme un estudi del marc que envolta a l'auditoria informàtica de sistemes de la informació i a la pròpia seguretat de la informació. L'estudi de l'àmbit es realitza des de tres punts diferents: abordant la normativa i certificacions relacionades, un estudi dels conceptes teòrics i per finalitzar des d'un punt pràctic, amb la simulació de part d'una auditoria exposant així els elements vistos prèviament als altres punts. Tot açò amb l'objectiu de valorar i conscienciar de la necessitat protegir un recurs tan valuós com és la informació[EN] This document carries out a study of the framework for the Information Technology audit of information systems and the security of information. The study of the environment is done from three different points: addressing the related regulations and certifications, a study of the theoretical concepts and lastly from a practical point, which is viewed through the simulation of a partial audit, exposing the elements previously seen. All this process is done in order to evaluate and aware the need of protection for a valuable resource as it is the information.Lucena Cascant, A. (2019). Marc de l’auditoria informàtica de SI i la seguretat de la informació: estudi normatiu, teòric i pràctic. http://hdl.handle.net/10251/125342TFG

Instrucció relativa a la política d'identificació i signatura en l'actuació administrativa

Aprovació inicial per la Comissió de Govern de 19-07-2018Aprovació definitiva per la Comissió de Govern de 15-11-201

Auditoria i execució de pla d’acció per la millora de la seguretat dels sistemes d’informació

Comprendre, adaptar i implantar la normativa de seguretat dels sistemes d’informació ISO/IEC 27002:2005 en l’àmbit d’una organització proveïdora de serveis de gestió d’instal·lacions esportives on el sistema d’informació està compost principalment per una part ofimàtica, per l’administració i gestió pròpia del servei, i una part d’automatització industrial, per el manteniment, control i supervisió automatitzada dels equipaments esportius. A partir del plantejament del problema a resoldre en forma d’auditoria, es vol fer un desplegament que permeti portar a terme un pla d’acció concret, per la millora de la seguretat informàtica, en alguns dels aspectes detectats com vulnerabilitats en els sistemes d’informació del Servei auditat. Per tal de complir amb aquest objectius, es desenvolupen les següents fases: La primera correspon a la introducció, on mitjançant diverses reunions amb els responsables del servei i els promotors d’aquest projecte, es defineixen els objectius i es planifiquen les tasques a desenvolupar. En la segona, s’estudia la norma ISO/IEC 27002:2005 i es desenvolupa el mètode per convertir la mateixa en un qüestionari per l’avaluació de la seguretat dels sistemes d’informació. La tercera, on s’especifica el funcionament, i es realitza el disseny i desenvolupament de l’eina de suport a l’auditoria basada en el qüestionari d’avaluació creat en la fase precedent. Finalment, en la quarta fase, s’executen les tasques pròpies de l’avaluació de la seguretat dels sistemes d’informació: Les respostes al qüestionari, l’avaluació, l’estudi dels resultats, l’informe d’auditoria i la confecció d’un pla d’acció per la millora compost principalment per la creació d’un pla de contingència (Pla de continuïtat dels serveis de negoci i pla de represa informàtica dels sistemes sensibles)

Auditoria i execució de pla d’acció per la millora de la seguretat dels sistemes d’informació

