Post on 01-Aug-2020
transcript
Normativa
Tema 5 Introducció a la seguretat
de la informació
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 2
ÍNDEX
CONFIDENCIALITAT DE LA INFORMACIÓ ............................................................ 3
CONTRASENYES ..................................................................................................... 6
CORREU ELECTRÒNIC NO DESITJAT ..................................................................... 9
DISPOSITIUS MÒBILS ............................................................................................ 14
NAVEGACIÓ WEB ............................................................................................... 16
XARXES SOCIALS I APLICACIONS NO CORPORATIVES .................................... 18
ÚS DE PC I PORTÀTILS .......................................................................................... 19
ENGINYERIA SOCIAL ........................................................................................... 20
CONCLUSIONS .................................................................................................... 22
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 3
CONFIDENCIALITAT DE LA INFORMACIÓ
Què pots considerar informació confidencial?
La informació que es fa servir a l'empresa és d'ús intern i propietat de l'empresa.
Qualsevol persona que utilitzi els sistemes d'informació de l'empresa està obligada
a mantenir el secret professional sobre aquesta informació en compliment de la
relació laboral establerta.
La informació pot ser especialment sensible quan conté els següents tipus de
dades:
Dades personals. És qualsevol dada que es pugui utilitzar per identificar,
contactar o localitzar a una persona en concret, mitjançant la dada en
concret o en combinació amb altres fonts d'informació. Això inclou, entre
d'altres:
- Nom, domicili i telèfon
- Números d'identificació (DNI, permís de conduir)
- Matrícula del vehicle
- Dades bancàries (transaccions del client)
- Fotografies on aparegui la cara
- Estat civil, data de naixement
- Lloc de treball, nivell de renda d'aquesta persona
- Historial mèdic
Dades de targetes de pagament
- Dades de la targeta de crèdit dels clients
Dades per a processos d'autenticació
- Tant de clients com d'empleats: números secrets, claus, PIN, etc.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 4
Dades restringides
- En general, qualsevol informació a la qual només hi ha d'accedir un
grup restringit de persones.
Aquesta informació és confidencial i únicament hi poden accedir les persones
autoritzades i prèviament identificades.
No facilitis mai aquesta informació a través de xarxes socials o per correu
electrònic fora de l'entitat.
Protegir la informació depèn de tu! És responsabilitat teva com a empleat
mantenir la confidencialitat de la informació amb la qual treballes. No pots
generar documents o informació en dispositius no controlats per l'empresa.
Implicacions legals i/o laborables de les fuites d'informació. El mal ús o la
divulgació accidental d'informació confidencial pot arribar a tenir implicacions
legals personals o en les teves relacions laborals.
Impacte en la imatge pública de les fuites d'informació. Un incident d'aquest tipus
pot arribar als mitjans de comunicació i afectar la imatge pública de l'empresa.
Com has de gestionar les dades de caràcter personal? Únicament pots facilitar
dades personals al seu propietari prèviament identificat.
No distribueixis informació fora dels sistemes de l'empresa.
Com has de treballar amb la informació?
1. Classificació de la informació. És obligatori que classifiquis totes les pàgines
d'un document en paper com a confidencials si la informació que conté és
confidencial? Sí, has de classificar totes les pàgines com a confidencials. A
més, és important que desis els documents en paper d'aquest tipus en una
carpeta que no mostri el seu contingut.
Sempre que treballis amb un document electrònic o en paper has de
comprovar si està classificat.
Si no està classificat, n'has de comprovar el contingut i classificar-lo tu.
Per defecte, tota informació que no estigui degudament classificada es
considerarà d'ús intern.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 5
Classifica sempre la informació
2. Emmagatzematge de la informació. Els documents en format paper mai
han de quedar desatesos.
On has de desar tota la informació confidencial que tens en format paper?
És necessari que desis tota la informació confidencial en format paper sota
clau, en armaris o arxivadors.
Pots desar informació en suports d'emmagatzematge extern (discos durs
extraïbles, memòries USB, DVD, CD)? No, tota la informació l'has
d'emmagatzemar en els sistemes d'informació de l'empresa.
