Blog de agosto, 2022

USTIC-INFO 02/22. Últimos Documentos de Seguridad CCN-STIC del CCN-CERT publicados

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, informa de que el CCN-CERT, del Centro Criptológico Nacional, ha publicado durante los últimos seis meses una serie de documentos de seguridad, denominados Series CCN-STIC, entre los que se incluyen guías, informes de buenas prácticas o abstracts, que son de interés para vuestro conocimiento y aplicación, en aquellos sistemas de vuestra competencia.

Documentos CCN-STIC 


Las Series CCN-STIC son normas, instrucciones, guías y recomendaciones desarrolladas por el Centro Criptológico Nacional con el fin de mejorar el grado de ciberseguridad de las organizaciones. Periódicamente son actualizadas y completadas con otras nuevas, en función de las amenazas y vulnerabilidades detectadas por el CCN-CERT.

El grueso de las Series está especialmente dirigidas al personal de las Administraciones Públicas y empresas y organizaciones de interés estratégico (parte privada del portal) y otras de difusión pública para todos los usuarios.

Últimas Guías de Seguridad Publicadas


A continuación, en la siguiente tabla, se presentan las guías de seguridad publicadas en los últimos seis meses, indicando una breve descripción, la fecha de publicación y un enlace a las mismas para su consulta:

Guía

Descripción

Publicación

Archivo/Enlace

CCN-STIC-620 Guía de aplicaciones de perfilado de seguridad para Oracle Linux

  • El objetivo es aportar los procedimientos adecuados para aplicar un perfilado de seguridad basado en la realización de un análisis de riesgos en sistemas que implementen Oracle Linux 8.
  • Este documento incluye una descripción de uso de esta guía, una declaración de riesgos, la identificación de valor de riesgo y, por último, un perfilado de seguridad en el que se establecen las medidas de seguridad a aplicar.


Agosto 2022

CCN-STIC 620 Perfilado de Seguridad Oracle Linux.pdf

CCN-STIC-573A21 Implementación de seguridad en servidor de ficheros sobre Microsoft Windows Server 2019

  • El fin de este documento es el de aplicar un perfilado de seguridad en base a un análisis de riesgos preceptivo, en sistemas que implementan servidores Windows Server 2019 y que actúen como servidor de ficheros.
  • Incluye una descripción de uso de esta guía, una declaración de riesgos, la identificación de valor de riesgo y, por último, un perfilado de seguridad en el que se establecen las medidas de seguridad a aplicar al producto o tecnología tratado en la presente guía.
  • Junto a la guía, se encuentra su correspondiente script para su correcta implementación.

Julio 2022

CCN-STIC 573A21 Servidor de Ficheros en WS2019.pdf

Scripts:

CCN-STIC 573A21 Servidor de Ficheros en WS2019 - Scripts.zip


CCN-STIC-1615 Procedimiento de empleo seguro SUSE Linux Enterprise Server 15 SP2

  • Esta guía reúne las consideraciones necesarias para configurar de manera segura SUSE Linux Enterprise Server (SLES) 15 SP2.

Junio 2022

CCN-STIC 1615 PES SUSE 15 SP2.pdf

CCN-STIC-1432 Procedimiento de empleo seguro ARUBA OS-CX

  • Se proporcionan las directrices de seguridad y mejores prácticas para las características y protocolos de gestión proporcionados por el software ARUBA OS-CS versión 10.06.
  • Pone el foco en las funcionalidades que pueden ser relevantes para una configuración segura del equipo para evitar que sea un vector de ataque.

Junio 2022

CCN-STIC-1432 PES Aruba OS-CX.pdf

CCN-STIC-1434 Procedimiento de empleo seguro Sonicwall SMA

  • El objeto de esta guía es facilitar la instalación y configuración segura de los dispositivos de Sonicwall Secure Mobile Access (SMA) con la versión de software 12.1, junto con el aseguramiento del entorno en el que se despliega.

Mayo 2022

CCN-STIC-1434 PES Sonicwall SMA.pdf

CCN-STIC-1612 Procedimiento de empleo seguro F5 BIG-IP LTM+APM

  • Recoge el procedimiento de empleo seguro para el sistema F5 BIG-IP LTM+APM versión 14.1.0.3 con la revisión HotfixBIGIP-14.1.0.3.0.75.6-ENG.

