Post on 12-Jun-2020
transcript
Normativa
Tema 12 Seguretat de la Informació
2019
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 2
ÍNDEX
INTRODUCCIÓ ....................................................................................................... 3
PROTECCIÓ DE LA INFORMACIÓ .......................................................................... 3
CONFIDENCIALITAT DE LA INFORMACIÓ .............................................................. 3
COM TREBALLAR AMB LA INFORMACIÓ ............................................................... 7
COM PROTEGIR EL TEU NOM D'USUARI I LA TEVA CONTRASENYA .................... 12
EQUIPS INFORMÀTICS ......................................................................................... 15
PORTÀTILS, SMART PC I ESTACIONS DE TREBALL FIXES ........................................ 15
SMARTPHONES, TABLETS I MÒBILS ........................................................................ 17
RISCOS DEL CORREU ELECTRÒNIC ..................................................................... 19
TIPUS DE CORREU ELECTRÒNIC IL·LEGÍTIM .......................................................... 19
PRINCIPALS RISCOS DEL CORREU ELECTRÒNIC .................................................. 20
COM DETECTAR SI UN CORREU ÉS IL·LEGÍTIM ..................................................... 20
COM ACTUAR DAVANT UN CORREU SOSPITÓS .................................................. 22
PHISHING CORPORATIU: SEMBLA DE L'EMPRESA, PERÒ NO HO ÉS .................... 23
INTERNET I XARXES SOCIALS .............................................................................. 25
ÚS D'INTERNET ........................................................................................................ 25
XARXES SOCIALS ................................................................................................... 27
ATACS D'ENGINYERIA SOCIAL ........................................................................... 29
QUÈ ÉS L'ENGINYERIA SOCIAL? ............................................................................ 29
QUINS OBJECTIUS PERSEGUEIX L'ENGINYERIA SOCIAL? ...................................... 30
QUÈ HAIG DE FER EN CAS DE DETECTAR UN POSSIBLE ATAC D’ENGINYERIA
SOCIAL? ................................................................................................................ 30
CONTRACTES AMB TERCERS ............................................................................... 31
INCIDÈNCIES DE SEGURETAT ............................................................................... 32
COMUNICACIÓ DE LA INCIDÈNCIA DE SEGURETAT ........................................... 32
EXEMPLES D'INCIDÈNCIES DE SEGURETAT ............................................................ 33
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 3
INTRODUCCIÓ
La seguretat de la informació és clau per preservar el negoci i la reputació del Grup
CaixaBank.
Com a empleat necessites estar al corrent dels aspectes que componen la
seguretat de la informació, per saber protegir-te. Aquest manual t'aportarà el
coneixement normatiu i imprescindible sobre protecció de la informació i cultura de
la seguretat global. Aprendràs a identificar riscos i cuidar la teva seguretat en l’àmbit
professional.
Per saber-ne més...
Consulta la següent informació:
Norma 66: Seguretat informàtica.
Codi de Conducta Telemàtic.
Política de la Seguretat de la informació del Grup CaixaBank.
Web InfoProtect.
Uneix-te a la cultura de seguretat global de CaixaBank.
PROTECCIÓ DE LA INFORMACIÓ
Cada dia, per realitzar la teva feina, gestiones una gran quantitat d’informació, i
és fonamental que sàpigues protegir-la. En aquest apartat, hi coneixeràs els tres
nivells de confidencialitat de la informació. També aprendràs a classificar,
emmagatzemar, enviar i destruir la informació de manera segura.
CONFIDENCIALITAT DE LA INFORMACIÓ
Què és la confidencialitat?
La confidencialitat és la propietat de la informació per la qual aquesta no es posa
a disposició o es revela a individus, entitats o processos no autoritzats.
La informació que gestiona l’empleat en la seva activitat professional és propietat
del Grup CaixaBank, i no pot utilitzar-se per a altres finalitats.
Qualsevol persona que intervingui en el tractament de la informació del Grup
CaixaBank està obligada a mantenir el secret professional sobre aquesta
informació.
Què és la informació confidencial?
La informació confidencial es pot definir com aquella l’ús de la qual és restringit i
que la posseeixen o tenen accés a ella només algunes persones pel seu càrrec o
per les seves funcions.
És tota aquella informació que hem de protegir de l’accés d’altres persones. No
importa el suport, el tipus d’informació o fins i tot si es comunica verbalment.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 4
Per què diem que una informació és confidencial?
Perquè és informació crítica per a la nostra feina.
Perquè reporta al Grup CaixaBank avantatges competitius al mercat.
Perquè està protegida per la legislació, com per exemple les dades personals.
Perquè ens hem compromès amb un tercer a mantenir aquesta informació en
secret (un client, un soci, un proveïdor, etc.).
Graus de confidencialitat
En funció del grau de confidencialitat, la informació es classifica en un dels
següents 3 grups.
1. Informació pública
Informació a la qual el Grup CaixaBank no posa límits quant al nombre i tipus de
receptors possibles. Pot tractar-se d’informació publicada en els mitjans de
comunicació, informació que apareix en llocs d’internet o en altres mitjans de
difusió amb projecció externa a l’empresa.
2. Informació d'ús intern
Informació que no ha de ser accessible fora de l'àmbit del Grup CaixaBank, ni
tampoc fora dels entorns dels proveïdors que, a causa de les tasques que els han
estat encomanades, tinguin accés a algun tipus d'informació interna.
3. Informació confidencial
Informació que el Grup CaixaBank no desitja que sigui coneguda més enllà dels
límits que estableixin la llei vigent o la pròpia institució, atès que la seva divulgació
a persones no autoritzades pot provocar pèrdues econòmiques o de reputació.
És el cas de:
Qualsevol informació a la qual solament ha d'accedir un determinat grup de
persones. Per exemple, informació de negoci o actes de comitès.
Qualsevol informació emparada per la regulació vigent en matèria de
protecció de dades personals.
Sabies que...?
Totes les dades corresponents a una persona o un contracte de producte o de
servei relacionat amb una persona tenen la consideració de dades personals, i
mereixen un tractament especial descrit en la Norma 47: Tractament i
confidencialitat de les dades personals.
A més, la informació confidencial pot ser especialment sensible quan conté:
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 5
Dades personals
És qualsevol informació que pugui utilitzar-se per identificar, contactar o localitzar
una persona en concret, ja sigui mitjançant la informació en si, o bé combinant
aquesta informació amb una altra.