Desa la informació en els sistemes d'informació de l'empresa.
3. Enviament de la informació. Qualsevol informació confidencial l'has
d'enviar-la per un canal segur.
Què és un canal segur? Un canal de comunicació segur és aquell en el
qual tota la informació que s'hi intercanvia únicament és accessible per a
l'emissor i el receptor que duen a terme la comunicació. Això és així perquè
aquest canal disposa d'una sèrie de mesures de seguretat que garanteixen
la confidencialitat.
Pots enviar informació confidencial per correu electrònic? No. En cas que hi
hagi una necessitat ineludible, consulta el teu responsable.
Com has d'enviar informació confidencial en paper? T'has d'assegurar-te
que la informació confidencial en paper es lliuri sempre en mà al seu
destinatari.
Envia la informació de manera segura.
4. Destrucció de la informació. Què vol dir la destrucció segura d'informació
en format paper? Has de destruir la informació de manera que no es pugui
reconstruir. Si és possible, has d'utilitzar una trituradora de paper.
Destrueix la informació de manera segura
La nostra millor defensa és la prevenció… Val més curar-se amb salut! Un cop que
s'ha produït una fuita d'informació, és molt difícil recuperar la reputació perduda.
Roman atent als 4 passos: Classifica, Emmagatzema, Envia i Destrueix la informació
de manera segura.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 6
En quins moments has de ser especialment curós i no divulgar informació
confidencial?
Quan responguis a correus electrònics o facis trucades a persones alienes a
l'organització i en seminaris, reunions o fires en les quals hi participis.
Comentaris en veu alta en llocs públics.
Durant la jornada laboral, cal que posis especial atenció a tots els
documents en paper que continguin informació de negoci de l'empresa.
Al final de la jornada laboral, les taules de treball han de quedar totalment
buides de papers. No oblidis recollir sempre de la impressora les còpies dels
documents que hagis enviat a imprimir.
Si a la impressora hi trobes documents que no han estat recollits per altres
usuaris, destrueix-los si no saps qui n'és el propietari.
CONTRASENYES
COM HAS DE PROTEGIR EL TEU USUARI I CONTRASENYA
De la mateixa manera que no has de compartir usuaris i contrasenyes; tampoc no
les has de deixar a la vista de tothom ni fàcilment accessibles.
Les has de protegir de la mateixa manera que protegiries el teu compte bancari i
la targeta que et permet obtenir reintegraments.
Ets responsable de tot allò que es faci amb el teu usuari i contrasenya. Si
comparteixes el teu usuari i contrasenya estaràs incomplint la normativa de
l'empresa.
Si comparteixes la teva contrasenya comparteixes la teva identitat. Si l'altra
persona comet algun tipus de frau o error fatal, tu seràs considerat responsable,
perquè són el teu nom i cognoms els que estaran associats a aquesta
transacció. No serà possible saber quines coses has fet tu i quines coses ha fet
l'altra persona.
Si escrius la teva contrasenya en una nota adhesiva o la deses al teu mòbil, els ho
estàs posant molt fàcil “als dolents”. És important protegir les contrasenyes i ser
conscients dels possibles atacs que es podrien perpetrar si algú utilitzés amb mala
intenció el teu usuari i contrasenya. El millor que pots fer és memoritzar-la.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 7
COMPLEXITAT I NO REUTILITZACIÓ DE CONTRASENYES
Un atac molt comú és intentar endevinar una contrasenya utilitzant informació de
l'usuari: nom de familiars, mascotes, ciutats, dates assenyalades…
Un error molt comú és utilitzar la mateixa contrasenya per a diferents accessos.
Pensa en tots els llocs on entres amb la mateixa contrasenya: sistemes
d'informació, xarxes socials, webs, aplicacions. Què passarà si alguna d'aquestes
aplicacions es veu en una situació crítica i es publiquen les contrasenyes de tots els
usuaris? Passarà que hauràs de canviar la teva contrasenya de la manera més
ràpida possible a totes les aplicacions que hem esmentat anteriorment, perquè el
primer que faran “els dolents" serà comprovar en quants llocs més utilitzaves també
aquesta contrasenya.