Mayo 2022

CCN-STIC-1612 PES F5 BIG-IP LTM+APM.pdf

Guías CCN-STIC 889C, 889D, 889E y 889F de configuración segura para Oracle OCI – Arquitecturas Híbridas, OCI Database – Instancias VM, OCI Compute – Instancias VM y Bare Metal y C@C Sistemas Exadata - Autonomous DB.

  • Son cuatro guías de configuración segura de los servicios de Oracle Cloud Infraestructure (OCI) y de Oracle Cloud at Customer (O-C@C).
  • El documento CCN-STIC 889C, muestra el despliegue y configuración de los servicios Oracle OCI, identificando los servicios para las Arquitecturas Híbridas en entornos de cliente-nube para aquellas organizaciones que necesiten conectar sus centros de datos a la nube de Oracle, cumpliendo con las medidas de seguridad del ENS.
  • Por su parte, la CCN-STIC 889D pretende servir de guía para la configuración de los servicios de Base de datos de Oracle Cloud Infrastructure (OCI) para cargas de trabajo en la nube pública de Oracle. La utilidad principal es identificar los servicios e instancias de bases de datos en máquinas virtuales que deban configurarse.
  • La tercera guía CCN-STIC 889E muestra el despliegue y configuración de OCI para cargas de trabajo en la nube pública, identificando los servicios de cómputo para las Instancias de máquina virtual (MV) y bare metal.
  • El cuarto documento, la guía CCN-STIC 889F, muestra la configuración de los servicios de Oracle Cloud at Customer (O-C@C) para cargas de trabajo en la nube privada de Oracle, identificando los servicios de C@C Sistemas Exadata y Autonomous DB.

Abril 2022




Últimos Informes de Buenas Prácticas y Abstracts Publicados


Además de las anteriores guías comentadas, hay que destacar otros documentos de seguridad CCN-STIC de interés. Se trata de dos informes de buenas prácticas y un abstract, tal como puede apreciarse en la siguiente tabla, donde se indica una breve explicación, fecha de publicación y enlace para su lectura:

Documento

Descripción

Publicación

Archivo/Enlace

CCN-STIC BP/26 Recomendaciones de seguridad en Microsoft Edge

  • El propósito de este documento consiste en establecer los procedimientos y utilidades necesarias para implementar y garantizar la seguridad en Microsoft Edge, frente a los riesgos a los que este pueda estar expuesto.
  • Se proporciona una serie de pasos e instrucciones que permitan la configuración adecuada del navegador de forma manual. Así mismo se proporciona un archivo de configuración para aplicar medidas de seguridad y así facilitar la posibilidad de implementar seguridad.

Agosto 2022

CCN-CERT_BP-26 Recomendaciones de seguridad en Microsoft Edge.pdf

CCN-STIC BP/22 Recomendaciones de seguridad para Oracle Database 19C

  • Este documento establece los procedimientos y utilidades necesarias para implementar y garantizar la seguridad para Oracle Database 19C
  • Es importante tener en cuenta los aspectos de seguridad que se configuran en el ámbito del sistema operativo, como usuarios, servicios, comunicaciones y protocolos. En el caso de Oracle 19C, el proceso de verificación de identidad de usuario se realiza fuera del entorno de la aplicación como LDAP, OS, TNS, Kerberos, por SID o nombre de servicio.

Junio 2022

CCN-CERT_BP22-Recomendaciones de seguridad para Oracle Database 19C.pdf


Abstract “Lecciones aprendidas de seguridad para la prestación de servicios electrónicos”

  • Documento con las lecciones aprendidas y recomendaciones de seguridad sobre la prestación de servicios electrónicos.
  • La seguridad a la hora de implementar y desplegar este tipo de servicios se ha convertido en un factor determinante. El aumento de su demanda ha provocado que se conviertan en el punto de mira de los atacantes y afianzar su seguridad a través de lecciones aprendidas y recomendaciones ayudará a reducir el número de ciberataques.

Junio 2022

Abstract - Seguridad en Servicios Electrónicos.pdf



Para cualquier duda o consulta al respecto, podéis contactar con nuestro equipo en ustic.stic.sspa@juntadeandalucia.es.

