Seguridad de la Información

7.1. Fundamentos y estándares de Seguridad de la Información.
7.2. El binomio seguridad de la información como obligación legal y seguridad de la información como buenas prácticas.
7.3. Visión práctica de la auditoría de sistemas de información. El perfil profesional de auditor de sistemas de información.
7.4. Sistemas de Gestión de la Seguridad de la Información (SGSI): ISO 27001: 2013.
7.5. Auditoría y perfil jurídico: métodos de trabajo de auditoría de seguridad aplicada a las obligaciones legales de auditar sistemas de información.

MWC23, reconeixement facial i inquietuds de privacitat

per

No és cap secret que la tecnologia ens pot facilitar molt la vida a les persones. Per exemple, a l’hora entrar en el Mobile World Congress 2023. Arribes a l’entrada al mateix moment que uns altres centenars de ciutadans i la primera preocupació és imaginar-nos una hora fent cua en els mostradors d’acreditació. Però no, la primera agradable sorpresa és que no hi ha cua. Literal. Si has fet els deures i disposes del teu passi d’accés digital, pots entrar sense aturar-te mitjançant la tecnologia de reconeixement facial. Voilà!

Què es el MWC23?

Segons l’organització, el MWC és l’esdeveniment de connectivitat més gran i influent. I estic segur que ho és. Si, segons la RAE, la pornografia és la presentació oberta i crua del sexe que busca produir excitació en el receptor, podem qualificar l’espectacle del Congrés com de tecnogràfic. Busca provocar l’excitació en l’espectador a base de presentar-li oberta i cruament les més avançades tecnologies. I s’ha convertit en una orgia desenfrenada de llum, de color, d’imatges de proporcions gegantines, de sons, comunicacions, espectacles, relacions professionals, negoci i dades. Sobretot, dades. Desmesurades com a poc.

La qüestió

És molt simple. Hem de respondre a la pregunta següent: a canvi de què estem disposats a cedir, i en quina part, la sobirania de les nostres dades, la nostra sobirania digital.  

La nostra imatge en milers de fotografies, centenars de càmeres de vigilància o, fins i tot, en selfies fets en l’estand de Samsung. Les nostres dades, fins i tot biomètriques, escampades per centenars d’empreses que les faran servir, legítimament, per múltiples propòsits. Tot impulsat per les últimes tecnologies: Big Data, Intel·ligència Artificial, Machine learning, … de les quals encara no tenim una idea clara del seu abast. Fa feredat!

Política de Privacitat del MWC: que aixequi la mà qui l’hagi llegit.

Sí, s’han de llegir, com tot. I, com tot, no és llegeixen. Vagi per endavant que la Política de Privacitat compleix amb tots els requisits que imposa el RGPD. I sorteja força bé totes les dificultats que es presenten per regular l’ús de tantes dades i de naturalesa tant variada. Podríem posar-les, fins i tot, com a model per altres organitzacions.

Això no treu que si parem en algunes de les clàusules, aquestes resulten esglaiadores. Per exemple, la quantitat de dades que proporcionem voluntàriament (incloses les biomètriques del reconeixement facial), les informacions que es recullen automàticament i les que proporcionen terceres parts (a qui hem proporcionat voluntàriament la informació).

Passem després a veure amb qui comparteixen la informació i veiem que ho fan amb empreses afiliades, agents, venedors o proveïdors de serveis, compradors potencials i per imperatiu legal. I a més, amb qualsevol altre persona quan haguem consentit la divulgació.

I pel que fa la transferència internacional de dades (fora de l’Àrea Econòmica Europea, Suïssa i UK), les nostres dades biomètriques estan gestionades per una empresa amb base a Hong-Kong. I si es transfereixen a altres països no adequats, es fa amb el suport de Clàusules Contractuals Tipus aprovades per la Comissió Europea.