Això inclou:
Nom.
Domicili.
Números d'identificació (DNI, carnet de conduir...).
Matrícula del vehicle.
Dades bancàries.
Estat civil, data de naixement.
Lloc de treball, nivell de renda d'aquesta persona.
Fotografia on aparegui la cara.
Historial mèdic.
Dades necessàries per als processos d'autenticació
Són aquelles dades que permeten verificar la identitat d'una persona abans d'iniciar
una determinada operació o procés, com per exemple:
Dades que permetin iniciar un pagament.
Dades utilitzades per ordenar instruments de pagament o eines d'autenticació
que vagin a ser enviades als clients.
Dades que, si es modifiquen, poden afectar la capacitat de la part legítima per
verificar les transaccions de pagament, autoritzar e-mandates o controlar el
compte, així com llistes "negres" i "blanques", límits definits pel client, etc.
Dades de targetes de pagament
Dades de les targetes dels clients:
PAN (número de la targeta).
Titular.
CVV (codi de seguretat de la targeta).
Data de caducitat.
Altres dades restringides
En general, es refereix a qualsevol informació confidencial a la qual només pot
accedir un grup limitat de persones amb permís per a això.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 6
Important:
Tota aquesta informació és confidencial i únicament poden accedir a ella les
persones autoritzades. Mai facilitis aquesta informació a través de xarxes socials o
per correu electrònic fora de l'empresa.
Protegir la informació depèn de tu!
És la teva responsabilitat com a empleat respectar la confidencialitat de la
informació amb la qual treballes. No pots generar documents o informació en
dispositius no controlats pel Grup CaixaBank.
Implicacions legals i/o laborals de la fugida d'informació
El mal ús o la divulgació accidental d'informació confidencial poden comportar
responsabilitats legals tant per a l'empresa com per a l'empleat.
Impacte de la fugida d'informació en la reputació de l'empresa
Un incident d'aquest tipus pot arribar als mitjans de comunicació, i afectar la
reputació del Grup
CaixaBank.
Com has de manejar les dades de caràcter personal?
Únicament pots facilitar dades personals al seu titular o a les persones autoritzades.
Important:
Sempre que dubtis sobre qui et demana informació (sigui per telèfon, e-mail o
altres vies), verifica la seva identitat fent servir un mitjà alternatiu.
Si el dubte persisteix, per nimi que sigui, no donis cap dada personal ni
professional, encara que creguis que no és confidencial.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 7
Confidencials, personals i sensibles: no totes les dades són iguals
Informació confidencial: informació que el Grup CaixaBank no desitja que
sigui coneguda més enllà dels límits que estableixin la llei vigent o la pròpia
institució, atès que la seva divulgació a persones no autoritzades pot provocar
pèrdues econòmiques o de reputació. Per exemple, el nom d'una empresa
que es vol adquirir o els detalls d'una nova campanya publicitària.
Dades personals: qualsevol informació numèrica, alfabètica, gràfica,
fotogràfica, acústica o de qualsevol altre tipus concernent a persones físiques
identificades o identificables. Per exemple, una llista de noms i adreces de
clients (a més, seria informació confidencial, que podria interessar a un
competidor).
Dades sensibles: dades personals que afecten la intimitat de la persona i/o l'ús
dels indegut pot generar la seva discriminació, tals com origen racial i ètnic,
opinions polítiques, conviccions religioses, filosòfiques o morals, afiliació
sindical i dades referides a la salut o a la vida sexual. Per exemple, l'historial
mèdic d'una persona.
COM TREBALLAR AMB LA INFORMACIÓ
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 8
PAS 1. CLASSIFICACIÓ DE LA INFORMACIÓ
En funció del grau de confidencialitat de la informació, alguns documents han
d'incloure diferents etiquetatges:
Informació pública
No és necessari cap tipus d'etiquetatge. Per defecte, qualsevol informació no
etiquetada es considerarà d'ús públic (segons la Norma 66: Seguretat informàtica).
Informació d'ús intern
Incloure en tots els peus de pàgina del document, així com a la pàgina inicial o al
títol del document, l'etiqueta següent:
Document d'ús exclusivament intern. © CaixaBank, S. A.
Tots els drets reservats. En particular, es prohibeix la seva
reproducció i comunicació o l'accés a tercers no autoritzats.
Informació confidencial
Incloure en tots els peus de pàgina del document, així com a la pàgina inicial o al
títol del document, l'etiqueta següent:
Document confidencial. © CaixaBank, S. A.
Tots els drets reservats. En particular, es prohibeix la seva
reproducció i comunicació o l'accés a tercers no autoritzats.
Important:
Sempre que treballis amb un document electrònic o en paper has de comprovar
si inclou el text de l’etiquetatge que li correspon. Si no és així, has de verificar el
contingut i etiquetar-lo tu mateix/a. Per defecte, tota la informació que no estigui
etiquetada es considerarà d'ús públic.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 9
PAS 2. EMMAGATZEMATGE SEGUR DE LA INFORMACIÓ
Informació en paper
Els documents en format paper mai han de quedar desatesos.
Guarda tota la informació sensible en paper (confidencial i interna) sota clau, en
armaris o arxivadors.
Informació en suport electrònic
Puc guardar informació en suports d'emmagatzematge extern (discs durs extraïbles,
USB...)?
No, tota la informació s'ha d'emmagatzemar en els sistemes d'informació i repositoris
corporatius.
Si necessito treballar amb la informació, com ho faig?
Durant la jornada laboral: para especial atenció als documents en paper que
continguin informació de negoci.
En el cas de les oficines que atenguin directament el client, es recomana tenir
sobre la taula únicament la informació relacionada amb el client que s'està
atenent a cada moment. L'empleat que es trobi a càrrec d'aquesta informació
ha de custodiar-la i impedir en tot moment que qualsevol persona no autoritzada
pugui accedir a ella.
En finalitzar la jornada laboral: les taules de treball han de quedar totalment
buidades de papers.
Si necessito imprimir la informació, què haig de tenir en compte?
Recorda recollir sempre de la impressora totes les còpies que hagis enviat a
imprimir.
Si, en la impressora, hi trobes documents que no han estat recollits per altres
companys i desconeixes qui n'és el propietari, destrueix-los de forma segura
(veure apartat "Destrucció segura de la informació").
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 10
PAS 3. ENVIAMENT SEGUR DE LA INFORMACIÓ
Qualsevol tipus d'informació s'ha d'enviar a través d'un canal de comunicació segur.
Què és un canal segur?
Un canal de comunicació segur és aquell que permet transmetre la informació entre
l'emissor i el receptor sense que pugui ser interceptada per terceres persones.
Puc enviar informació confidencial i interna per correu electrònic?
El correu electrònic no és un canal segur. Has d'evitar annexar informació
confidencial o interna a correus electrònics amb destinataris no corporatius.
Com a alternativa, el Grup CaixaBank disposa de l'eina Sendfile per a l'intercanvi de
fitxers, que proporciona:
Una opció segura per a l'enviament de correus amb annexos
confidencials/interns.
Una opció segura per a l'intercanvi de grans volums d'informació.
Accés a Sendfile
Des de CaixaBank:
Terminal Financer > Oficina > Serveis
per a l'oficina > Sendfile
CaixaApps > App "Premsa i accessos
directes" > Configurar > Seleccionar
accés directe Sendfile
Actualitat > Menús > Eines > Sendfile
Des del portal SilkPlace:
Accés directe a Sendfile a la pàgina
principal de SilkPlace
Com he d'enviar informació confidencial en paper?
La informació confidencial i interna en paper ha de donar-se sempre en mà al seu
destinatari, o bé pel sistema de missatgeria interna de cada empresa.
Recorda:
El correu electrònic no és un canal segur. Per a l'intercanvi d'arxius confidencials
pots utilitzar Sendfile o els mecanismes homologats per l'empresa.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 11
PAS 4. DESTRUCCIÓ SEGURA DE LA INFORMACIÓ
Qualsevol tipus d'informació s'ha d'enviar a través d'un canal de comunicació segur.
Informació en paper
Has destruir la informació de manera que no pugui ser reconstruïda. Sempre que
sigui possible, cal utilitzar una trituradora de paper.
Informació en suport electrònic
La destrucció segura de la informació en suport electrònic s'ha de realitzar d'acord
amb les següents normatives:
Norma 55 → Servei de distribució de carteria en els serveis centrals.
Norma 111 → Arxiu físic i digital. Prescripció i destrucció de la documentació.
Norma 247 → Tractament de la gestió de residus.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 12
La teva millor defensa és la prevenció... Curar és dificilíssim!
Un cop es produeix una fugida d'informació és molt difícil recuperar la reputació
perduda. Per això cal que paris molta atenció als 4 passos que t'hem explicat:
classifica, emmagatzema, envia i destrueix la informació de forma segura.
Classifica sempre la informació de forma segura. Utilitza sempre les plantilles
corporatives de documents i/o l'etiquetatge corporatiu.
En quins moments haig de tenir especial cura de no divulgar informació
confidencial?
En respondre a correus electrònics o trucades de persones alienes a
l'organització.
També en seminaris, reunions o esdeveniments en els quals participis.
Comentaris en veu alta en llocs públics.
Durant la jornada laboral, para especial atenció als documents en paper que
continguin informació de negoci del Grup CaixaBank.
Finalitzada la jornada laboral, has de buidar totalment la taula de treball de
papers, i aquests, guardar-los sota clau.
Recorda sempre recollir en la impressora les còpies que hagis enviat a imprimir.
Si hi trobes documents que no han estat recollits per altres companys,
destrueix-les si no saps qui n'és el propietari.
COM PROTEGIR EL TEU NOM D'USUARI I LA TEVA CONTRASENYA
Per accedir als sistemes d'informació del Grup CaixaBank és necessari utilitzar un
nom d'usuari i una contrasenya.
Protecció de contrasenyes
No comparteixis els teus noms d'usuaris ni les teves contrasenyes corporatius; no els
deixis a la vista de tots ni en llocs fàcilment accessibles.
Protegeix aquestes claus igual que protegiries la teva clau d'accés a banca
electrònica o qualsevol altra dada secreta.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 13
Responsabilitat
Ets responsable del que es faci amb el teu nom d'usuari i la teva contrasenya. No els
comparteixis amb ningú, ja que qualsevol acció realitzada amb el teu nom d'usuari
i la teva contrasenya et serà atribuïda.
A més, compartir les teves claus personals suposa un incompliment de la normativa
del Grup CaixaBank.
Recomanacions per tenir una contrasenya segura
La contrasenya ha de ser personal i intransferible.
Evita apuntar les teves contrasenyes, fes servir gestors de contrasenyes per
guardar-les xifrades i recordar-les.
No utilitzis contrasenyes que continguin informació personal (nom de mascota,
data de naixement...).
No facis servir la mateixa contrasenya per a l'entorn professional i el personal.
No triïs contrasenyes que continguin paraules (encara que sigui en un altre
idioma).
La longitud de la contrasenya corporativa és de 8 caràcters alfanumèrics,
combinant majúscules, minúscules i números.
Canvia la teva contrasenya regularment.
Complexitat i reutilització de la contrasenya
Recorda que, en els nostres sistemes:
Quan canviïs de contrasenya, no podràs utilitzar les 10 últimes contrasenyes que
hagis utilitzat anteriorment.
Si introdueixes 6 vegades una contrasenya errònia, el teu nom d'usuari queda
suspès, és a dir, no podràs entrar al sistema fins que un administrador et restauri
la contrasenya.
Si no accedeixes al sistema durant 90 dies, el nom d'usuari també quedarà
suspès.
Una contrasenya restaurada s'ha de modificar en el termini de 48 hores. Passat
aquest termini, el nom d'usuari es tornarà a suspendre i serà necessari tornar a
restaurar la contrasenya.
Les contrasenyes hauran de canviar-se com a màxim cada 6 mesos. El sistema
t'avisarà quan sigui el moment.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 14
Trucs per crear una contrasenya segura i fàcil de recordar
1. Forma una frase-contrasenya. Per exemple, "al bar de Joan posen tapes a 3
euros"; utilitzant la primera lletra de cada paraula, surt "abdJpta3e".
2. Combina dues paraules i crea una altra alternant les seves lletres. Per exemple,
amb "Bigotis" i "Encenedor", la teva nova contrasenya podria ser
"BEingcoetniesdor".
3. Substitueix lletres per números. Per exemple, la clau anterior "BEingcoetniesdor"
es converteix en: "B31ngc03tn13sd0r".
4. Sense vocals. Per exemple, la contrasenya anterior és: "Bngctnsdr".
5. Combina paraules i números que tinguin els mateixos caràcters. Per exemple,
utilitzant "Bigotis" i 28921. El truc està a anar col·locant les lletres una a una,
intercalant les xifres del número però al revés: "B1i2g9o8t2is".
Per a més informació sobre contrasenyes, consulta la Norma 66: Seguretat
informàtica.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 15
EQUIPS INFORMÀTICS
Ara que ja sabem com protegir la informació, vegem com protegir els equips
informàtics (portàtils, smart PC, tablets, mòbils, etc.) que utilitzem per accedir a
aquesta informació.
PORTÀTILS, SMART PC I ESTACIONS DE TREBALL FIXES
Tots els dispositius facilitats als empleats són propietat del Grup CaixaBank.
Com a empleat tens a la teva disposició els mitjans i equips informàtics per a l'estricte
i exclusiu desenvolupament de la teva tasca professional. Per tant, aquests mitjans
no són adequats en cap cas per a un ús personal o extraprofessional, segons
s'estableix en el Codi de Conducta Telemàtic.
Important:
Ets responsable del seu ús correcte, així com de la generació i custòdia de les
contrasenyes necessàries per protegir-los.
INSTAL·LACIÓ DE PROGRAMES
Important:
No està permesa la instal·lació d'altres programes diferents dels que et facilita el
Grup CaixaBank.
En cas que en necessitis algun i no estigui disponible, has de sol·licitar-lo a través dels
canals establerts per l'empresa, que n'autoritzaran i en supervisaran la instal·lació.
ÚS DE MEMÒRIES USB I ALTRES DISPOSITIUS EXTRAÏBLES
Quan un USB passa d'un ordinador a un altre, pot infectar-se amb virus i malware.
Si introdueixes una memòria infectada en el teu ordinador, el virus pot passar al
teu equip.
També, a través d'un USB, ens poden instal·lar un programa maliciós en el nostre
ordinador, amb conseqüències com: infectar-nos l'equip, xifrar la informació i
demanar un rescat, bloquejar-ne l'accés, etc.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 16
Encara que ha d'evitar-se l'ús d'USB, quan sigui imprescindible utilitzar-lo pots llegir
la informació de l'USB però no pots gravar informació en aquests dispositius, per
evitar possibles fugides d'informació degudes a la seva pèrdua o al seu robatori.
Per tot el que s’ha exposat anteriorment, si no és imprescindible, defuig de
connectar cap dispositiu extern al port USB del teu ordinador.
Important:
Si trobes un dispositiu USB per casualitat en les instal·lacions del Grup CaixaBank o
en qualsevol altre lloc, desconfia! No el connectis mai al teu ordinador
professional o personal. Sempre tens l'opció d'enviar qualsevol USB sospitós per
cartera interna a 9722 (Seguretat de la Informació).
Encara que porti el logotip corporatiu, no te'n refiïs!
La teva intenció és bona i el hacker ho sap. Tal vegada connectis l'USB al teu
ordinador amb bona intenció, per saber la seva procedència i tornar-lo al seu
propietari. Evita córrer aquest risc.
De vegades, la curiositat pot més que la seguretat i connectes l'USB per veure
què conté o si pots "reciclar-lo" per guardar les teves coses. No ho facis, no
t'arrisquis.
Si et porta l'USB un client conegut per una raó justificada, llavors pots connectar-
lo.
Alguns aspectes clau que has de recordar...
Per accedir als teus dispositius de treball, has d'introduir el teu nom d'usuari i la
teva contrasenya. No comparteixis mai aquestes claus amb altres persones.
Cada empleat compta amb el seu propi nom d'usuari i la seva contrasenya i són
d'ús personal i intransferible.
Si disposes d'un ordinador portàtil o smart PC, sigues discret quan l'hagis d'utilitzar
en llocs públics i evita que persones alienes puguin veure la teva pantalla.
No deixis desatesos els teus dispositius de treball.
Si et roben o perds el portàtil o l'smart PC, canvia totes les contrasenyes que
utilitzaves. A més, has de comunicar aquest incident al teu responsable directe.
Assegura't de bloquejar l'equip quan no el facis servir o davant de qualsevol
absència, per breu que sigui.
Per bloquejar ràpidament el teu equip Windows, prem en el teclat el logotip de
Windows i la lletra L de manera simultània.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 17
Per saber-ne més:
Si vols ampliar la informació sobre l'ús de l'estació de treball fixa i dels portàtils,
pots consultar la norma de seguretat de la teva empresa.
Norma 66: Seguretat informàtica de CaixaBank
SMARTPHONES, TABLETS I MÒBILS
Els dispositius mòbils permeten emmagatzemar gran quantitat d'informació
confidencial: noms, telèfons, adreces, documents, correus electrònics...
La reduïda grandària d'aquests dispositius augmenta la probabilitat de pèrdua o
robatori. Per això resulta imprescindible adoptar unes mínimes mesures de seguretat,
per tal de protegir l'accés no autoritzat a la informació.
POLÍTICA DE SEGURETAT DE DISPOSITIUS MÒBILS
La política de seguretat del Grup CaixaBank en dispositius mòbils contempla les
següents mesures:
No emmagatzemis informació confidencial en dispositius que no hagin estat
proporcionats i homologats pel Grup CaixaBank, ja que aquests disposen de
mesures de xifrat.
Utilitza una contrasenya d'accés que compti amb caràcters numèrics i contingui,
almenys, 6 caràcters.
En cas d'equivocar-te 10 vegades en introduir la contrasenya, s'esborraran totes
les dades del dispositiu (formateig).
El dispositiu es bloquejarà automàticament després d'un màxim de 10 minuts
d'inactivitat.
CONNEXIONS WIFI, BLUETOOTH, GPS, NFC I DADES
Important:
Tu ets clau per protegir la informació de les teves dispositius de treball.
Els dispositius mòbils solen tenir instal·lats diferents tipus de connectivitat sense fils (wifi,
bluetooth...) i serveis d'ubicació (GPS, geolocalització).
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 18
Mantenir aquestes opcions de connectivitat sempre activades suposa un risc de
seguretat. Per això, es recomana activar-les únicament quan sigui necessari.
Connecta amb seguretat
1. Bluetooth, wifi, GPS... Activa’ls només quan sigui imprescindible. Si no els
apagues mai, la teva privacitat està exposada.
2. No et connectis mai a una xarxa wifi pública, per exemple, les de
cafeteries, d'aeroports, de biblioteques... Mai saps qui pot estar "escoltant"
el que envies i reps.
3. Pren precaucions si et connectes a xarxes wifi desconegudes i/o gratuïtes.
Si no tens més remei que connectar-te a una xarxa d'aquest tipus, evita
teclejar dades confidencials com usuaris, contrasenyes, targetes de crèdit,
etc., i no instal·lis apps.
4. Desactiva els ajustos automàtics de recerca de xarxes wifi per evitar que
el teu mòbil, la tablet o el portàtil es connectin a xarxes no segures.
5. No guardis informació professional en cap dispositiu aliè a l'empresa.
6. Parla per telèfon amb precaució sobre temes confidencials, no només per
les persones que podrien estar escoltant, sinó perquè el teu interlocutor
podria gravar la conversa. Els nous dispositius mòbils tenen gran capacitat
per gravar so i imatge de manera totalment inadvertida.
7. Controla el teu dispositiu en tot moment per evitar el robatori o la pèrdua
del mateix.
8. Si et roben o perds el dispositiu, canvia totes les teves contrasenyes
d'accés i comunica immediatament el fet a "Consultes seguretat
informàtica" (seguridad.informatica@caixabank.com).
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 19
RISCOS DEL CORREU ELECTRÒNIC
El correu electrònic i internet són eines fonamentals i d'ús exclusiu per a la teva feina
diària. T'explicarem com protegir la informació quan et connectes a la xarxa i quins
són els riscos més habituals.
TIPUS DE CORREU ELECTRÒNIC IL·LEGÍTIM
El correu electrònic a disposició dels empleats és un instrument bàsic destinat a la
prestació dels serveis professionals, i una eina el bon ús de la qual contribueix a
millorar l'activitat diària.
És propietat del Grup CaixaBank, i com a tal ha de ser utilitzat amb finalitats
professionals.
Hi ha dos tipus de correu electrònic il·legítim:
Spam (Correu brossa). L'spam són tots els correus no sol·licitats que no tenen
cap interès per a qui els rep. Normalment, tenen una finalitat comercial i/o
publicitària.
Phishing. El phishing són correus electrònics que suplanten una empresa,
entitat o servei per instar-te a obrir un fitxer o annex adjunt o clicar sobre un
enllaç sota qualsevol pretext. Si cliques, s'intentarà instal·lar un malware, que
és precisament el que persegueix el hacker.
El phishing és encara més perillós i efectiu quan apunta un objectiu específic,
especialment a un empleat amb accés a la informació que més interessa al
hacker. En aquest cas es diu spear phishing o phishing dirigit.
Sabies que...?
Destaquen els correus que suplanten bancs, mitjans de pagament i botigues
online, per robar diners i/o dades bancàries (claus d'accés, número de targeta,
etc.).
El phishing més comú es propaga a través del correu electrònic, encara que
qualsevol sistema que permeti l'enviament de missatges pot ser utilitzat per intentar
robar la nostra informació personal: correus electrònics, missatges SMS o MMS
(smishing), aplicacions de missatgeria instantània (WhatsApp), xarxes socials
(Facebook, LinkedIn...) i fins i tot trucades telefòniques convencionals.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 20
PRINCIPALS RISCOS DEL CORREU ELECTRÒNIC
Els principals riscos d'atendre correus il·legítims són:
Suplantació d'identitat.
Robatori del nom d'usuari i de la contrasenya.
Accés al teu compte bancari.
Robatori de dades confidencials, per exemple, targeta de crèdit.
Pèrdua de privacitat.
Descàrrega de programes maliciosos (virus i malware).
Important:
És fonamental que sàpigues reconèixer els correus electrònics il·legítims i
reaccionar correctament si els reps.
COM DETECTAR SI UN CORREU ÉS IL·LEGÍTIM
Fixa't en el remitent i sospita si:
És desconegut. També si és conegut, però no ho esperaves.
Té un domini estrany (per exemple, caxiaban.com).
A l'adreça, hi apareix un nom que coneguis, però amb canvis de lletres que
poden passar desapercebuts.
Fixa't en l'enllaç, si n'hi ha:
Col·loca el cursor damunt de l'enllaç per veure l'adreça web completa.
Atenció: pot semblar legítima i en realitat ser falsa.
Compte si demana descarregar un fitxer per veure'l.
Desconfia de les adreces URL escurçades
Sabies que...?
Les adreces URL, és a dir, les adreces de pàgines web i enllaços, poden "amagar-
se" fent-les més curtes. Els hackers usen diverses eines per escurçar-les i amagar
així adreces malicioses.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 21
Desconfia de les adreces escurçades com la de la imatge:
Per descobrir el que amaguen els enllaços escurçats es pot fer servir un servei com
Unshorten. Només has d'introduir l'adreça escurçada a la casella, prémer en el
quadre blau "Unshorten.it!" i apareixerà a sota l'adreça sencera real.
Fixa't en els arxius adjunts: tingues molta cura abans d'obrir qualsevol annex que
sembli sospitós.
Fixa't en els missatges amb salutacions impersonals o sense direcció al camp "Per
a" del missatge.
Fixa't si et demana que facis alguna cosa amb urgència i t'amenaça amb
quelcom negatiu si no ho fas.
Fixa't si et sol·licita dades personals amb la finalitat que revelis contrasenyes o
dades confidencials com ara informació financera o comptes bancaris.
Compte amb les ofertes: si sembla massa bo per ser veritat, és un parany
(descomptes, regals, oportunitats, promeses, premis...).
Redacció: acostuma a ser rara i amb errades ortogràfiques, encara que no
sempre.
Recorda:
Com ja saps, els bancs mai demanen dades confidencials als seus clients per
correu electrònic:
Urgència Amenaça Enllaç Adjunt Promesa
Si estan a l'e-mail, sospita. Aquestes són algunes de les pistes més comuns del
phishing, però recorda que un missatge amb alguna d'aquestes característiques
no és necessàriament perillós o un intent de phishing.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 22
COM ACTUAR DAVANT UN CORREU SOSPITÓS
Important:
Si sospites, no facis clic sobre cap enllaç, no responguis ni obris cap adjunt
Reporta el correu electrònic sospitós utilitzant el botó "Reportar PHISHING" que veuràs
a la barra superior del panell principal d'Outlook:
Si no trobes aquest botó al teu Outlook, és una incidència. Reporta-la al call center
i envia el correu sospitós a la BÚSTIA POSSIBLE PHISHING:
posible.phishing@caixabank.com.
Si el botó no està disponible al dispositiu utilitzat i/o si gestiones el correu des del teu
smartphone corporatiu, la recomanació és que ho reenviïs a la BÚSTIA POSSIBLE
PHISHING: posible.phishing@caixabank.com
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 23
Per no caure en el parany del phishing, recorda:
PHISHING CORPORATIU: SEMBLA DE L'EMPRESA, PERÒ NO HO ÉS
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 24
El phishing corporatiu consisteix en missatges de correu electrònic que imiten correus
que podries rebre de la teva empresa o dels teus contactes professionals
(proveïdors, col·laboradors, formadors ...).
El ciberdelinqüent investiga la teva empresa a internet i prepara missatges de
temàtica corporativa: recursos humans, voluntariat, convocatòries per a
esdeveniments, operativa de negoci, comunicacions de directius...
Aquest tipus de phishing s'aprofita de l'empatia, l'amistat i el desig d'ajudar a
companys, caps o clients, per fer-te caure en el parany.
Un exemple habitual de phishing corporatiu és el frau del CEO (sigles de Chief
Executive Officer, director general), que suposa la suplantació d'identitat d'un
directiu per sol·licitar, per exemple, una transferència o la revelació de dades
confidencials. Pots veure'n exemples més endavant.
Sabies que...?
Corporatiu sembla, phishing és.
Què millor disfressa per a un delinqüent que un aparent correu corporatiu?
EL FRAU DEL CEO: EL SUPERIOR IMPOSTOR
El ciberdelinqüent investiga la teva empresa a internet (web, xarxes socials...). Tria a
una persona del teu entorn professional per arribar a tu. Amb freqüència es tracta
del teu cap o d'un superior, per facilitar que segueixis les instruccions.
Redacta un correu fent-se passar per aquesta persona i et demana que realitzis amb
urgència alguna acció, com ara una transferència, ingressar una factura, enviar
informació sensible, descarregar un document o fer clic en un enllaç.
És probable que insisteixi que ho facis ràpid, ja que potser així et saltaràs els
procediments de seguretat.
Important:
Abans de res, confirma sempre per un altre canal (telèfon, si por ser) que tant el
remitent com la petició són autèntics.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 25
INTERNET I XARXES SOCIALS
Sens dubte, internet és una eina molt útil en la nostra feina diària, però la xarxa
també oculta riscos que poden comprometre la seguretat de la informació.
T'expliquem com navegar de forma segura i com protegir-te en xarxes socials.
ÚS D'INTERNET
Per saber-ne més:
En el Codi de Conducta Telemàtic s'hi estableixen les normes sobre el bon ús dels
mitjans tècnics i informàtics propietat del Grup CaixaBank, que aquest posa a la
disposició dels seus empleats.
NAVEGA AMB PRECAUCIÓ
La navegació que facis a través dels equips informàtics corporatius ha d'obeir a
fins professionals.
No accedeixis en cap cas a adreces d'internet de contingut ofensiu o
atemptatori contra la dignitat humana o els drets fonamentals.
Abans d'utilitzar informació procedent d'internet, comprova acuradament si
aquesta informació està protegida per les lleis de la propietat intel·lectual o
industrial.
COMPROVA SI UNA WEB ÉS LLEGÍTIMA
Comprova si la web en la qual estàs és realment la que diu ser. És la veritable web
de CaixaBank, CaixaBank-Now (antiga Línia Oberta), Apple, PayPal o Amazon?
Fixa't en aquests detalls:
Comprova que l'adreça web estigui ben escrita, sense errors o lletres canviades
d'ordre. Atenció, el canvi pot ser mínim. Els ciberdelinqüents poden suplantar
pàgines web (especialment de bancs, xarxes socials, serveis de pagament i
botigues de compres/subhastes online) utilitzant adreces web molt similars i
copiant a la perfecció el seu disseny per fer-les més creïbles. Cal parar esment a
petites modificacions en el nom de l'empresa, com per exemple: lacaxia.es en
lloc de lacaixa.es.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 26
Procura escriure directament la URL o adreça web al navegador, en lloc
d'arribar-hi a través d'enllaços disponibles des de pàgines de tercers o correus
electrònics.
En pàgines web que sol·licitin la introducció de credencials, dades personals o
informació confidencial (com xarxes socials, serveis de pagament, banca digital
o botigues de compres/subhastes online), fixa't en què l'adreça de l'enllaç
comenci per HTTPS, encara que això no és suficient perquè el certificat pot no
ser vàlid.
La barra de navegació pot mostrar http o https. En el segon cas, vol dir que la web
va xifrada i, per tant, un tercer no pot accedir.
A més, si fas clic a la icona del cadenat, al costat de la URL, obtindràs més informació
sobre el certificat del lloc.
Recorda:
Tot i que una web tingui comunicació xifrada (https), no es garanteix que sigui
segura.
Compte! HTTPS no és sinònim de seguretat.
Per minimitzar el risc, comprova si la barra de navegació està en color verd.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 27
Això significa que el certificat que permet la comunicació xifrada és correcte, i que
la pàgina web és de l'entitat que diu ser. No obstant això, això no vol dir que, si la
barra no és verd, la pàgina no sigui legítima. Simplement hi ha un risc potencial i
hauries de prendre alguna precaució més, com les que indica l'article Aprenent a
verificar la legitimitat d'un lloc web.
CUIDA LA TEVA INFORMACIÓ PERSONAL
Moltes pàgines web sol·liciten dades personals en el moment de registrar-se, com
per exemple:
Nom.
Telèfon.
Edat.
Professió.
Adreça de correu electrònic.
No facilitis mai el correu electrònic corporatiu quan ho facis en una web, excepte
quan sigui necessari per realitzar la teva activitat professional (per exemple, per
inscriure't a un curs professional o a una publicació relacionada amb la teva
activitat).
XARXES SOCIALS
Per què no puc fer servir xarxes socials i/o aplicacions no corporatives en l'empresa?
La facilitat de compartir informació a les xarxes socials i/o eines col·laboratives que
tenim disponibles a internet (blogs, per exemple) converteix aquestes aplicacions en
autèntiques amenaces per a la protecció de la informació confidencial.
Una vegada comparteixes la informació en aquestes aplicacions, aquesta
informació s'allotja en servidors externs i el Grup CaixaBank perd la possibilitat
d'utilitzar mecanismes per protegir-la.
Puc comunicar-me amb clients i amb altres empleats a través de les xarxes socials o
d'aplicacions no corporatives?
No has d'emprar aquest tipus de plataformes per comunicar-te amb els teus clients
o amb altres empleats.
El Grup CaixaBank posa a la teva disposició eines corporatives segures per
intercanviar informació...
Amb clients: correu electrònic, Sendfile...
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 28
Amb altres empleats: sistemes de missatgeria instantània com Skype/Lync.
8 claus de seguretat en xarxes socials
1. Configura les opcions de privacitat del teu perfil (fotos, amics, ubicació,
permisos...). Revisa-periòdicament ja que les condicions de privacitat de
les xarxes canvien.
2. Utilitza el teu correu electrònic personal, i no professional, en xarxes d'ús
personal. Facilitaràs que els teus contactes personals puguin localitzar-te
en elles.
3. Fes servir contrasenyes fàcils de recordar però difícils d'endevinar. Bones
contrasenyes són les que combinen lletres, números, majúscules, signes de
puntuació i altres símbols. No facis servir la mateixa per a tot.
4. Habilita la verificació en dos passos i les alertes d'inici de sessió. Així
dificultes o impedeixes que persones estranyes accedeixin al teu compte,
fins i tot si aconsegueixen la teva contrasenya.
5. No acceptis invitacions ni sol·licituds d'amistat de ningú sense verificar
abans la seva identitat. Comprova que els teus contactes són realment
qui diuen ser. No facilitis dades personals als teus nous amics virtuals.
6. Per iniciar una conversa has de saber amb certesa amb qui t'estàs
comunicant. Si no ho pots verificar, sigues prudent amb la informació que
ofereixes (especialment les teves dades personals).
7. No comparteixis dades personals o imatges íntimes per xat. Aquesta
informació podria estar a l'abast de persones desconegudes.
8. A les xarxes socials res s'oblida, res s'esborra i tot deixa rastre. No
comparteixis res que no vulguis que es faci públic. Una vegada que
publiquis informació a internet, perdràs el control sobre ella.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 29
ATACS D'ENGINYERIA SOCIAL
Fins aquí els riscos d'internet com a canal d'atac, però les amenaces a la seguretat
van molt més enllà de la xarxa. L'enginyeria social és una de les tècniques d'atac
més utilitzades en l'actualitat, sobretot per obtenir informació confidencial dels
empleats d'una empresa.
Així t'ataca l'enginyeria social, i així pots defensar-te...
QUÈ ÉS L'ENGINYERIA SOCIAL?
L'enginyeria social és un tipus d'atac que consisteix a enganyar a un empleat per
aconseguir la informació que aquest posseeix o a la qual té accés, precisament
per la seva condició d'empleat.
Hi ha diverses tècniques per manipular de forma intel·ligent a les persones, tècniques
que es basen en 4 principis bàsics del comportament humà:
Un tipus d'atac habitual consisteix a fer-se passar per una altra persona davant un
empleat per recaptar informació.
Acostuma a realitzar-se per correu electrònic, però també per telèfon, USB,
missatgeria instantània (WhatsApp) o fins i tot en persona.
Important:
Tots podem ser víctimes d'un atac d'enginyeria social. Conèixer el risc és la millor
manera de prevenir-lo.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 30
QUINS OBJECTIUS PERSEGUEIX L'ENGINYERIA SOCIAL?
Els guanys financeres són la motivació principal dels atacs. Altres possibles finalitats
són els avantatges competitius, la venjança i també:
Esbrinar dades d'usuaris i contrasenyes.
Obtenir documentació sobre alguna operació estratègica del Grup CaixaBank.
Aconseguir correus d'alguna persona vip (coneguda) i simular que es posa en
contacte per comentar algun assumpte sobre el seu patrimoni.
Accedir a informació d'avaluació d'empleats.
Aconseguir un informe tècnic sobre infraestructura tecnològica important.
Obtenir documentació sobre fases d'un projecte amb diferents proveïdors.
Aconseguir informació pressupostària rellevant.
Sabies que...?
Objectiu: els empleats!
Els atacs d'enginyeria social s'adrecen a persones amb coneixement o accés a
informació de les empreses, o sigui... als empleats!
L'enginyeria social dissimula molt bé: de vegades, la informació que es demana
sembla innòcua, o suplanta a la perfecció la identitat d'un client, un superior, un
company o l'empresa.
QUÈ HAIG DE FER EN CAS DE DETECTAR UN POSSIBLE ATAC D'ENGINYERIA SOCIAL?
Important:
No facilitis cap tipus d'informació, fins i tot encara que no et sembli confidencial.
En cas de detectar un possible atac d'enginyeria social, comunica
immediatament la situació a través de la bústia "Consultes seguretat informàtica"
(seguridad.informatica@caixabank.com).
Recorda:
Davant els atacs d'enginyeria social, la millor defensa és estar formats en temes
de seguretat i atents a possibles enganys.
Desconfiança sempre activada!
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 31
Desconfiança sempre activada: davant qualsevol dubte, no facis clic a enllaços,
no obris annexos ni donis informació personal ni professional. No connectis USB
desconeguts. Si reps un correu sospitós, fes clic al botó "Reportar PHISHING".
Compte amb la informació personal i professional que publiques a internet: para
atenció a la teva configuració de seguretat. Desactiva l'opció de
geolocalització de les teves publicacions. Protegeix la teva privacitat.
El millor antivirus ets tu: els atacs d'enginyeria social poden eludir moltes mesures
de seguretat i enganyar tot tipus d'usuaris. Amb l'antivirus no n'hi ha prou per
neutralitzar-los, fes servir la prudència i el sentit comú.
CONTRACTES AMB TERCERS
Sovint, el Grup CaixaBank treballa amb tercers (proveïdors, col·laboradors, empreses
de treball temporal...) que presten certs serveis específics. Per a això, necessiten
accedir a informació confidencial, i hem de plasmar en un contracte les condicions
d'aquest accés. T'informem sobre els requisits d'aquests contractes.
Quan el Grup CaixaBank contracta a tercers (persones físiques o jurídiques) per a
una prestació de serveis que comprengui accés a informació, la relació de
col·laboració ha de reflectir-se en un contracte. Aquest contracte ha de recollir
detalladament les condicions d'accés a aquesta informació i el tractament de la
mateixa, si n'hi hagués.
L'empleat responsable del servei ha de vetllar perquè el proveïdor únicament tingui
accés a la informació estrictament necessària per a la realització de la seva feina.
És a dir, el proveïdor no pot utilitzar la informació a la qual accedeixi per a qualsevol
altra finalitat diferent de la prevista per la pròpia empresa, finalitat que, en qualsevol
cas, ha de respondre sempre a motius professionals.
Si ets el responsable d'un contracte amb tercers:
Adverteix a aquests tercers que, si incompleixen les normes de seguretat, el seu
contracte pot ser rescindit sense que tinguin dret a cap indemnització, i sense
perjudici del rescabalament per danys i perjudicis que els pugui reclamar
l'empresa.
Verifica que els empleats de les empreses que treballen sota aquest contracte
hagin signat l'acord de confidencialitat indicat en la clàusula de confidencialitat
del contracte.
Informa a aquests tercers que són responsables del possible mal ús que puguin
fer els seus empleats de la informació a la qual tinguin accés sota aquesta relació
contractual.
Per garantir la seguretat de la informació del Grup CaixaBank, s'ha d'adjuntar en els
contractes amb tercers un annex específic de requeriments de seguretat en
contractes amb tercers, disponible al portal de Seguretat de la Informació,
accessible des Menús > Directe a > Webs de Treball > Seguretat de la Informació.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 32
L'empleat que realitzi aquesta contractació tindrà la responsabilitat d'annexar els
diferents requeriments que s'apliquen a cada servei contractat. Per exemple, un
contracte per a un servei de destrucció de suports ha de complir uns requeriments
de seguretat en alguns casos diferents dels que s'apliquen en un contracte de, per
exemple, desenvolupament de programari.
Qualsevol persona que intervingui en el tractament de la informació dels diferents
sistemes d'informació del Grup CaixaBank està obligada a mantenir el secret
professional sobre aquesta informació, en compliment de la relació de
contractació.
Els models de contracte estan elaborades per Assessoria Jurídica i estan accessibles
des de: Portal Assessoria Jurídica > Contractació > Models de contractes amb
proveïdors.
Per saber-ne més...
Si desitges obtenir més informació sobre la contractació i el portal de Proveïdors,
pots consultar la Norma 87: Model de gestió pressupostària: pressupost, compres
i contractació de serveis, pagament de factures.
INCIDÈNCIES DE SEGURETAT
Què es considera incidència de seguretat? Què has de fer si detectes alguna? A
continuació, t'expliquem com identificar i reportar aquest tipus d'incidències.
COMUNICACIÓ DE LA INCIDÈNCIA DE SEGURETAT
Cada empleat ha de reportar totes les possibles incidències que puguin comportar
riscos en la seguretat de la informació.
Per al registre de la incidència, es necessari informar, com a mínim, de:
La data i l'hora aproximada en la qual es va produir la incidència.
El nom de la persona que comunica la incidència.
La descripció detallada de la incidència.
Si pot ser, afegir/adjuntar evidències de la incidència (captures de pantalla,
missatges...).
Important:
Davant d'una possible incidència de seguretat, envia un correu a la bústia
"Consultes seguretat informàtica" (seguridad.informatica@caixabank.com).
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 33
EXEMPLES D'INCIDÈNCIES DE SEGURETAT
A continuació, et mostrem alguns exemples d'incidències de seguretat que han de
ser reportades a la bústia "Consultes seguretat informàtica"
(seguridad.informatica@caixabank.com):
Sospita de malware (virus informàtic, cucs, troians, ransomware, etc.).
Funcionament anòmal del programari de seguretat corporatiu (antivirus, etc.).
Accés no autoritzat a la informació, per possibles causes com: suplantació de
l'usuari, vulnerabilitat de l'aplicació, ciberatac, etc.
Ús indegut dels permisos d'accés, de manera intencionada.
Accés no autoritzat a la informació per incompliment de polítiques de seguretat
com: taules netes; no bloquejar l'estació de treball; deixar informació
confidencial abandonada en impressores o damunt de les taules dels
col·laboradors fora de les hores laborables.
Filtració d'informació (intencionada o accidental).
Enviament per error de documentació amb informació confidencial a
destinataris incorrectes.
Robatori/Pèrdua d'equips, dispositius o suports (inclosos documents en paper).
Ús indegut dels recursos dels sistemes d'informació (per exemple, per violació de
les mesures de seguretat, mal ús o abús del correu electrònic, etc.). En aquest
cas, pots informar a qui correspongui mitjançant els circuits que trobaràs a la teva
disposició en el Codi de Conducta Telemàtic.
NORMATIVA Tema 12. Seguretat de la Informació
Tea Cegos, S.A. 2019 34
Si tens dubtes, connecta amb seguretat
InfoProtect és la marca associada a qualsevol contingut de conscienciació
relacionat amb la seguretat de la informació. Aquests són els nostres canals
informatius:
Web InfoProtect: Accés per Actualitat > Temàtic > InfoProtect. Entre altres
coses, hi trobaràs els materials de sessions presencials com ara "Furonejant
persones" (díptics, vídeos curts), articles i bones pràctiques.
Security News: el newsletter quinzenal d'InfoProtect. T'avisa de les últimes
amenaces i t'indica com protegir-te'n. Si encara no el reps, subscriu-t'hi
escrivint a infoprotect@caixabank.com.
Butlletí InfoProtect de l'app "AL DIA": tots hi estem subscrits. Notícies breus amb
alertes i consells d'actualitat.
Bústia InfoProtect: sempre disponible per a les teves idees i consultes sobre la
cultura de seguretat: infoprotect@caixabank.com.