Gracias por vuestra atención.

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las indicaciones facilitadas por AndalucíaCERT, avisa de que han sido liberados los parches de seguridad mensuales de Microsoft Windows de agosto que corrigen 17 vulnerabilidades críticas.

Asimismo, en el apartado correspondiente en este comunicado, se informa del calendario del despliegue desde Altiris de estos parches para puestos de usuarios.

Respecto a los servidores afectados, se ruega a sus responsables la máxima diligencia en su resolución, debido al riesgo potencial que presentan estas vulnerabilidades.

Detalle 


Microsoft ha lanzado su nueva ronda de actualizaciones para Windows en su boletín mensual de agosto, corrigiendo 121 vulnerabilidades, 17 de ellas clasificadas como críticas (dos son de Día Cero o 0-day), ya que permiten la ejecución remota de código o la elevación de privilegios dentro del Sistema.

El número de vulnerabilidades en cada categoría se enumeran de la siguiente forma:

  • 64 Vulnerabilidades de elevación de privilegios.
  • 6 Vulnerabilidades de omisión de características de seguridad.
  • 31 Vulnerabilidades de ejecución remota de código.
  • 12 Vulnerabilidades de divulgación de información.
  • 7 Vulnerabilidades de denegación de servicio.
  • 1 Vulnerabilidad de suplantación de identidad.

Entre las vulnerabilidades críticas que resuelven las actualizaciones, habría que destacar las siguientes:

  • CVE-2022-34713: Esta vulnerabilidad de Día Cero ( 0-day ), conocida como “Dogwalk” y explotada activamente, se debe a un fallo en la herramienta Microsoft Windows Support Diagnostic Tool ( MSDT ). Un atacante remoto puede aprovechar esta vulnerabilidad para realizar un escalamiento de privilegios en el sistema afectado.

           Adicionalmente, el equipo de Microsoft ha parcheado otra vulnerabilidad de ejecución remota de código en el componente MSDT, si bien no se tiene constancia de que esté siendo explotada actualmente: CVE-2022-35743.

           En este sentido, no queremos dejar pasar la ocasión sin indicar que estas dos vulnerabilidades son distintas a Follina (CVE-2022-30190), que también afectaba al mismo componente, y de la que avisamos el pasado 3 de junio               de 2022 aquí: https://ws001.sspa.juntadeandalucia.es/confluence/x/HZS3Bg .

  • CVE-2022-30134: Se trata de la otra vulnerabilidad de Día Cero ( 0-day ) que se debe a un error en el control de datos de entrada de Microsoft Exchange. Un atacante remoto podría acceder a mensajes de correo electrónico específicos.  
  • CVE-2022-34691: Calificada como crítica, esta vulnerabilidad se debe a un fallo en los servicios de Active Directory . Un atacante podría aprovechar esta vulnerabilidad para realizar un escalamiento de privilegios en el sistema afectado.  
  • CVE-2022-30133: Vulnerabilidad crítica de ejecución remota de código en el protocolo /Point-to-Point/ (PPP) de Windows

Debido al riesgo potencial que presentan estas vulnerabilidades, llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas tan pronto como sea posible.

Sistemas Afectados


  • Windows 8.1
  • Windows 10
  • Windows Server 2012 y 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Recomendaciones Actualizadas (12/08/2022)


La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos:

Mitigación

1º. Solución a las vulnerabilidades:

Será necesario implementar los parches liberados lo antes posible.


Despliegue de Parches desde Altiris para Equipos de Usuarios. Calendario.


El despliegue de los parches de seguridad para Windows 8.1 y Windows 10 de los equipos de usuario se realizará desde Altiris de manera escalonada, por anillos, atendiendo al siguiente calendario:

  • Anillo 1: 16 agosto
  • Anillo 2: 23 agosto
  • Anillo 3: 30 agosto

Desde el punto de vista del impacto en los usuarios, esta actualización, una vez instalada, informará al usuario que debe reiniciar el equipo.                                                                    

Otras Cuestiones de Seguridad


Por último, queremos aprovechar para informar de que se va a desplegar en todos los terminales ligeros (LetSAS 6) el cliente de EDR, coincidiendo con el calendario de anillos detallado anteriormente.