En fi, moltes parts mòbils (no és un acudit) en l’esquema. Moltes dades, de moltes persones i que gestionen moltes empreses en una varietat de circumstàncies. Definitivament, molt complex.

Val a dir, també, que ens ofereixen moltes maneres de controlar la nostra informació. Repeteixo, tot conforme a llei. I aquesta Política de Privacitat pot servir de model per altres texts de privacitat.

Què podem fer?

Doncs preocupar-nos nosaltres mateixos per la nostra privacitat. Està bé que les empreses se’n preocupin, és la seva obligació, però nosaltres no podem defugir de la nostra. La privacitat, ben entesa, comença per un mateix (com deia un vell anunci). I la nostra privacitat ha de ser activa, militant, disposats a defensar-la en qualsevol circumstància. No podem tenir cap expectativa de privacitat si nosaltres no som molt respectuosos amb ella. No pot ser d’altre manera.

I per passar a l’acció, el primer que necessitem és saber què sap Internet de nosaltres. Això ho podem fer gràcies al nostre Servei d’Empremta Digital recolzats per el nostre partner Youforget.me. A partir d’aquí, us ajudarem a reprendre allò que mai havíem d’haver perdut: la sobirania de les nostres dades.

De petit, els meus pares sempre m’advertien que no acceptés mai caramels de desconeguts. I ara, de gran, no faig una altre cosa tot el dia. Cuideu la vostra privacitat!

A més de l’affaire Shakira-Piqué, al món passen més coses

per

Per exemple, demà celebrem el Dia Europeu de la Protecció de Dades. El 2022 ha estat de gran activitat legislativa que afectarà a les empreses en aquesta matèria ja en aquest 2023. En recordarem les principals i apuntarem alguns detalls.

En ple tsunami de la intel·ligència artificial –amb ChaptGPT com a màxim exponent– he tingut la temptació d’escriure aquest post fent servir aquesta eina que ara està de moda. No ho he fet, naturalment, per moltes raons. Digueu-n’hi  ètica, dignitat o vergonya professional. Però l’important es entendre que aquesta tecnologia, com altres, tindrà un impacte enorme en la nostra societat. I que la Protecció de Dades pren un paper molt destacat en defensa de la nostra privacitat. I, com es diu habitualment, és cosa de tots.

Podem posar alguns exemples. Microsoft treu al mercat VALL-E, una IA com ChatGPT que imita la teva veu escoltant-te tant sols durant 3 segons. Imita la veu, la cadència, fins i tot, l’ambient. I per fer-ho fàcil (i per intentar augmentar quota), Microsoft vol integrar aquestes eines en el seu cercador Bing. I, és clar, això ha posat dels nervis a Google.

Sigui com sigui, està clar que les tecnologies avancen de forma exponencial i, cada dia més, tenen un fort impacte en la nostra privacitat. Per això tots, –administracions, legisladors, operadors jurídics, empreses i, per descomptat, els usuaris– hem de fer un esforç permanent perquè aquest nivell de protecció aconseguit amb el RGPD no tan sols es mantingui, si no que vagi a més.

Avenços normatius

Aquest 2022, el legislador ens ha ajudat aprovant una sèrie de mesures, totes encaminades a aconseguir, al menys intentar-ho, anar a la par amb les tecnologies. Recordem les següents:

  • Llei Europea d’Intel·ligència Artificial (aplicable a tots els usos que afectin a ciutadans de la UE).
  • Llei de Mercats Digitals i la Llei de Serveis Digitals (la primera, per vigilar a les grans plataformes digitals (“gatekeepers”) i la segona, per crear un entorn online més segur i responsable).
  • Nou acord de protecció de dades entre Europa i EEUU (per substituir el Privacy Shield).
  • Directiva NIS 2 (mesures destinades a garantir un elevat nivell comú de ciberseguretat en tota la UE).
  • Proposta de Reglament de Ciberseguretat en productes amb elements digitals (per establir requisits de ciberseguretat en tota la UE per una amplia gama de productes de software, hardware, navegadors, sistemes operatius i una llarga llista de solucions de processament de dades en remot).

