Seguridad de la Información

7.1. Fundamentos y estándares de Seguridad de la Información.
7.2. El binomio seguridad de la información como obligación legal y seguridad de la información como buenas prácticas.
7.3. Visión práctica de la auditoría de sistemas de información. El perfil profesional de auditor de sistemas de información.
7.4. Sistemas de Gestión de la Seguridad de la Información (SGSI): ISO 27001: 2013.
7.5. Auditoría y perfil jurídico: métodos de trabajo de auditoría de seguridad aplicada a las obligaciones legales de auditar sistemas de información.

Twitter, on vas?

per

Hem conegut aquest setmana, dimecres, que Twitter, la xarxa social dels missatges curts, ha estat hackejada. Els comptes de Jeff Bezos, Musk, Obama o Gates s’han vist decididament compromesos. Això, junt amb la resposta de la companyia a l’incident, ha disparat totes les alarmes.

En els Estats Units ja ho han qualificat de “tweet-tastrophe”. I no és per menys. La bretxa de seguretat ha afectat a unes 130 comptes de persones rellevants. I els hackers, segons les primeres informacions, han pogut tenir accés total a un nombre indeterminat d’aquests comptes.

Twitter pot tenir actualment uns 400 milions d’usuaris i és la forma més ràpida de comunicació de masses. Cap altre mitjà hi pot competir. I tot el que té de bo ho té de pervers en situacions com aquesta. I perversitat en dos vessants: la gravíssima situació creada d’una banda i, de l’altre, la irresponsabilitat de la companyia i la seva decebedora resposta a l’incident.

Respecte a la primera, ara hem tingut evidència del risc que suposa que els líders mundials facin servir un producte comercial que no ha estat verificat per les autoritats de seguretat i que està en mans d’una empresa privada. Imaginem, per un moment, la importància que pot tenir per la cotització de Tesla a borsa un tweet malintencionat tuitat, suposadament, per Elon Musk. O per a les economies mundials si el tweet procedeix d’un Bill Gates impostat. I que dir d’un tweet fake de Trump quan els verdaders ja ens posen els cabells de punta. Des de l’enfonsament d’una companyia a un terrabastall econòmic, o ves a saber si sanitari si el tuit es refereix al COVID-10, fins a posar en perill la seguretat mundial amb tuits falsos creuats entre Trump i Putin, per exemple.

Respecte a la responsabilitat de la companyia val a dir que és màxima. És clar que tot sistema és susceptible de ser hackejat però per això les empreses, i més quan són així de rellevants, han de tenir plans de contingència que permetin minimitzar sinó evitar els possibles danys. I en qualsevol cas, si els comptes són atacats, mai hauria d’existir la possibilitat que algú prengués el control del compte d’un usuari quan aquest ha seguit totes les normes i ha aplicat les seves mesures de seguretat. La irresponsabilitat de Twitter és estratosfèrica i absolutament imperdonable.

 I la resposta a l’incident has estat absolutament insuficient. Sense comunicació, sense informació, sense explicacions, sense disculpes. Silenci total. Descontrol total. I aquest no és el camí. Per això preguntem, Twitter, on vas?

Imatge Pixabay

COVID-19: Rentar-se les mans també en Ciberseguretat

per

Hem sabut aquests dies que la millor profilaxis amb el virus és rentar-se les mans. Doncs també hem de rentar-nos les mans en l’àmbit de la Ciberseguretat. Els cibercriminals no perden cap oportunitat i amb el coronavirus no és diferent.

Aquests dies, les xarxes van plenes de notícies i consells sobre el coronavirus i tot i que molts són adequats i ens poden ajudar, trobem també tot tipus d’enganys i estafes. Sí, a pesar de trobar-nos en una situació límit, hi ha gent sense escrúpols decidits a treure’n partit.

Posarem un parell d’exemples. Un de molt recent va ser advertit per l’empresa de seguretat Malwarebytes que van va trobar un lloc web que mostra un mapa de casos de coronavirus a tot el món, que estava infectat amb programari maliciós. El lloc web infectat és una part del lloc real de la Johns Hopkins University. Sembla exactament el real; Si visites el mapa amb una vulnerabilitat en el navegador (perquè ,per exemple, no està actualitzat) quedaràs infectat, naturalment no amb COVID-19, però sí  amb un virus que pot posar en perill la teva empresa o la teva vida personal, o les dues.