Referencias



Para cualquier duda o consulta al respecto, puede ponerse en contacto con nuestro equipo en ustic.stic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de la publicación de múltiples vulnerabilidades, una de ellas crítica y en explotación activa, que afectan a productos VMWare.

Detalle 


VMware ha emitido un aviso de seguridad crítico (VMSA-2022-0021) donde informa acerca de diez vulnerabilidades recientemente detectadas y parcheadas. Entre estas, destaca por su criticidad la descubierta por el investigador de VNG Security, Petrus Viet, y catalogada como CVE-2022-31656 con un CVSSv3 de 9.8. Se trata de una vulnerabilidad de omisión de autenticación que afecta a los usuarios del dominio local y que podría permitir a un atacante obtener privilegios de administrador.

Además, se ha detectado su explotación activa, permitiendo realizar un bypass de la autenticación de múltiples productos VMware.  La prueba de concepto (PoC) del exploit está publicada online: https://petrusviet.medium.com/dancing-on-the-architecture-of-vmware-workspace-one-access-eng-ad592ae1b6dd

Respecto al resto de vulnerabilidades, seis de ellas han sido catalogadas con un riesgo “importante” (CVE-2022-31658, CVE-2022-31659, CVE-2022-31660, CVE-2022-31661, CVE-2022-31664, CVE-2022-31665) y tres con riesgo “moderado” (CVE-2022-31657, CVE-2022-31662, CVE-2022-31663), encontrándose entre ellas, fallos de ejecución remota de código, escalada de privilegios y cross-site scripting (XSS), entre otros.

Debido a la criticidad comentada, rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a las vulnerabilidades.

Productos Afectados


  • VMware Workspace ONE Access (Access).
  • VMware Workspace ONE Access Connector (Access Connector)
  • VMware Identity Manager (vIDM)
  • VMware Identity Manager Connector (vIDM Connector)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Recomendaciones Actualizadas (10/08/2022)


La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos:

Mitigación

1º. Solución a las vulnerabilidades:

Siguiendo las indicaciones del fabricante, se recomienda implementar los parches lo antes posible, según la 'Matriz de resolución' que puede encontrase en el aviso de seguridad emitido: VMSA-2022-0021

 2º. Workaround de las vulnerabilidades:

También existen medidas de mitigación temporal que pueden encontrase en la tabla de referencia anteriormente mencionada, aunque pueden dar como resultado la pérdida de ciertas funciones.

Referencias


                                                                                                        


En caso de haber detectado la explotación de esta vulnerabilidad :

debe reportar el incidente  mediante correo electrónico a sau.cges.sspa@juntadeandalucia.es indicando en el  Asunto: [Compromiso VMWare0822]

Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones continúa con la publicación del segundo capítulo del programa de sensibilización y concienciación en ciberseguridad, dirigido a todos los profesionales de la STIC, bajo el título “La ciberseguridad comienza por la concienciación. Capítulo 2. Normativa de Seguridad”.

Antecedentes


En capítulos anteriores…

El primer episodio de “La ciberseguridad comienza por la concienciación”, titulado “¿Y si fuera real?”, publicado hace varias semanas aquí https://ws001.sspa.juntadeandalucia.es/confluence/x/oCLGBg,  sirvió de introducción para explicar el programa de sensibilización y concienciación en ciberseguridad para profesionales de la STIC y sus objetivos, siendo el principal de ellos el de crear una cultura de ciberseguridad.

Asimismo, presentamos un vídeo, denominado “Cyber Europe 2022 (Former CE2020)”, donde se mostraba una situación que podría darse en el ámbito sanitario y que nos dejaba la siguiente pregunta final a modo de reflexión:  “¿Y si esto fuera real?”.

Como habréis podido comprobar al visionarlo, el escenario presentado pudiera resultar exagerado, alejado de la realidad. Sin embargo, es más común de lo que puede parecer, sobre todo, si no ponemos de nuestra parte y nos implicamos en la generación de una cultura de seguridad.

Las incidencias relacionadas con la seguridad de los sistemas de información son más frecuentes en la medida en que las organizaciones se digitalizan y se hacen más dependientes de ellos. El caso de la sanidad no escapa a esta norma. Cuando los servicios de salud o los hospitales dependen para su funcionamiento de que el sistema de citación, historia clínica o gestión administrativa de los pacientes operen adecuadamente, están ganando funcionalidad y eficiencia, pero a la vez muestran una posible debilidad, un flanco que hay que saber proteger.