Totes les iniciatives són molt interessants i van encaminades a la protecció dels usuaris online. En propers posts entrarem en més detall en cadascuna de les normatives.

Recomanacions

Com dèiem al principi, la protecció de dades és cosa de tots. Nostra, també. Per tant, demà 28 de gener, és un bon moment per revisar totes les nostres rutines de protecció i seguretat. I, si necessitem ajuda, INCIBE.

Com sempre, cuideu-vos i cuidem les nostres dades!

Ciberseguretat, sempre la ciberseguretat!

per

N’hem parlat moltes vegades però no ens cansarem en insistir en la importància creixent que té la ciberseguretat en les nostres vides, personals i professionals. Hem de ser conscients que la tecnologia evoluciona molt ràpidament i nosaltres hem de seguir aquesta evolució si volem seguir ser competitius en el món professional i estar tranquils en l’esfera personal.

I no, la ciberseguretat no és una cosa que no té a veure amb mi o amb la meva empresa. Té a veure i molt. Només cal donar-se una volta per pàgines com el PortalTIC d’Europa Press o per els Avisos de Seguretat d’INCIBE. I si voleu impressions més fortes podeu veure el Mapa en temps real d’amenaces cibernètiques de Kaspersky. En el moment d’escriure aquest post, Espanya era el vuitè país més atacat del món.

I no s’escapa res a la voracitat dels ciberatacants. Estafes a compte de la guerra d’Ucraïna, campanyes fraudulentes a Whatsapp que demanen dades personals a canvi d’una cafetera Nespresso o, fins i tot, venda d’historials mèdics a la Dark Web per un euro. I podem afegir notícies més genèriques per igualment impactants com que més de tres milions de pàgines web van exposar les seves còpies de seguretat per una vulnerabilitat, que els atacs DDos es van multiplicar per 4,5 en el quart trimestre de 2021 o que 6 de cada 10 espanyols tenen “malware” en el seu ordinador.

Naturalment, és per prendre-s’ho seriosament. Tant si volem preservar els actius intangibles de l’empresa (que són més i més importants del que pensem) com si volem tenir una vida personal sense ensurts (un altre dia parlarem de la privacitat a les xarxes socials) hem de prendre mesures i no baixar la guàrdia. Mai.

I la pregunta recorrent, en empreses i a nivell personal, és, què hem de fer? Doncs per començar, conscienciar-nos de la importància de la ciberseguretat. I podem fer un símil molt familiar amb la conducció d’un automòbil. Pensem en el temps, diners i atenció que li dediquem al vehicle i als desplaçaments que fem. Des de l’elecció del model i les seves prestacions fins a les revisions periòdiques, passant per disposar d’assegurança, complir la normativa, preveure la meteorologia i el temps a emplear en els desplaçaments i tantes altres variables que controlem, moltes vegades i per rutina, sense ser-ne plenament conscients.

Doncs el mateix amb els nostres dispositius, les aplicacions, l’ús que en fem, les precaucions que prenem i, en definitiva, l’atenció que li prestem a la nostra activitat cibernètica. I, sobretot, vigilem als menors que són els més vulnerables.

Un bon lloc per començar és la pàgina “Tu Ayuda en Ciberseguridad” de INCIBE. I per qui tingui dubtes sobre el significat del termes informàtics que es fan servir sovint en Ciberseguretat, podeu acudir al Glossari de termes publicat per INCIBE. Mol complet i fàcil de consultar. Recomanable.

Esforcem-nos, per bé de tots, en tenir una vida cibersegura. Cuideu-vos també en aquest aspecte!

