Seguridad de la Información

7.1. Fundamentos y estándares de Seguridad de la Información.
7.2. El binomio seguridad de la información como obligación legal y seguridad de la información como buenas prácticas.
7.3. Visión práctica de la auditoría de sistemas de información. El perfil profesional de auditor de sistemas de información.
7.4. Sistemas de Gestión de la Seguridad de la Información (SGSI): ISO 27001: 2013.
7.5. Auditoría y perfil jurídico: métodos de trabajo de auditoría de seguridad aplicada a las obligaciones legales de auditar sistemas de información.

Octubre: Mes Europeu de la Ciberseguretat (2021)

per

A punt de deixar enrere el proclamat Mes Europeu de la Ciberseguretat (2021), aprofitem per fer algunes consideracions respecte un tema que, tot i les evidències que tenim dia a dia, no acaba d’arrelar en la consciència dels usuaris, de les empreses ni fins i tot de l’Administració Pública.

El lema de la campanya d’enguany és “Abans de fer clic, pensa”. És un eslògan simple però, precisament per això, fàcil de recordar i carregat de sentit. La seguretat comença per no fer clic sense saber que pot tenir conseqüències. A partir d’aquí, hem de ser conscients que la seguretat comença per un mateix.

“Els ciberatacs posen en risc els nostres negocis, les nostres infraestructures crítiques, les nostres dades i el funcionament  de les nostres democràcies”, assegura el Vicepresident europeu per la Promoció del nostre Mode de Vida Europeu.

Estem abocats, cada cop mes, a viure en un món digital (un altre dia parlarem dels “metaversos”, entorns on interactuarem social i econòmicament com icones, a través d’un suport lògic en un ciberespai; al pas que anem, les pel·lícules de ciència ficció que hem vist fins ara es quedaran molt curtes en les seves expectatives) i els ciberdelinqüents aprofiten qualsevol vulnerabilitat del nostre entorn digital per aprofitar-se’n.  

Segons l’últim informe de l’asseguradora HISCOX, la proporció de víctimes d’un ciberatac va augmentar del 38% al 43%; una de cada sis empreses víctimes d’un ciberatac diuen que la seva supervivència està amenaçada; els pressupostos de TIC dedicat a la seguretat ciber ha pujat un 63% i que el ransomware s’ha convertit en una cosa freqüent: més del 50% de les empreses afectades van pagar un rescat.

La pandèmia ha fet augmentar els riscos exponencialment. El teletreball, dut a terme de forma precària obligats per les circumstàncies, ha suposat l’exposició de vulnerabilitats de les empreses. Falta de protocols, de cultura de  la ciberseguretat i de recursos TIC han portat al límit a molts autònoms, empreses i, fins i tot, a l’Administració Pública (recordem l’atac al SEPE del març passat que es va repetir el juny).

I encara hem de ser més cautelosos que mai amb el telèfon mòbil donat que ja són la principal via d’entrada de ciberatacs corporatius a Espanya (aproximadament el 41% del total dels produïts en el 2021).

Els atacs són de diversa naturalesa: des del clàssic virus informàtic fins al cada cop més present ransomware, passant per comprometre el mail corporatiu, atacs DDoS i pèrdues de dades. I el phishing continua sent l’estrella.

A Espanya, INCIBE, el CCN (Centro Criptològico Nacional), la OSI (Oficina de Seguridad del Internauta) i is4k (Internet Segura for KIDS) són els principals recursos públics en matèria de ciberseguretat. A Catalunya, a més, disposem de l’Agència de Ciberseguretat de Catalunya.

Com sempre, i ara més que mai, cuideu-vos!

Smishing?

per

INCIBE alertava ahir d’una nova amenaça de smishing, es a dir, SMS que suplanten la identitat per capturar les teves dades. L’entitat afectada en aquest cas és el BBVA. S’ha detectat una campanya d’enviament massiu de SMS fraudulents que, simulant provenir del BBVA, informen que el compte ha estat desactivat i demanen a l’empresari o treballador que premi sobre un enllaç per verificar la informació.