Un altre exemple: les campanyes de Phishing i altres estafes a compte del coronavirus. Els delinqüents s’aprofiten de la por, l’ansietat i la desinformació dels usuaris per enviar correus en nom de suposades institucions o empreses amb l’ànim evident de estafar al receptor. Per exemple, els enviats suposadament per l’Organització Mundial de la Salut (OMS) amb un link a una pàgina d’accés falsa per intentar robar les credencials d’accés del usuari.  O correus venent tot tipus de proteccions, reals o cibernètiques, que al final només volen estafar.

I amb el virus ha vingut un augment massiu del teletreball. Això suposa generalment entorns menys segurs (a casa no tenim la infraestructura que tenim a l’empresa), ens falten les rutines que tenim a la feina, ens costa més comunicar-nos amb companys i, en definitiva, estem més exposats en termes de Ciberseguretat.

En aquestes circumstàncies només podem acudir a les institucions de referència i seguir les seves indicacions. En aquest cas, el INCIBE (Institut Nacional de Ciberseguretat) per empreses i is4k per la família (no oblidem que aquests dies la gent jove, i els més petits, passen moltes hores connectats, el que vol dir, exposats).

Al final ,com sempre, protegir-nos el millor que puguem i aplicar el sentit comú.

Teletreball i Ciberseguretat en temps regirats

per

Potser el COVID-19 farà més per la transformació digital de la societat que tot el que s’ha fet fins ara. I potser, de cop, ens adonem que ja no estem en el imaginari País de Mai  Més de Peter Pan sinó en un escenari VUCA [1] al que hem de fer front des de la responsabilitat. I la Ciberseguretat és, sens dubte, una matèria que fins ara ha estat en un segon pla i que tindrà molt protagonisme a partir d’ara.

A partir de les mesures que s’estan imposant a la població per tal de preservar-ne la salut, el teletreball, forma de treballar en la connectada societat del segle XXI, s’imposa com clara alternativa a la habitual “presentisme”, romanent d’una societat post industrial que cada cop té menys sentit per una gran part de les empreses i els treballadors.

[1] VUCA, és l’acrònim que s’utilitza per descriure els entorns caracteritzats per la volatilitat, la incertesa, la complexitat i l’ambigüitat. Aquest terme procedeix de les sigles de les paraules angleses Volatility, Uncertainty, Complexity i Ambiguity.

I Teletreball i Ciberseguretat són dos cares de la mateixa moneda. I perquè sigui més segur teletreballar, us fem algunes recomanacions a tenir en compte.

  • Per l’empresa
    • Disposar d’una Política d’Ús de Mitjans Tecnològics, a disposició dels treballadors
    • Política de Seguretat a través d’un domini
    • Disposar d’una VPN (xarxa privada virtual) que xifri les comunicacions entre l’equip remot i el servidor (prohibir l’ús de xarxes públiques –aeroports, bars, etc.–)
    • Revisar les credencials d’accés (contrasenyes). Comprovar que són segures i canviar-les amb freqüència
    • Implementar eines col·laboratives com videoconferència, chats, espais de grup, etc.
    • Mantenir actualitzats els servidors, routers, infraestructura de comunicacions, etc.
    • Formar un equip de comunicació + tècnic que pugui resoldre dubtes, dona suport i intervenir en cas de crisi
    • Formació dels treballadors en la matèria

  • Per el treballador
    • Fer servir (tret que no es pacti el contrari) exclusivament mitjans corporatius, seguint les indicacions de la Política aprovada per l’empresa.
    • Tenir especial cura amb la utilització de dispositius propis (BYOD[1]): han de estar aprovats per l’empresa i consentit per el treballador (Política d’Ús de Mitjans Tecnològics)
    • Xifrar els dispositius mòbils (USBs, Discs durs, …) i les carpetes confidencials en els portàtils
    • Anar molt amb compte amb les “fake news”, el phishing[2], el scam[3], fitxers annexes, … El teletreball ens posa en una situació molt vulnerable (estem en un lloc diferent, podem tenir problemes tècnics, distraccions, etc.) i hem d’estar molt atents a les amenaces.

I, com sempre, prudència i sentit comú.

[1] Bring Your Own Device: portar el propi dispositiu
[2] Frau de suplantació de personalitat
[3] Estafa nigeriana

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats

Revisió Texts legals web