Octubre: Mes Europeu de la Ciberseguretat (2021)

per

A punt de deixar enrere el proclamat Mes Europeu de la Ciberseguretat (2021), aprofitem per fer algunes consideracions respecte un tema que, tot i les evidències que tenim dia a dia, no acaba d’arrelar en la consciència dels usuaris, de les empreses ni fins i tot de l’Administració Pública.

El lema de la campanya d’enguany és “Abans de fer clic, pensa”. És un eslògan simple però, precisament per això, fàcil de recordar i carregat de sentit. La seguretat comença per no fer clic sense saber que pot tenir conseqüències. A partir d’aquí, hem de ser conscients que la seguretat comença per un mateix.

“Els ciberatacs posen en risc els nostres negocis, les nostres infraestructures crítiques, les nostres dades i el funcionament  de les nostres democràcies”, assegura el Vicepresident europeu per la Promoció del nostre Mode de Vida Europeu.

Estem abocats, cada cop mes, a viure en un món digital (un altre dia parlarem dels “metaversos”, entorns on interactuarem social i econòmicament com icones, a través d’un suport lògic en un ciberespai; al pas que anem, les pel·lícules de ciència ficció que hem vist fins ara es quedaran molt curtes en les seves expectatives) i els ciberdelinqüents aprofiten qualsevol vulnerabilitat del nostre entorn digital per aprofitar-se’n.  

Segons l’últim informe de l’asseguradora HISCOX, la proporció de víctimes d’un ciberatac va augmentar del 38% al 43%; una de cada sis empreses víctimes d’un ciberatac diuen que la seva supervivència està amenaçada; els pressupostos de TIC dedicat a la seguretat ciber ha pujat un 63% i que el ransomware s’ha convertit en una cosa freqüent: més del 50% de les empreses afectades van pagar un rescat.

La pandèmia ha fet augmentar els riscos exponencialment. El teletreball, dut a terme de forma precària obligats per les circumstàncies, ha suposat l’exposició de vulnerabilitats de les empreses. Falta de protocols, de cultura de  la ciberseguretat i de recursos TIC han portat al límit a molts autònoms, empreses i, fins i tot, a l’Administració Pública (recordem l’atac al SEPE del març passat que es va repetir el juny).

I encara hem de ser més cautelosos que mai amb el telèfon mòbil donat que ja són la principal via d’entrada de ciberatacs corporatius a Espanya (aproximadament el 41% del total dels produïts en el 2021).

Els atacs són de diversa naturalesa: des del clàssic virus informàtic fins al cada cop més present ransomware, passant per comprometre el mail corporatiu, atacs DDoS i pèrdues de dades. I el phishing continua sent l’estrella.

A Espanya, INCIBE, el CCN (Centro Criptològico Nacional), la OSI (Oficina de Seguridad del Internauta) i is4k (Internet Segura for KIDS) són els principals recursos públics en matèria de ciberseguretat. A Catalunya, a més, disposem de l’Agència de Ciberseguretat de Catalunya.

Com sempre, i ara més que mai, cuideu-vos!

Smishing?

per

INCIBE alertava ahir d’una nova amenaça de smishing, es a dir, SMS que suplanten la identitat per capturar les teves dades. L’entitat afectada en aquest cas és el BBVA. S’ha detectat una campanya d’enviament massiu de SMS fraudulents que, simulant provenir del BBVA, informen que el compte ha estat desactivat i demanen a l’empresari o treballador que premi sobre un enllaç per verificar la informació.

Naturalment, si segueixes l’enllaç et demanen les teves credencials d’accés al compte a fi de “verificar-les”. A partir d’aquí, tenim un problema.

Entre les moltes amenaces que ens envolten en l’àmbit de la Ciberseguretat, el smishing és pot ser del que menys se’n parla. I, curiosament, la mitja d’usuaris desconfia menys d’un SMS que, posem per cas, un correu electrònic que, com ja sabem a aquestes alçades, pot ser maliciós (phishing). I aquestes no són les úniques, ni molt menys. Recentment,  Microsoft alertava d’una nova estafa que fa servir arxius d’Excel maliciosos. Correus electrònics falsos, trucades que es fan des de centres il·legals i codi que inclou malware en els fulls d’Excel formen part de l’estratègia per dur a terme l’atac.