Naturalment, si segueixes l’enllaç et demanen les teves credencials d’accés al compte a fi de “verificar-les”. A partir d’aquí, tenim un problema.

Entre les moltes amenaces que ens envolten en l’àmbit de la Ciberseguretat, el smishing és pot ser del que menys se’n parla. I, curiosament, la mitja d’usuaris desconfia menys d’un SMS que, posem per cas, un correu electrònic que, com ja sabem a aquestes alçades, pot ser maliciós (phishing). I aquestes no són les úniques, ni molt menys. Recentment,  Microsoft alertava d’una nova estafa que fa servir arxius d’Excel maliciosos. Correus electrònics falsos, trucades que es fan des de centres il·legals i codi que inclou malware en els fulls d’Excel formen part de l’estratègia per dur a terme l’atac.

I les empreses, què han de fer per gestionar els incidents de seguretat?

La gestió d’incidents de seguretat és una tasca cabdal per poder minimitzar qualsevol amenaça que pugui vulnerar la seguretat de la nostra empresa. Convé aquí recordar que vulnerabilitat és una debilitat o fallo en un sistema de informació que pot permetre un atac. I amenaça és tota acció que aprofita una vulnerabilitat per atemptar contra la seguretat d’un sistema de informació. La nostra obligació, per tant, és conèixer les amenaces (qüestió externa) i evitar les vulnerabilitat (qüestió interna).

Quan parlem d’incidents de seguretat i la seva gestió, hem de considerar, com a mínim, les següents qüestions:

  • Definir una Política de gestió dels incidents que inclogui un pla de resposta.
  • Conèixer els Diferents tipus d’incidents per poder identificar-los i preparar-nos
  • Conèixer els Passos per la gestió dels incidents, per oferir una resposta adequada i minimitzar els possibles efectes en l’organització
  • Aprendre sobre Mesures preventives addicionals que augmentin les nostres possibilitats d’èxit.
  • Preparar un Pla de contingència i continuïtat, assegurant una resposta ràpida i poder recuperar ràpidament l’activitat del negoci.

En temes de Ciberseguretat no podem baixar la guàrdia. Tant a nivell personal com professional i empresarial, té que ser una de les nostres prioritats. Tinguem present que un incident de seguretat pot arruïnar la nostra reputació i tots els nostres esforços.

Com sempre, cuideu-vos molt!

Per una Internet segura

per

A finals de gener, va tenir lloc el Dia Internacional de la Protecció de Dades amb l’objectiu de promoure el coneixement entre els ciutadans sobre quins són els seus drets i responsabilitats en matèria de protecció de dades. Aquest dia està impulsat per la Comissió Europea, el Consell d’Europa i les autoritats de protecció de dades dels estats membres de la Unió Europea.

Els Dies Internacionals són un bon mecanisme per alertar i conscienciar als ciutadans de temes importants que ens afecten a tots. Coneixem dies per temes sanitaris, qüestions sobre els drets humans, el racisme, el feminisme i tantes altres causes nobles. Doncs bé, la Protecció de Dades té el seu dia, 28 de gener, i la Internet segura, també: 9 de febrer. De la primera en vam parlar fa uns dies (veure post) i de la segona en parlarem avui.

El Dia de Internet Segura (“Safer Internet Day”) és un esdeveniment que té el recolzament de la Comissió Europea i que té com objectiu promoure un ús segur i positiu de les tecnologies digitals, en particular, entre nens i joves. No tan sols es pretén la creació d’una Internet més segura, sinó millor, per convertir-la es un espai  on tots fem un ús responsable, respectuós, crític i creatiu de la tecnologia. I dirigit en especial a nens i joves, un col·lectiu alhora molt vulnerable i que resulta imprescindible formar-lo com a futur pilar de la societat.

Referent en aquesta matèria és INCIBE (Institut Nacional de Ciberseguretat) i el seu portal is4k, INTERNET SEGURA FOR KIDS. EL seus programes, ajudes i campanyes són imprescindibles perquè tots aprenguem a estar més segurs a Internet. INCIBE treballa per afermar la confiança digital, elevar la Ciberseguretat i la resiliència i contribuir al mercat digital de manera que s’impulsi l’ús segur de ciberespai a Espanya.