L'atac més utilitzat per esbrinar contrasenyes és intentar-ho amb totes les
possibilitats mitjançant programes automatitzats. Començar amb aaaa, després
aaab, continuar amb aaac…
És fàcil entendre que com més longitud tingui la contrasenya i més tipus de
caràcters contingui (majúscules, números) més difícil serà d'esbrinar.
Existeixen llistes de contrasenyes freqüents que utilitzen els atacants i solen donar
molt bon resultat. Alguns exemples són: I love you, contrasenya, password, 1234,
123456, qwer… No facis servir mai aquest tipus de contrasenyes.
Recomanacions per tenir una contrasenya segura:
La contrasenya és personal i intransferible
No anotis les teves contrasenyes, memoritza-les
No utilitzis contrasenyes que continguin informació personal (el nom de la
teva mascota, data de naixement…)
No facis servir la mateixa contrasenya per a l'entorn professional i el
personal.
No triïs contrasenyes que continguin paraules (encara que siguin d'un altre
idioma)
Longitud de la contrasenya: mínim 8 caràcters alfanumèrics
La contrasenya ha de combinar, com a mínim: majúscules, minúscules i
números
Canvia la teva contrasenya regularment
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 8
Recorda que en els nostres sistemes:
Cada vegada que canviïs la contrasenya, no podràs fer servir les 3 últimes
que hagis utilitzat
No pots tornar a canviar la contrasenya si no han passat 24 hores des de
l'últim canvi
En cas que no canviïs la teva contrasenya amb regularitat, el sistema t'ho
recordarà perquè ho facis
Si introdueixes 6 vegades una contrasenya errònia, l'identificador d'usuari
quedarà suspès; és a dir, no podràs entrar al sistema fins que un
administrador et restableixi la contrasenya.
Si no accedeixes al sistema durant 90 dies, l'identificador d'usuari també
quedarà suspès.
Ajuda amb les contrasenyes. Podeu utilitzar frases que us ajudin a memoritzar les
contrasenyes. Un possible exemple de contrasenya seria: M3i4c3s!
En aquest cas hem buscat una anècdota personal i hem utilitzat la primera lletra
de cadascuna de les paraules que formen la frase i les hem canviat per números:
“M'encanta anar al camp el dissabte!”
e=3
a=4
Et convidem a utilitzar tècniques similars per aconseguir bones contrasenyes.
Per obtenir més informació sobre les contrasenyes, consulta la teva norma
interna de seguretat de la informació i, en cas de dubte, consulta les polítiques
de seguretat de la informació del Grup “la Caixa”.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 9
CORREU ELECTRÒNIC NO DESITJAT
SPAM o correu brossa, són tots els correus no sol·licitats que no tenen cap interès
per a qui els rep. Normalment tenen una finalitat comercial o publicitària.
Un dels tipus de correu brossa és el phishing o suplantació d'identitat. El phishing és
una activitat delictiva que consisteix en utilitzar correus electrònics manipulats per
robar dades d'identificació personal i credencials de comptes financers. Està
pensat per dur al consumidor cap a llocs web falsificats que l'enganyen perquè
lliuri informació confidencial.
Si fas clic en un enllaç d'un correu d'spam o phishing, estaràs en perill. Les
conseqüències poden ser:
Usurpació d'identitat
Robatori de les teves credencials (usuari i contrasenya)
Accés al teu compte bancari
Robatori de les dades de la teva targeta de crèdit o d'alguna altra dada
confidencial
Violació de la privadesa
Descàrrega de programari maliciós (virus i malware)
Les conseqüències per a l'entitat de fer clic en un enllaç d'un correu d'spam o de
phishing serien:
Afectació a la integritat i la disponibilitat dels sistemes informàtics de
l'empresa
Robatori de propietat intel·lectual
Exposició d'informació confidencial de clients
Pèrdua de confiança dels clients i dany a la marca
Descàrrega de programari maliciós (virus i malware)
És molt important que tots els empleats sapigueu reconèixer i respondre als
possibles atacs d'aquest tipus.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 10
Correus sospitosos:
Si es tracta d'un missatge no sol·licitat, tant si és un missatge instantani, de
text com de correu electrònic, aquest missatge no desitjat pot ser un intent
de phishing.