I les empreses, què han de fer per gestionar els incidents de seguretat?

La gestió d’incidents de seguretat és una tasca cabdal per poder minimitzar qualsevol amenaça que pugui vulnerar la seguretat de la nostra empresa. Convé aquí recordar que vulnerabilitat és una debilitat o fallo en un sistema de informació que pot permetre un atac. I amenaça és tota acció que aprofita una vulnerabilitat per atemptar contra la seguretat d’un sistema de informació. La nostra obligació, per tant, és conèixer les amenaces (qüestió externa) i evitar les vulnerabilitat (qüestió interna).

Quan parlem d’incidents de seguretat i la seva gestió, hem de considerar, com a mínim, les següents qüestions:

  • Definir una Política de gestió dels incidents que inclogui un pla de resposta.
  • Conèixer els Diferents tipus d’incidents per poder identificar-los i preparar-nos
  • Conèixer els Passos per la gestió dels incidents, per oferir una resposta adequada i minimitzar els possibles efectes en l’organització
  • Aprendre sobre Mesures preventives addicionals que augmentin les nostres possibilitats d’èxit.
  • Preparar un Pla de contingència i continuïtat, assegurant una resposta ràpida i poder recuperar ràpidament l’activitat del negoci.

En temes de Ciberseguretat no podem baixar la guàrdia. Tant a nivell personal com professional i empresarial, té que ser una de les nostres prioritats. Tinguem present que un incident de seguretat pot arruïnar la nostra reputació i tots els nostres esforços.

Com sempre, cuideu-vos molt!

Per una Internet segura

per

A finals de gener, va tenir lloc el Dia Internacional de la Protecció de Dades amb l’objectiu de promoure el coneixement entre els ciutadans sobre quins són els seus drets i responsabilitats en matèria de protecció de dades. Aquest dia està impulsat per la Comissió Europea, el Consell d’Europa i les autoritats de protecció de dades dels estats membres de la Unió Europea.

Els Dies Internacionals són un bon mecanisme per alertar i conscienciar als ciutadans de temes importants que ens afecten a tots. Coneixem dies per temes sanitaris, qüestions sobre els drets humans, el racisme, el feminisme i tantes altres causes nobles. Doncs bé, la Protecció de Dades té el seu dia, 28 de gener, i la Internet segura, també: 9 de febrer. De la primera en vam parlar fa uns dies (veure post) i de la segona en parlarem avui.

El Dia de Internet Segura (“Safer Internet Day”) és un esdeveniment que té el recolzament de la Comissió Europea i que té com objectiu promoure un ús segur i positiu de les tecnologies digitals, en particular, entre nens i joves. No tan sols es pretén la creació d’una Internet més segura, sinó millor, per convertir-la es un espai  on tots fem un ús responsable, respectuós, crític i creatiu de la tecnologia. I dirigit en especial a nens i joves, un col·lectiu alhora molt vulnerable i que resulta imprescindible formar-lo com a futur pilar de la societat.

Referent en aquesta matèria és INCIBE (Institut Nacional de Ciberseguretat) i el seu portal is4k, INTERNET SEGURA FOR KIDS. EL seus programes, ajudes i campanyes són imprescindibles perquè tots aprenguem a estar més segurs a Internet. INCIBE treballa per afermar la confiança digital, elevar la Ciberseguretat i la resiliència i contribuir al mercat digital de manera que s’impulsi l’ús segur de ciberespai a Espanya.