Coincident amb el Dia de Internet Segura, Microsoft ha publicat el seu informe anual que titula “Índex de Civisme Online” en el portal dedicat a promoure el civisme digital. El titular més cridaner del estudi diu que Espanya encapçala, a nivell mundial, els fraus, les estafes i enganys online. Per ser la nostra primera inclusió en el estudi, els resultats no són gaire esperançadors i tenen força marge de millora. Diu també l’estudi que el civisme a Internet ha empitjorat des del començament de la pandèmia i que un 34% assegura haver rebut contacte no desitjat a Internet i un 26% afirma haver sigut víctima de “sexting” (El sexting és una pràctica que consisteix en enviar missatges amb contingut eròtic a través de dispositius tecnològics de manera voluntària).

Convé conscienciar-nos sobre els riscs que comporta el mal ús de la tecnologia. Tot lo beneficiós que resulta en tants àmbits, imprescindibles a aquestes altures, se’ns pot tornar en contra per ignorància o excés de confiança. No deixem que passi.

Cuideu-vos!

Pandèmia, Ciberseguretat i Protecció de dades

per

La pandèmia ha accelerat molts processos digitals, tant a nivell particular com professional i empresarial. Teletreball, videoconferències, núvol, transformació digital, etc. ja eren tendències abans del COVID però ara s’han fet gairebé imprescindibles. I en el nou escenari, la Ciberseguretat ha saltat a la primera plana.

Noves maneres de treballar i fer negocis s’han tingut que adaptar i fer un salt qualitatiu en l’ús de les tecnologies per poder sobreviure. A més, he estat testimonis d’un fenomen inaudit com és que hem pogut fer un experiment sociològic a nivell global que era impensable fa un any. Si al gener li dic a un client que, en comptes de venir al despatx, farem una videoconferència, el més probable és que m’hagués quedat sense client. I ara n’hem aprés tots, fins i tot la gent gran, que la tecnologia ens obre un ventall enorme de possibilitats i que res tornarà a ser igual. I per millor.

Però, es clar, tot anvers té un revers. I un exemple, no l’únic, és el de la Ciberseguretat. Segons l’enquesta anual Digital Trust Survey 2021 de PwC, la pandèmia ha obligat a les empreses a donar un salt en les tecnologies digitals per, en molts casos, canviar o reinventar els seus models de negoci. I això  està  provocant un augment de les bretxes de seguretat que es troben en determinats escenaris (per exemple, en el teletreball) més exposats que mai als ciberatacs. La falta de mitjans, de preparació i de cultura digital, entre altres, situen a les empreses en un escenari molt delicat, front el qual han de fer inversions en Ciberseguretat i minimitzar riscos.

Perquè les conseqüències de patir un ciberatac poden ser devastadores. No poder accedir a la informació per un atac de ransomware o que les dades de les que som custodis (per exemple, les dades personals de les quals som responsables) es vegin exposades tindrà conseqüències en termes econòmics i, a ben segur, en termes de reputació amb un cost incalculable. L’empresa, fins i tot, pot incorre en responsabilitat penal, derivada del delicte de danys informàtics (art. 264 Codi Penal) i del de revelació de secrets (art. 197 i següents CP), sense comptar la responsabilitat civil subsidiària  de la persona jurídica que recull l’article 120.4 CP.

En resum, passada la necessària rauxa inicial en la que les empreses estaven comprensiblement lluitant per la seva supervivència, cal establir les bases de desenvolupament del negoci fent les corresponents inversions en infraestructures tecnològiques, en compliment de les diferents normatives i, sobretot, en cultura digital en l‘entorn de les persones. Només així ens garantirem el futur.

Cuideu-vos!