Lo cierto es que cada vez es más frecuente que aparezcan noticias relacionadas con la ciberseguridad en el ámbito de las organizaciones sanitarias y, que tienen que ver fundamentalmente con dos fenómenos.

El primero, el de la seguridad en el acceso a datos clínicos, los que por su propia esencia son altamente reservados, pertenecientes a la esfera íntima del paciente, y a los que sólo pueden acceder los profesionales responsables del caso, y bajo determinadas condiciones.

Pero, el otro fenómeno que ha alcanzado notoriedad en relación con la ciberseguridad sanitaria, es el referido a la diseminación en las redes internas de programas maliciosos, el llamado ransomware, dedicado al secuestro de datos o al bloqueo de la operatividad de los ordenadores y servidores, que sólo se recupera si se paga una extorsión.

En el área sanitaria hay especificidades relacionadas con la ciberseguridad que no sólo se refieren a la elevada protección de la que hay que dotar a los contenidos de la información recogida y gestionada por los sistemas por su carácter tan relevante. También porque es necesario asegurar la protección de los dispositivos médicos de diagnosis o tratamiento conectados a las redes hospitalarias. La cada vez más frecuente interacción de estos equipos médicos con las redes corporativas facilita mucho el flujo de información y mejora los procesos de atención sanitaria, pero también hace más vulnerable la arquitectura tecnológica porque ofrece más puertas de entrada.

El vídeo presentado en el anterior capítulo del presente programa de concienciación, ejemplifica claramente la tendencia, cada vez más frecuente, por desgracia, con la que no estamos encontrando en las organizaciones sanitarias: algún incidente grave de ciberseguridad que ha comprometido funciones básicas de su día a día, que van desde el bloqueo en el acceso a los registros médicos, el funcionamiento defectuoso de los aparatos, o el impedimento persistente para la gestión administrativa de los pacientes. Véase el reciente ataque al Hospital Centro de Andalucía de Lucena: https://www.eldiadecordoba.es/provincia/Hospital-Centro-Andalucia-ataque-informatico_0_1646537254.html

Lo relevante aquí es que estas eventuales incidencias no son solo inconveniencias de carácter técnico, sino que finalmente pueden comprometer de manera grave la propia seguridad del paciente. Alterar la continuidad asistencial o el acceso a procedimientos pueden generar consecuencias directamente relacionadas con la salud de la persona que se encuentra en fase de tratamiento o diagnóstico dentro de un centro sanitario.

Los ciberataques en hospitales han aumentado desde la llegada del COVID-19, y algunos estudios cifran este incremento en hasta un 500 % a nivel mundial. El motivo es, en muchas ocasiones, el potencial lucrativo que tienen para los ciberdelincuentes el control de estos sistemas que se han revelado críticos y socialmente imprescindibles.

Un informe recientemente publicado, titulado “The Impact of Ransomware on Healthcare During COVID-19 and Beyond”, elaborado por la consultora especializada Ponemon Institut, intenta mostrar la importancia de la ciberseguridad desde la perspectiva de los responsables tecnológicos, y pone de relieve un hecho muy importante: la seguridad informática está directamente relacionada con la seguridad del paciente, hasta el punto de que determinados ataques pueden comportar consecuencias graves para estos.

Este trabajo muestra que los ciberataques se traducen en un aumento de la tasa de mortalidad en una organización sanitaria, lo que se evidencia de manera muy directa después de sufrirlo. La razón principal es que los ciberataques pueden dar lugar a estancias hospitalarias más prolongadas y a retrasos en los procedimientos y pruebas relevantes dentro del circuito clínico. En numerosos casos, los pacientes informaron aumentos en los tiempos de espera, citas retrasadas, cirugías canceladas y otros problemas provocados por déficits en la funcionalidad de la red inducidos por ransomware.

"La Ciberseguridad comienza por la concienciación.  Capítulo 2: Normativa de Seguridad. "


La seguridad de la información nos compete a todos y su objetivo es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Como ya se indicó en el episodio anterior, en cada entrega se distribuirían diferentes tipos de material de sensibilización como pueden ser vídeos, infografías, documentos, consejos y buenas prácticas, recomendaciones, etc., destinados a fortalecer el conocimiento sobre aspectos clave de la seguridad de la información en todo el personal de la STIC.