Coincident amb el Dia de Internet Segura, Microsoft ha publicat el seu informe anual que titula “Índex de Civisme Online” en el portal dedicat a promoure el civisme digital. El titular més cridaner del estudi diu que Espanya encapçala, a nivell mundial, els fraus, les estafes i enganys online. Per ser la nostra primera inclusió en el estudi, els resultats no són gaire esperançadors i tenen força marge de millora. Diu també l’estudi que el civisme a Internet ha empitjorat des del començament de la pandèmia i que un 34% assegura haver rebut contacte no desitjat a Internet i un 26% afirma haver sigut víctima de “sexting” (El sexting és una pràctica que consisteix en enviar missatges amb contingut eròtic a través de dispositius tecnològics de manera voluntària).

Convé conscienciar-nos sobre els riscs que comporta el mal ús de la tecnologia. Tot lo beneficiós que resulta en tants àmbits, imprescindibles a aquestes altures, se’ns pot tornar en contra per ignorància o excés de confiança. No deixem que passi.

Cuideu-vos!

Pandèmia, Ciberseguretat i Protecció de dades

per

La pandèmia ha accelerat molts processos digitals, tant a nivell particular com professional i empresarial. Teletreball, videoconferències, núvol, transformació digital, etc. ja eren tendències abans del COVID però ara s’han fet gairebé imprescindibles. I en el nou escenari, la Ciberseguretat ha saltat a la primera plana.

Noves maneres de treballar i fer negocis s’han tingut que adaptar i fer un salt qualitatiu en l’ús de les tecnologies per poder sobreviure. A més, he estat testimonis d’un fenomen inaudit com és que hem pogut fer un experiment sociològic a nivell global que era impensable fa un any. Si al gener li dic a un client que, en comptes de venir al despatx, farem una videoconferència, el més probable és que m’hagués quedat sense client. I ara n’hem aprés tots, fins i tot la gent gran, que la tecnologia ens obre un ventall enorme de possibilitats i que res tornarà a ser igual. I per millor.

Però, es clar, tot anvers té un revers. I un exemple, no l’únic, és el de la Ciberseguretat. Segons l’enquesta anual Digital Trust Survey 2021 de PwC, la pandèmia ha obligat a les empreses a donar un salt en les tecnologies digitals per, en molts casos, canviar o reinventar els seus models de negoci. I això  està  provocant un augment de les bretxes de seguretat que es troben en determinats escenaris (per exemple, en el teletreball) més exposats que mai als ciberatacs. La falta de mitjans, de preparació i de cultura digital, entre altres, situen a les empreses en un escenari molt delicat, front el qual han de fer inversions en Ciberseguretat i minimitzar riscos.

Perquè les conseqüències de patir un ciberatac poden ser devastadores. No poder accedir a la informació per un atac de ransomware o que les dades de les que som custodis (per exemple, les dades personals de les quals som responsables) es vegin exposades tindrà conseqüències en termes econòmics i, a ben segur, en termes de reputació amb un cost incalculable. L’empresa, fins i tot, pot incorre en responsabilitat penal, derivada del delicte de danys informàtics (art. 264 Codi Penal) i del de revelació de secrets (art. 197 i següents CP), sense comptar la responsabilitat civil subsidiària  de la persona jurídica que recull l’article 120.4 CP.

En resum, passada la necessària rauxa inicial en la que les empreses estaven comprensiblement lluitant per la seva supervivència, cal establir les bases de desenvolupament del negoci fent les corresponents inversions en infraestructures tecnològiques, en compliment de les diferents normatives i, sobretot, en cultura digital en l‘entorn de les persones. Només així ens garantirem el futur.

Cuideu-vos!

Twitter, on vas?

per

Hem conegut aquest setmana, dimecres, que Twitter, la xarxa social dels missatges curts, ha estat hackejada. Els comptes de Jeff Bezos, Musk, Obama o Gates s’han vist decididament compromesos. Això, junt amb la resposta de la companyia a l’incident, ha disparat totes les alarmes.