Twitter, on vas?

per

Hem conegut aquest setmana, dimecres, que Twitter, la xarxa social dels missatges curts, ha estat hackejada. Els comptes de Jeff Bezos, Musk, Obama o Gates s’han vist decididament compromesos. Això, junt amb la resposta de la companyia a l’incident, ha disparat totes les alarmes.

En els Estats Units ja ho han qualificat de “tweet-tastrophe”. I no és per menys. La bretxa de seguretat ha afectat a unes 130 comptes de persones rellevants. I els hackers, segons les primeres informacions, han pogut tenir accés total a un nombre indeterminat d’aquests comptes.

Twitter pot tenir actualment uns 400 milions d’usuaris i és la forma més ràpida de comunicació de masses. Cap altre mitjà hi pot competir. I tot el que té de bo ho té de pervers en situacions com aquesta. I perversitat en dos vessants: la gravíssima situació creada d’una banda i, de l’altre, la irresponsabilitat de la companyia i la seva decebedora resposta a l’incident.

Respecte a la primera, ara hem tingut evidència del risc que suposa que els líders mundials facin servir un producte comercial que no ha estat verificat per les autoritats de seguretat i que està en mans d’una empresa privada. Imaginem, per un moment, la importància que pot tenir per la cotització de Tesla a borsa un tweet malintencionat tuitat, suposadament, per Elon Musk. O per a les economies mundials si el tweet procedeix d’un Bill Gates impostat. I que dir d’un tweet fake de Trump quan els verdaders ja ens posen els cabells de punta. Des de l’enfonsament d’una companyia a un terrabastall econòmic, o ves a saber si sanitari si el tuit es refereix al COVID-10, fins a posar en perill la seguretat mundial amb tuits falsos creuats entre Trump i Putin, per exemple.

Respecte a la responsabilitat de la companyia val a dir que és màxima. És clar que tot sistema és susceptible de ser hackejat però per això les empreses, i més quan són així de rellevants, han de tenir plans de contingència que permetin minimitzar sinó evitar els possibles danys. I en qualsevol cas, si els comptes són atacats, mai hauria d’existir la possibilitat que algú prengués el control del compte d’un usuari quan aquest ha seguit totes les normes i ha aplicat les seves mesures de seguretat. La irresponsabilitat de Twitter és estratosfèrica i absolutament imperdonable.

 I la resposta a l’incident has estat absolutament insuficient. Sense comunicació, sense informació, sense explicacions, sense disculpes. Silenci total. Descontrol total. I aquest no és el camí. Per això preguntem, Twitter, on vas?

Imatge Pixabay

COVID-19: Rentar-se les mans també en Ciberseguretat

per

Hem sabut aquests dies que la millor profilaxis amb el virus és rentar-se les mans. Doncs també hem de rentar-nos les mans en l’àmbit de la Ciberseguretat. Els cibercriminals no perden cap oportunitat i amb el coronavirus no és diferent.

Aquests dies, les xarxes van plenes de notícies i consells sobre el coronavirus i tot i que molts són adequats i ens poden ajudar, trobem també tot tipus d’enganys i estafes. Sí, a pesar de trobar-nos en una situació límit, hi ha gent sense escrúpols decidits a treure’n partit.

Posarem un parell d’exemples. Un de molt recent va ser advertit per l’empresa de seguretat Malwarebytes que van va trobar un lloc web que mostra un mapa de casos de coronavirus a tot el món, que estava infectat amb programari maliciós. El lloc web infectat és una part del lloc real de la Johns Hopkins University. Sembla exactament el real; Si visites el mapa amb una vulnerabilitat en el navegador (perquè ,per exemple, no està actualitzat) quedaràs infectat, naturalment no amb COVID-19, però sí  amb un virus que pot posar en perill la teva empresa o la teva vida personal, o les dues.

Un altre exemple: les campanyes de Phishing i altres estafes a compte del coronavirus. Els delinqüents s’aprofiten de la por, l’ansietat i la desinformació dels usuaris per enviar correus en nom de suposades institucions o empreses amb l’ànim evident de estafar al receptor. Per exemple, els enviats suposadament per l’Organització Mundial de la Salut (OMS) amb un link a una pàgina d’accés falsa per intentar robar les credencials d’accés del usuari.  O correus venent tot tipus de proteccions, reals o cibernètiques, que al final només volen estafar.