En este segundo capítulo nos centraremos en conocer un pilar fundamental para todos los profesionales de la STIC en el uso de la seguridad y las implicaciones y riesgos de no asumirla: la normativa vigente que aplica.

Para ello, nos ocuparemos de la Política de Seguridad y el Código de Conducta en el uso de las Tecnologías de la Información y Comunicaciones para profesionales del SAS. Ambos documentos son el marco de referencia que deben guiar nuestras actuaciones, estableciendo los usos permitidos y prohibidos de los recursos informáticos y las obligaciones y deberes del personal en materia de tecnologías de la información.

La seguridad de la información es un aspecto clave en esta era digital en que vivimos y, por tanto, la formación y concienciación en esta materia son competencias básicas que debemos tener como profesionales de la STIC y de la sociedad en general.


1. Política de Seguridad TIC del SAS

El ofrecimiento de servicios sanitarios públicos de calidad, buscando la eficiencia, el aprovechamiento óptimo de los recursos, la accesibilidad, la equidad y satisfacción de los usuarios, requiere indiscutiblemente gestionar de forma segura la información como uno de los activos más importantes. Este hecho, y el uso extensivo de las tecnologías de la información y comunicaciones, ponen de manifiesto la necesidad de definir la Política de Seguridad TIC, con el objetivo de establecer directrices básicas y duraderas para una protección eficaz de los sistemas gestionados por el organismo y de la información almacenada en los mismos.

La política de Seguridad TIC vigente responde a las directrices marcadas por el artículo 11 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS) en el ámbito de la Administración Electrónica, donde se expresa el deber de disponer de un documento de Política de Seguridad que deberá ser aprobado por el titular del órgano superior correspondiente, tomando en consideración los principios básicos y requisitos mínimos señalados en el ENS.

Recientemente, el Real Decreto 3/2010, de 8 de enero, por el que se regulaba el ENS ha sido sustituido por el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. En este sentido, la actual Política TIC se encuentra en revisión para adecuarse a la nueva legislación.

Del mismo modo, nuestra actual política se dicta en desarrollo y respuesta concreta al artículo 10 del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía (modificado por el Decreto 70/2017, de 6 de junio, con los cambios introducidos por el Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía.

Este documento fue aprobado mediante Resolución de 8 de abril de 2021 y, manifiesta el interés de los órganos de gobierno del SAS en la gestión de la seguridad TIC. Con ella se establecen los objetivos y las responsabilidades necesarias para proteger los activos de información y los medios que se usen para su proceso, garantizando la integridad, disponibilidad y confidencialidad de estos, cumpliendo con el marco legal vigente y respetando las directrices, normas y procedimientos que oportunamente se establezcan.

Para ello, el SAS establecerá las medidas técnicas, organizativas y de control que garanticen la consecución de estos objetivos.

Objetivos

Con esta política de seguridad, el Servicio Andaluz de Salud asume los objetivos siguientes en materia de seguridad de la información:

  1. Dirigir y dar soporte al gobierno y gestión de la seguridad TIC, entendida como un proceso de mejora continua.
  2. Establecer el marco normativo de seguridad TIC, considerando especialmente la continuidad de los servicios y la gestión de incidencias.
  3. Impulsar la formación y concienciación en materia de seguridad TIC del personal, garantizando el conocimiento del marco normativo de seguridad.
  4. Definir la estructura organizativa en la que se apoyará el gobierno de la seguridad TIC, indicando comités, unidades, roles y figuras necesarias, así como sus funciones y responsabilidades.
  5. Garantizar la ejecución de los análisis y planes de tratamiento del riesgo de los activos de información.
  6. Garantizar la eficacia de las medidas de seguridad implantadas por medio de evaluaciones, auditorías y certificaciones.