En els Estats Units ja ho han qualificat de “tweet-tastrophe”. I no és per menys. La bretxa de seguretat ha afectat a unes 130 comptes de persones rellevants. I els hackers, segons les primeres informacions, han pogut tenir accés total a un nombre indeterminat d’aquests comptes.

Twitter pot tenir actualment uns 400 milions d’usuaris i és la forma més ràpida de comunicació de masses. Cap altre mitjà hi pot competir. I tot el que té de bo ho té de pervers en situacions com aquesta. I perversitat en dos vessants: la gravíssima situació creada d’una banda i, de l’altre, la irresponsabilitat de la companyia i la seva decebedora resposta a l’incident.

Respecte a la primera, ara hem tingut evidència del risc que suposa que els líders mundials facin servir un producte comercial que no ha estat verificat per les autoritats de seguretat i que està en mans d’una empresa privada. Imaginem, per un moment, la importància que pot tenir per la cotització de Tesla a borsa un tweet malintencionat tuitat, suposadament, per Elon Musk. O per a les economies mundials si el tweet procedeix d’un Bill Gates impostat. I que dir d’un tweet fake de Trump quan els verdaders ja ens posen els cabells de punta. Des de l’enfonsament d’una companyia a un terrabastall econòmic, o ves a saber si sanitari si el tuit es refereix al COVID-10, fins a posar en perill la seguretat mundial amb tuits falsos creuats entre Trump i Putin, per exemple.

Respecte a la responsabilitat de la companyia val a dir que és màxima. És clar que tot sistema és susceptible de ser hackejat però per això les empreses, i més quan són així de rellevants, han de tenir plans de contingència que permetin minimitzar sinó evitar els possibles danys. I en qualsevol cas, si els comptes són atacats, mai hauria d’existir la possibilitat que algú prengués el control del compte d’un usuari quan aquest ha seguit totes les normes i ha aplicat les seves mesures de seguretat. La irresponsabilitat de Twitter és estratosfèrica i absolutament imperdonable.

 I la resposta a l’incident has estat absolutament insuficient. Sense comunicació, sense informació, sense explicacions, sense disculpes. Silenci total. Descontrol total. I aquest no és el camí. Per això preguntem, Twitter, on vas?

Imatge Pixabay

COVID-19: Rentar-se les mans també en Ciberseguretat

per

Hem sabut aquests dies que la millor profilaxis amb el virus és rentar-se les mans. Doncs també hem de rentar-nos les mans en l’àmbit de la Ciberseguretat. Els cibercriminals no perden cap oportunitat i amb el coronavirus no és diferent.

Aquests dies, les xarxes van plenes de notícies i consells sobre el coronavirus i tot i que molts són adequats i ens poden ajudar, trobem també tot tipus d’enganys i estafes. Sí, a pesar de trobar-nos en una situació límit, hi ha gent sense escrúpols decidits a treure’n partit.

Posarem un parell d’exemples. Un de molt recent va ser advertit per l’empresa de seguretat Malwarebytes que van va trobar un lloc web que mostra un mapa de casos de coronavirus a tot el món, que estava infectat amb programari maliciós. El lloc web infectat és una part del lloc real de la Johns Hopkins University. Sembla exactament el real; Si visites el mapa amb una vulnerabilitat en el navegador (perquè ,per exemple, no està actualitzat) quedaràs infectat, naturalment no amb COVID-19, però sí  amb un virus que pot posar en perill la teva empresa o la teva vida personal, o les dues.

Un altre exemple: les campanyes de Phishing i altres estafes a compte del coronavirus. Els delinqüents s’aprofiten de la por, l’ansietat i la desinformació dels usuaris per enviar correus en nom de suposades institucions o empreses amb l’ànim evident de estafar al receptor. Per exemple, els enviats suposadament per l’Organització Mundial de la Salut (OMS) amb un link a una pàgina d’accés falsa per intentar robar les credencials d’accés del usuari.  O correus venent tot tipus de proteccions, reals o cibernètiques, que al final només volen estafar.