Sovint, els missatges de correu electrònic de phishing sol·liciten dades
personals amb la finalitat de tornar a validar contrasenyes o dades
confidencials, com ara informació financera o del compte bancari. Com ja
saps, l'empresa mai demana dades personals als seus clients per correu.
En gairebé tots els casos, als missatges de phishing s'urgeix l'usuari a actuar
immediatament o s'inclou algun tipus d'amenaça que busca espantar el
destinatari.
Has d'estar atent als missatges de correu electrònic amb salutacions
impersonals o sense adreça en el camp “Per a” del missatge. Vés amb
compte si no tens relacions comercials amb l'organització que
presumptament et contacta.
Els missatges de correu electrònic de phishing solen contenir errors
ortogràfics o gramaticals, o estan mal redactats, encara que els missatges
sense errors tampoc són garantia de seguretat.
Si l'enllaç que es mostra en el missatge i l'adreça que està incrustada no són
iguals, és un clar senyal que el missatge NO és segur. L'enllaç és el que es
veu en el correu i l'adreça es mostra passant-hi el ratolí per sobre sense fer
clic.
Els missatges que usen serveis externs d'abreviatura d'URL (com tinyurl.com o
bit.ly) també presenten un risc, perquè les adreces URL reals romanen
ocultes.
Aquesta llista inclou els indicis més comuns, però que un missatge tingui una
d'aquestes característiques no el converteix necessàriament en perillós o en
intent de phishing.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 11
ACTIVITAT
Pots trobar les 2 pistes que indiquen que aquest correu és sospitós?
Solució:
Pista 1. Amenaça en el text del missatge de correu
Pista 2. Errors ortogràfics
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 12
Pots trobar les 2 pistes que indiquen que aquest correu és sospitós?
Solució:
Pista 1. Salutacions impersonals (“L'enhorabona! El nostre Centre de Premis…”)
Pista 2. Sol·licitud de dades personals (“Accedir al seu compte”)
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 13
Pots trobar les 5 pistes que indiquen que aquest correu és sospitós?
Solució:
Pistes 1, 4 i 5. Errors ortogràfics
Pista 2. Salutació impersonal
Pista 3. Amenaça que busca fer por
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 14
En cap cas, no has de:
Obrir correus electrònics amb remitent desconegut i amb un títol aparent
d'un missatge no sol·licitat. Elimina aquests missatges de la bústia.
Obrir correus electrònics amb títol sospitós, tot i que procedeixin d'un
remitent conegut. Tingues en compte que el remitent d'un correu extern pot
ser suplantat amb facilitat. Per aquest motiu, abans de donar validesa al
contingut d'un correu electrònic sospitós, verifica-ho amb el remitent.
Executar fitxers annexos o fer clic sobre enllaços sospitosos, encara que el
remitent sigui una persona coneguda.
Respondre a correus que sol·liciten dades personals, per exemple, usuari i
contrasenya, encara que sigui a través d'enllaços continguts en el correu,
doncs podria tractar-se d'un cas de frau (phishing).
Reenviar correus amb contingut dubtós en els quals se sol·licita que se'n faci
un reenviament massiu.
Com has de respondre davant un atac de phishing? Envia la informació de la qual
disposis a l'adreça de correu: seguridad.informatica@lacaixa.es
DISPOSITIUS MÒBILS
Els dispositius mòbils (agendes electròniques, telèfons mòbils, tauletes, etc.)
permeten emmagatzemar una gran quantitat d'informació confidencial: noms,
telèfons, adreces postals, documents o correus electrònics en alguns casos.