Comprendre, adaptar i implantar la normativa de seguretat dels sistemes d’informació ISO/IEC 27002:2005 en l’àmbit d’una organització proveïdora de serveis de gestió d’instal·lacions esportives on el sistema d’informació està compost principalment per una part ofimàtica, per l’administració i gestió pròpia del servei, i una part d’automatització industrial, per el manteniment, control i supervisió automatitzada dels equipaments esportius. A partir del plantejament del problema a resoldre en forma d’auditoria, es vol fer un desplegament que permeti portar a terme un pla d’acció concret, per la millora de la seguretat informàtica, en alguns dels aspectes detectats com vulnerabilitats en els sistemes d’informació del Servei auditat. Per tal de complir amb aquest objectius, es desenvolupen les següents fases: La primera correspon a la introducció, on mitjançant diverses reunions amb els responsables del servei i els promotors d’aquest projecte, es defineixen els objectius i es planifiquen les tasques a desenvolupar. En la segona, s’estudia la norma ISO/IEC 27002:2005 i es desenvolupa el mètode per convertir la mateixa en un qüestionari per l’avaluació de la seguretat dels sistemes d’informació. La tercera, on s’especifica el funcionament, i es realitza el disseny i desenvolupament de l’eina de suport a l’auditoria basada en el qüestionari d’avaluació creat en la fase precedent. Finalment, en la quarta fase, s’executen les tasques pròpies de l’avaluació de la seguretat dels sistemes d’informació: Les respostes al qüestionari, l’avaluació, l’estudi dels resultats, l’informe d’auditoria i la confecció d’un pla d’acció per la millora compost principalment per la creació d’un pla de contingència (Pla de continuïtat dels serveis de negoci i pla de represa informàtica dels sistemes sensibles)

Sistema web per a la gestió de problemes i pràctiques

El projecte desenvolupat consisteix en una eina que ajuda a que els professors deixin de banda el paper de relator-dictador d'apunts i es transformin en tutors-formadors que exerceixin de guia en l'aprenentatge de l'estudiant. Aquesta orientació suposa el replantejament dels continguts de les assignatures i la seva reestructuració, així com un canvi en les eines que els professors hauran d'utilitzar per a fer front als nous reptes. Per tal d'aconseguir aquests objectius es proposa una nova metodologia docent: les tradicionals classes magistrals on la comunicació té un únic sentit professor-estudiant, es dividiran en dos tipus de sessions. Per una banda es realitzaran un conjunt de sessions on s'exposaran els continguts bàsics de l'assignatura i, per altra banda, hi haurà un conjunt de sessions dedicades a la resolució de problemes on s'haurà d'aplicar els continguts descrits en les sessions anteriors. Les sessions de problemes estaran guiades per un professor-tutor de problemes el qual fomentarà el debat, el treball en grup i la participació de l'alumnat en la resolució dels problemes plantejats. Finalment, per tal que els estudiants prenguin consciència del nivell de coneixement que tenen de la matèria, hauran d'autoavaluar-se (correcció que després serà corroborada pel professor), amb l'objectiu d'aprendre dels errors. Aquest tipus de metodologia permetrà adquirir als alumnes no sols les habilitats de treball en grup i l'assimilació dels continguts de l'assignatura sinó que a més fomentarà un esperit crític respecte al treball desenvolupat dins del grup. Malauradament, la metodologia basada en resolució de problemes genera un volum molt gran d'informació que els professors de l'assignatura han de gestionar tant en el compliment de lliuraments com en les correccions i i els resultats. A més, per tal que l'alumne tingui una realimentació positiva respecte la feina feta, que li permeti corregir els procediments d'aprenentatge erròniament assimilats, totes les activitats de recol·lecció dels lliuraments i retorn de correccions s'han de realitzar en un temps curt. Per a fer front a un metodologia d'aprenentatge basada en problemes, es va dissenyar i desenvolupar una eina (programari) basada en tecnologia web que permet la gestió i administració dels lliuraments, correcció i comunicació amb els alumnes. Aquesta eina compleix amb uns determinats requisits de seguretat de la informació ja que existeixen dades confidencials que s'han de protegir tant en les còpies que es lliurin al professor com en la visualització de dades personals i qualificacions. L'eina permet la comunicació grupal amb els alumnes per a la gestió de les correccions de problemes, generació d'informes de notes i estadístiques. A més a més, l'eina desenvolupada es va integrar al Campus Virtual. Així doncs, s'espera que properament estigui disponible per a tota la comunitat universitària. Aquest projecte va rebre un ajut per a projectes d'innovació docent de la UAB (2006)