I amb el virus ha vingut un augment massiu del teletreball. Això suposa generalment entorns menys segurs (a casa no tenim la infraestructura que tenim a l’empresa), ens falten les rutines que tenim a la feina, ens costa més comunicar-nos amb companys i, en definitiva, estem més exposats en termes de Ciberseguretat.

En aquestes circumstàncies només podem acudir a les institucions de referència i seguir les seves indicacions. En aquest cas, el INCIBE (Institut Nacional de Ciberseguretat) per empreses i is4k per la família (no oblidem que aquests dies la gent jove, i els més petits, passen moltes hores connectats, el que vol dir, exposats).

Al final ,com sempre, protegir-nos el millor que puguem i aplicar el sentit comú.

Teletreball i Ciberseguretat en temps regirats

per

Potser el COVID-19 farà més per la transformació digital de la societat que tot el que s’ha fet fins ara. I potser, de cop, ens adonem que ja no estem en el imaginari País de Mai  Més de Peter Pan sinó en un escenari VUCA [1] al que hem de fer front des de la responsabilitat. I la Ciberseguretat és, sens dubte, una matèria que fins ara ha estat en un segon pla i que tindrà molt protagonisme a partir d’ara.

A partir de les mesures que s’estan imposant a la població per tal de preservar-ne la salut, el teletreball, forma de treballar en la connectada societat del segle XXI, s’imposa com clara alternativa a la habitual “presentisme”, romanent d’una societat post industrial que cada cop té menys sentit per una gran part de les empreses i els treballadors.

[1] VUCA, és l’acrònim que s’utilitza per descriure els entorns caracteritzats per la volatilitat, la incertesa, la complexitat i l’ambigüitat. Aquest terme procedeix de les sigles de les paraules angleses Volatility, Uncertainty, Complexity i Ambiguity.

I Teletreball i Ciberseguretat són dos cares de la mateixa moneda. I perquè sigui més segur teletreballar, us fem algunes recomanacions a tenir en compte.

  • Per l’empresa
    • Disposar d’una Política d’Ús de Mitjans Tecnològics, a disposició dels treballadors
    • Política de Seguretat a través d’un domini
    • Disposar d’una VPN (xarxa privada virtual) que xifri les comunicacions entre l’equip remot i el servidor (prohibir l’ús de xarxes públiques –aeroports, bars, etc.–)
    • Revisar les credencials d’accés (contrasenyes). Comprovar que són segures i canviar-les amb freqüència
    • Implementar eines col·laboratives com videoconferència, chats, espais de grup, etc.
    • Mantenir actualitzats els servidors, routers, infraestructura de comunicacions, etc.
    • Formar un equip de comunicació + tècnic que pugui resoldre dubtes, dona suport i intervenir en cas de crisi
    • Formació dels treballadors en la matèria

  • Per el treballador
    • Fer servir (tret que no es pacti el contrari) exclusivament mitjans corporatius, seguint les indicacions de la Política aprovada per l’empresa.
    • Tenir especial cura amb la utilització de dispositius propis (BYOD[1]): han de estar aprovats per l’empresa i consentit per el treballador (Política d’Ús de Mitjans Tecnològics)
    • Xifrar els dispositius mòbils (USBs, Discs durs, …) i les carpetes confidencials en els portàtils
    • Anar molt amb compte amb les “fake news”, el phishing[2], el scam[3], fitxers annexes, … El teletreball ens posa en una situació molt vulnerable (estem en un lloc diferent, podem tenir problemes tècnics, distraccions, etc.) i hem d’estar molt atents a les amenaces.

I, com sempre, prudència i sentit comú.

[1] Bring Your Own Device: portar el propi dispositiu
[2] Frau de suplantació de personalitat
[3] Estafa nigeriana

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats

Revisió Texts legals web