Alcance

La política de seguridad TIC del Servicio Andaluz de Salud:

  • Afecta a todos los activos TIC bajo su titularidad o cuya gestión tenga encomendada.
  • Aplica a:
    • Sus Servicios Centrales, así como en sus diferentes órganos, centros e Instituciones sanitarias desplegadas en el territorio e integradas administrativamente en el mismo.
    • Centros y servicios de terceros concertados con el SAS o Consorcios que compartan información con el mismo.
    • Otros centros, servicios y establecimientos sanitarios que formen parte del Sistema Sanitario Público de Andalucía y que no encuentren cobertura en la política de seguridad TIC de la Consejería de Salud y Familias.
    • Todas las personas que accedan a los Sistemas de Información como a la propia información que sea gestionada por el SAS, con independencia de cuál sea su destino, adscripción o relación con la misma.

Todas las personas y las instituciones que se comprenden en el ámbito de aplicación de esta política tienen la obligación de conocer y cumplir la presente Política de Seguridad TIC, así como la normativa de seguridad que emana de la misma. El incumplimiento de esta política de seguridad TIC podrá suponer el inicio de las medidas disciplinarias que procedan, sin perjuicio de las responsabilidades legales que correspondan.

Podéis consultar el texto íntegro de este documento aquí: Política de Seguridad TIC del SAS o en la la siguiente página de Confluence de la USTIC: https://ws001.sspa.juntadeandalucia.es/confluence/x/6nuOB


2. Código de Conducta en el uso de las Tecnologías de la Información y la Comunicación

Para dar cumplimiento a la Política de Seguridad TIC, la organización desarrolla un conjunto de normas y planes que regulan qué se puede hacer y qué no, en relación con un cierto tema, desde el punto de vista de la seguridad, sin entrar en detalles de implementación ni tecnológicos.

Esta normativa es de obligado cumplimiento para todas las personas que trabajan en el Servicio Andaluz de Salud:

El Código de Conducta en el uso de las Tecnologías de la Información y la Comunicación para profesionales del SAS fue aprobado el 18 de enero de 2022 por el Comité de Seguridad TIC, CSISTIC-SAS, que es el órgano de dirección para la Política de Seguridad TIC de la Agencia.

Se ha adoptado la Resolución de 22 de octubre de 2020, de la Secretaría General para la Administración Pública, por la que se aprueba el Código de Conducta en el uso de las Tecnologías de la Información y la Comunicación para profesionales públicos de la Administración de la Junta de Andalucía.

Este Código de Conducta TIC describe:

  1. El uso correcto de equipos, servicios e instalaciones.
  2. Lo que se considerará uso indebido.
  3. La responsabilidad de los profesionales con respecto al cumplimiento o violación de estas normas: derechos, deberes y medidas disciplinarias de acuerdo con la legislación vigente.

A continuación, se detallan los objetivos, principios y recomendaciones que emanan del Código de Conducta TIC. Algunos recursos utilizados son ofrecidos por el Instituto Andaluz de Administración Pública.

Presentación

Echa un vistazo al siguiente vídeo de presentación del Código de Conducta TIC:

Si no se reproduce anteriormente, puedes verlo desde aquí: Presentación del Codigo de Conducta TIC

Objetivos

  1. Facilitar el uso adecuado de las tecnologías de la información y la comunicación (TIC) por los profesionales públicos.
  2. Asegurar la protección de los derechos de la ciudadanía, de los profesionales públicos de la Administración de la Junta de Andalucía y de la propia Junta de Andalucía.
  3. Mejorar los servicios que la Administración de la Junta de Andalucía presta a la ciudadanía.
  4. Propiciar la seguridad de la información y de los sistemas frente a riesgos o actuaciones no adecuadas.
  5. Fomentar el adecuado desarrollo de la sociedad de la información y facilitar el gobierno abierto

Objetivos Código de Conducta















Principios de uso de las TIC

Los profesionales deberán respetar, en el uso de las Tecnologías de la Información y la Comunicación, los siguientes principios: 

  1. Servicio y proximidad a la ciudadanía.
  2. Responsabilidad, profesionalidad y cualificación profesional.
  3. Seguridad.
  4. Protección de datos personales, tanto de la ciudadanía como de los profesionales.
  5. Eficacia en el desempeño de las funciones y eficiencia en la utilización de los recursos públicos.
  6. Accesibilidad de las tecnologías y contenidos, especialmente en la relación con la ciudadanía.