I amb el virus ha vingut un augment massiu del teletreball. Això suposa generalment entorns menys segurs (a casa no tenim la infraestructura que tenim a l’empresa), ens falten les rutines que tenim a la feina, ens costa més comunicar-nos amb companys i, en definitiva, estem més exposats en termes de Ciberseguretat.

En aquestes circumstàncies només podem acudir a les institucions de referència i seguir les seves indicacions. En aquest cas, el INCIBE (Institut Nacional de Ciberseguretat) per empreses i is4k per la família (no oblidem que aquests dies la gent jove, i els més petits, passen moltes hores connectats, el que vol dir, exposats).

Al final ,com sempre, protegir-nos el millor que puguem i aplicar el sentit comú.

Teletreball i Ciberseguretat en temps regirats

per

Potser el COVID-19 farà més per la transformació digital de la societat que tot el que s’ha fet fins ara. I potser, de cop, ens adonem que ja no estem en el imaginari País de Mai  Més de Peter Pan sinó en un escenari VUCA [1] al que hem de fer front des de la responsabilitat. I la Ciberseguretat és, sens dubte, una matèria que fins ara ha estat en un segon pla i que tindrà molt protagonisme a partir d’ara.

A partir de les mesures que s’estan imposant a la població per tal de preservar-ne la salut, el teletreball, forma de treballar en la connectada societat del segle XXI, s’imposa com clara alternativa a la habitual “presentisme”, romanent d’una societat post industrial que cada cop té menys sentit per una gran part de les empreses i els treballadors.

[1] VUCA, és l’acrònim que s’utilitza per descriure els entorns caracteritzats per la volatilitat, la incertesa, la complexitat i l’ambigüitat. Aquest terme procedeix de les sigles de les paraules angleses Volatility, Uncertainty, Complexity i Ambiguity.

I Teletreball i Ciberseguretat són dos cares de la mateixa moneda. I perquè sigui més segur teletreballar, us fem algunes recomanacions a tenir en compte.

  • Per l’empresa
    • Disposar d’una Política d’Ús de Mitjans Tecnològics, a disposició dels treballadors
    • Política de Seguretat a través d’un domini
    • Disposar d’una VPN (xarxa privada virtual) que xifri les comunicacions entre l’equip remot i el servidor (prohibir l’ús de xarxes públiques –aeroports, bars, etc.–)
    • Revisar les credencials d’accés (contrasenyes). Comprovar que són segures i canviar-les amb freqüència
    • Implementar eines col·laboratives com videoconferència, chats, espais de grup, etc.
    • Mantenir actualitzats els servidors, routers, infraestructura de comunicacions, etc.
    • Formar un equip de comunicació + tècnic que pugui resoldre dubtes, dona suport i intervenir en cas de crisi
    • Formació dels treballadors en la matèria

  • Per el treballador
    • Fer servir (tret que no es pacti el contrari) exclusivament mitjans corporatius, seguint les indicacions de la Política aprovada per l’empresa.
    • Tenir especial cura amb la utilització de dispositius propis (BYOD[1]): han de estar aprovats per l’empresa i consentit per el treballador (Política d’Ús de Mitjans Tecnològics)
    • Xifrar els dispositius mòbils (USBs, Discs durs, …) i les carpetes confidencials en els portàtils
    • Anar molt amb compte amb les “fake news”, el phishing[2], el scam[3], fitxers annexes, … El teletreball ens posa en una situació molt vulnerable (estem en un lloc diferent, podem tenir problemes tècnics, distraccions, etc.) i hem d’estar molt atents a les amenaces.

I, com sempre, prudència i sentit comú.

[1] Bring Your Own Device: portar el propi dispositiu
[2] Frau de suplantació de personalitat
[3] Estafa nigeriana

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2024 Tots els drets reservats

Revisió Texts legals web