Atesa la mida reduïda d'aquests dispositius, la probabilitat de perdre'ls o que siguin
sostrets és considerable. Per aquesta raó, és imprescindible adoptar unes mínimes
mesures de seguretat per protegir-nos de l'accés no autoritzat a la informació.
Els dispositius actuals solen disposar de connectivitat sense fil (wifi i Bluetooth):
Activa aquesta connectivitat únicament quan sigui necessari.
És molt important que apaguis la connexió un cop finalitzada la transmissió,
perquè no fer-ho suposa obrir una porta a un possible accés no controlat a
la informació.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 15
Sigues previngut en l'ús dels dispositius:
No desis informació en cap dispositiu que no sigui el que t'ha proporcionat
l'empresa.
Parla per telèfon amb precaució sobre temes confidencials, no només per
les persones al voltant que et podrien escoltar, sinó també perquè el teu
interlocutor podria enregistrar la conversa.
Les noves tecnologies permeten que un gran nombre de dispositius d'ús
quotidià disposin de capacitat de captació de so i, fins i tot, d'imatge i, per
tant, permeten l'enregistrament de converses o altres situacions de manera
que pot passar totalment desapercebuda.
Recorda tenir controlat el teu dispositiu mòbil en tot moment per prevenir
que s'extraviï o te'l robin. Durant els Jocs Olímpics de Londres es van perdre o
van robar 67.000 telèfons mòbils! Per tant, pensa que també et pot passar a
tu, perquè els dispositius mòbils són objectius preferents de lladres.
Pensa què pot succeir si perds o et roben el telèfon.
MESURES DE PREVENCIÓ
No et connectis mai a una xarxa wifi de cafeteries, aeroports, biblioteques…
Mai sabràs qui pot estar escoltant el que enviïs i reps.
Desactiva la modalitat “visible” del Bluetooth. No cal que vagis pel món
anunciant que acabes d'arribar!
No acceptis una connexió entrant Bluetooth desconeguda.
Canvia el codi PIN del Bluetooth. Els dispositius mòbils solen tenir un codi PIN
per al Bluetooth amb valors per defecte fàcils d'endevinar (0000, 1234…), de
manera que un altre dispositiu podria accedir fàcilment al teu.
Què faig si em roben el mòbil o el perdo?
Comunica immediatament la pèrdua o el robatori trucant al número
específic per a aquests casos.
Canvia la teva contrasenya d'accés.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 16
Protegir la informació depèn de tu
Roman atent als teus dispositius i segueix els consells que t'hem donat en aquest
tema.
NAVEGACIÓ WEB
Navega amb precaució!
Les connexions que es produeixin a través de la xarxa de l'empresa han
d'obeir a finalitats professionals.
En cap cas has d'accedir a adreces d'Internet de contingut ofensiu o que
atempta contra la dignitat humana o els drets fonamentals.
Abans d'utilitzar informació provinent d'Internet, comprova acuradament si
es troba protegida per lleis de propietat intel·lectual o industrial.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 17
Les connexions per https indiquen que:
La comunicació entre el teu ordinador i el servidor web és segura.
La informació que enviïs no es pot interceptar.
El servidor web disposa d'un certificat digital que garanteix la seva identitat.
Com a norma general, mai no s'han d'introduir contrasenyes en una pàgina web
d'Internet si la connexió no és "https".
Per comprovar que accedeixes a una pàgina web segura, busca la “s” darrere
d'http, així com la icona del cadenat.
Tingues cura de la teva informació personal. Moltes pàgines web sol·liciten dades
personals en el moment de registrar-se, com ara:
Nom
Telèfon
Edat
Professió
Adreça de correu electrònic
Pensa-t'ho molt bé abans de facilitar aquestes dades, perquè el més probable és
que comercialitzin amb elles.
No facilitis mai l'adreça de correu corporativa quan et registris a una pàgina web,
excepte quan sigui necessari per dur a terme la teva activitat professional.
Vés amb compte amb les pàgines que et demanen canvis en el teu ordinador.
Has de sospitar de qualsevol pàgina que et suggereixi fer un canvi en la
configuració del navegador o bé que sol·liciti el teu permís per executar un
programa.
No facis cap canvi ni executis els programes que no hagin estat homologats
prèviament per l'empresa.
Per obtenir més informació sobre la navegació web, pots consultar el codi
telemàtic de la teva empresa o el codi telemàtic del grup “la Caixa”.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 18
XARXES SOCIALS I APLICACIONS NO CORPORATIVES
Per què no pots usar xarxes socials i/o aplicacions no corporatives en l'empresa?
La facilitat de compartir informació a les xarxes socials i/o aplicacions que tenim
disponibles a Internet (blogs, wikis, missatgeria instantània, Twitter, Tuenti, Dropbox i
Facebook) converteix aquestes aplicacions en autèntiques amenaces per a la
protecció de la informació confidencial.
Una vegada que hagis compartit la informació en aquestes aplicacions, la
informació s'allotja en servidors externs i l'empresa ja no té mecanismes per
protegir-la.
Et pots comunicar amb els clients a través de les xarxes socials o aplicacions no
corporatives?
No, no les has d'utilitzar per comunicar-te amb els clients o entre empleats.
Si no et pots comunicar a través de les xarxes socials… Com et pots comunicar
amb ells?
Encara que no és possible l'ús de xarxes socials, l'empresa subministra els
recursos d'eines de col·laboració necessàries per al desenvolupament de les
tasques específiques de cada empleat.
Les eines de col·laboració que es posen a la disposició dels empleats són un
instrument bàsic destinat a la prestació dels serveis professionals, i el seu bon
ús contribueix a millorar l'activitat diària.
Com has d'actuar amb el teu compte personal a Facebook, Twitter o qualsevol
altra xarxa social?
No publiquis informacions que es puguin interpretar com el posicionament o
l'opinió de l'empresa.
Si observes un comentari o una publicació sobre algun aspecte de l'activitat
de l'empresa, no responguis directament.
No publiquis mai en una xarxa social, tant de manera pública com en un
missatge privat a un altre usuari, qualsevol dada (informació, fotos, vídeos…)
que coneguis a causa de la teva condició d'empleat de l'empresa.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 19
ÚS DE PC I PORTÀTILS
L'ordinador que et facilita l'empresa és una eina de treball i, com a tal, només s'ha
d'utilitzar per realitzar tasques professionals.
Ets responsable del seu ús correcte així com de la generació i custòdia de les
contrasenyes necessàries per protegir-los.
No es permet la instal·lació de programes diferents dels que et proporciona
l'entitat, perquè n'hi ha que aprofiten vulnerabilitats i poden modificar l'equip
instal·lant programari maliciós (malware) o programes espia.
Malware és un programa maliciós construït per aconseguir informació confidencial
o prendre el control de l'equip infectat.
En relació a les còpies de seguretat, desa la informació exclusivament en les unitats
habilitades per a aquesta finalitat en la teva estació de treball.
Si les deses en altres llocs, no es podran recuperar en cas de pèrdua.
Per obtenir més informació sobre l'ús dels PC i els portàtils, pots consultar la Norma
de seguretat de la teva empresa.
Consells:
No comparteixis el teu usuari/contrasenya amb altres persones. Cada
empleat disposa del seu propi usuari i contrasenya i és d'ús personal i
intransferible.
Si disposes d'un ordinador portàtil, sigues discret quan l'hagis d'utilitzar en
llocs públics. No el deixis desatès.
No deixis mai el portàtil al cotxe i encara menys en un lloc on sigui visible.
Assegura't de bloquejar l'ordinador quan no l'utilitzis. Si t'absentes, tanca la
sessió o fins i tot apaga'l.
Per evitar que ningú més utilitzi el teu ordinador quan no estiguis present, bloqueja'l.
Pots bloquejar ràpidament un ordinador, prement la tecla amb el logotip de
Windows i, a continuació, la lletra “L”.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 20
Què faig si em roben el portàtil o el perdo?
Comunica immediatament la pèrdua o el robatori al teu responsable
directe.
Canvia totes les contrasenyes que utilitzaves al portàtil.
Facilitat per compartir informació… però també per perdre-la o infectar-se amb
virus.
Mai hauries de desar informació confidencial en una memòria USB, atès que
és molt fàcil perdre-la (o que ens la robin). Recorda que simplement
esborrant el fitxer, la informació no es destrueix… i es pot recuperar.
Quan una memòria USB passa d'un ordinador a un altre es pot infectar amb
virus i malware. Si introdueixes una memòria infectada al teu ordinador, el
virus pot passar al teu equip.
A través d'una memòria USB també ens poden instal·lar un programa espia
al nostre ordinador.
Per tant, si no és imprescindible, evita connectar cap element extern al port
USB del teu ordinador.
Mecanismes de protecció
Per tal d'evitar possibles fuites d'informació, l'empresa no permet desar informació
en memòries USB.
ENGINYERIA SOCIAL
Què és l'enginyeria social?
És un tipus d'atac que consisteix en enganyar a l'interlocutor per aconseguir
informació.
Una tècnica habitual és fer-se passar per una altra persona que sí que
hauria de tenir accés a aquesta informació.
La utilitzen habitualment professionals, com ara investigadors, però també
criminals i delinqüents informàtics.
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 21
Com ens afecta?
L'atacant intenta manipular els usuaris legítims per obtenir informació.
Se sol fer per telèfon, però també es pot fer per correu electrònic o fins i tot
en persona.
Si confies que aquesta persona és qui diu ser i li proporciones tota la
informació que demana és possible que la vegem publicada a la premsa
uns dies més tard o que algú la pugui utilitzar en contra de l'entitat.
Mai t'has de fiar dels regals que et donin a canvi d'informació i molt menys
si, a més, et demanen la teva contrasenya.
Què has de fer en cas de detectar un possible atac d'enginyeria social?
No facilitis cap tipus d'informació.
Comunica immediatament la situació al teu responsable directe.
En atacs d'enginyeria social, la millor defensa és estar formats en temes de
seguretat i atents a possibles enganys.
Com pots prevenir un atac d'enginyeria social?
No facilitis informació per telèfon.
Destrueix tota la informació que contingui dades que es puguin utilitzar per
dur a terme aquest tipus d'atacs.
No comparteixis informació relativa al teu lloc de treball a les xarxes socials.
En cas de dubte, utilitza el sentit comú.
Situació fictícia. “Cal·list Banquer acaba de ser ascendit a responsable de les claus
d'accés a les caixes de l'oficina 1234. Molt content pel seu nou càrrec, publica
aquesta informació en una xarxa social. Uns dies més tard una banda organitzada
amb el malnom d'LD (“els Dolents”), que portava un temps planejant el robatori de
l'oficina 1234, descobreix per un conegut comú en aquesta xarxa social el càrrec
de Cal·list Banquer”.
Com podeu imaginar, aquesta informació és valuosíssima per a la banda LD. Entre
moltes possibilitats, podrien organitzar un atac a mida per a Cal·list Banquer atès
NORMATIVA Tema 5. Introducció a la seguretat
de la informació
Tea Cegos, S.A. 2016 22
que saben que disposa de la informació de les claus d'accés o, fins i tot, provar de
suplantar la seva identitat.
No deixis informació sense protegir a les xarxes socials i no comparteixis
informació relativa al teu lloc de treball que es pugui utilitzar en un atac
d'enginyeria social.
CONCLUSIONS
Recorda:
Protegeix la informació de l'empresa.
No comparteixis el teu usuari ni la contrasenya.
Navega amb precaució.
Denuncia els correus de phishing.
Protegeix i usa amb precaució les estacions de treball, els portàtils i els
dispositius mòbils.
Has d'estar atent als atacs d'enginyeria social.
Per obtenir més informació, pots consultar les normes de seguretat de l'empresa
o del Grup.