Cartel divulgativo Principios de uso del Código de Conducta TIC (573.09 KB)

Recomendaciones de uso de las TIC

A continuación, se presentan una serie de recursos audiovisuales que recogen las principales recomendaciones de uso de las TIC:

Vídeos

  • Recomendaciones Generales de uso de las TIC:

           

Si no se reproduce anteriormente, puedes verlo desde aquí: Recomendaciones Generales de Uso de las TIC

  • Uso Responsable de herramientas TIC

          

Si no puedes reproducirlo anteriormente, puedes hacerlo desde aquí: Uso responsable de herramientas TIC

  • Uso del Correo Corporativo

           

 Puedes verlo aquí, si no se reproduce antes: Uso del Correo Corporativo

 

Infografías

                                                                                                           


Podéis acceder al texto íntegro del Código de Conducta aquí: Código de Conducta TIC o en la la siguiente página de Confluence de la USTIC: https://ws001.sspa.juntadeandalucia.es/confluence/x/6nuOB

                                                                                                      


Para cualquier consulta o sugerencia respecto a este programa de concienciación, podéis contactar con ustic.stic.sspa@juntadeandalucia.es.

Gracias por vuestra atención y permaneced atentos al próximo capítulo… Saludos,


Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

USTIC-AV 07/22. Vulnerabilidades críticas en Samba (01/08/2022)

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las indicaciones marcadas por el CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de varias vulnerabilidades críticas en Samba, implementación de código abierto del protocolo Server Message Block (SMB).

Es importante la actualización de las versiones afectadas en el menor tiempo posible. Las publicaciones actuales hacen referencia a sistemas Linux, por eso todas las actuaciones indicadas versan sobre este sistema operativo.

Detalle 


Varios investigadores han reportado 5 vulnerabilidades que podrían permitir a un atacante omitir restricciones de seguridad, interrumpir el proceso del servidor, referenciar memoria después de haberla liberado, divulgación de información o falsificar solicitudes de cambio de contraseña.

A continuación, se muestran las vulnerabilidades detectadas con el CVE correspondiente a cada una y una breve descripción:

  • CVE-2022-2031: Los usuarios de Samba AD pueden saltarse ciertas restricciones asociadas al cambio de contraseñas.
  • CVE-2022-32744: Los usuarios de Samba AD pueden falsificar las solicitudes de cambio de contraseña de cualquier usuario.
  • CVE-2022-32745: Los usuarios de Samba AD pueden bloquear el proceso del servidor con un LDAD añadiendo o modificando la solicitud.
  • CVE-2022-32746: Los usuarios de Samba AD pueden inducir una petición de uso cuando este libre en el proceso del servidor con el LDAP, añadiendo o modificando la solicitud.
  • CVE-2022-32742: Fuga de información en la memoria del servidor a través de SMB1.

Debido a la criticidad, rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a las vulnerabilidades.

Recursos Afectados


Las siguientes versiones de Samba, según la vulnerabilidad concreta:

  • CVE-2022-2031 y CVE-2022-32746: versiones anteriores a 4.16.4;
  • CVE-2022-32742: todas las versiones;
  • CVE-2022-32744: versiones 4.3 y posteriores;
  • CVE-2022-32745: versiones 4.16, 4.15.2, 4.14.10, 4.13.14 y posteriores.

Recomendaciones Actualizadas (01/08/2022)


La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos:

Mitigación

1º. Solución a las vulnerabilidades:

Será necesario actualizar las versiones afectadas lo antes posible, tal como se muestra a continuación:

  • Si utiliza la versión 4.16, actualice a versión 4.16.4
  • Si utiliza la versión 4.15, actualice a versión 4.15.9
  • Si utiliza la versión 4.14, actualice a versión 4.14.14

Si no pueden actualizar, algunos de los errores mencionados anteriormente pueden mitigarse con cambios de configuración, aunque algunos de ellos desactivan funciones de las que podría depender la red, lo que impediría utilizar esas soluciones concretas.

 2º. Workaround de las vulnerabilidades:

En los siguientes enlaces, puede encontrarse el workaround específico para cada vulnerabilidad:

Referencias


                                                                                                        


En caso de haber detectado la explotación de esta vulnerabilidad :

debe reportar el incidente  mediante correo electrónico a sau.cges.sspa@juntadeandalucia.es indicando en el  Asunto: [Compromiso Samba0722]

Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud