A causa de l’estat d’alarma provocat pel coronavirus moltes empreses, administracions i organismes públics estan promovent el teletreball per garantir la continuïtat de les seves funcions i serveis. El teletreball, però, pot plantejar riscos de ciberseguretat sinó s’ha planificat amb temps, s’ha format adequadament al personal i s’ha configurat de forma segura els equips i les connexions. Atès el context actual, és possible que tot això no s’hagi pogut fer en molts casos; per aquest motiu us oferim una selecció de les principals mesures de protecció bàsiques a tenir en compte que us poden ajudar a teletreballar minimitzant els riscos de seguretat en el tractament de la informació de la vostra organització.
Tingueu present que la situació actual és molt atractiva per a “hackers” criminals per robar contrasenyes i segrestar informació confidencial a canvi d’un rescat. Casos d’aquest tipus han succeït als darrers mesos en administracions públiques amb greu prejudici econòmic i de reputació.
Aquesta selecció s’ha elaborat amb l’objectiu de facilitar una guia pràctica i executiva, adreçada a usuaris no experts d' empreses i d’administracions públiques mitjanes i petites, que no disposen de recursos per aplicar un pla complet i avançat de seguretat. Volem evitar un excés d’informació i fer recomanacions no viables en les circumstàncies en què ens trobem. Per als usuaris que tingueu interès en aprofundir en aquest tema, facilitem enllaços addicionals al final de la guia.
Aquestes recomanacions són de caràcter general. Si la vostra organització disposa d’una guia de ciberseguretat pròpia feu cas d’aquesta.
Aspectes organitzatius
A més…
- Valida que es realitzen còpies de seguretat dels documents corporatius que treballaràs des de casa.
- Assabenta’t bé de quin és el canal de comunicació d’incidències i de resolució de dubtes.
- Notifica immediatament qualsevol incident de ciberseguretat al teu responsable tecnològic.
Equip de treball
Des del teu equip de treball de casa tindràs accés a la informació confidencial de la teva organització. Tant si utilitzes un ordinador corporatiu, com un ordinador personal cal tenir en compte un conjunt de mesures de protecció i preventives. Si utilitzes un equip de treball corporatiu, el més habitual és que ja compleixi la majoria o la totalitat de les recomanacions a través de les polítiques de seguretat que ha forçat l’administrador.
Assegura’t que el sistema i les aplicacions estan actualitzades amb les darreres versions i que l’actualització automàtica de versions està activada.
A més…
- Crea en el teu sistema operatiu un compte independent per a la família i per a teletreballar. Cal evitar qualsevol accés no autoritzat a informació confidencial.
- Activa un Tallafocs (firewall) al teu equip.
Connexió a Internet i accés remot
A més…
- Utilitza, si escau, els serveis de connexió remota VPN (xarxa privada virtual) que recomani la teva organització per accedir als sistemes d’informació corporativa.
- Comprova que el Router de connexió a Internet no utilitza la contrasenya per defecte de fàbrica.
- Configura la contrasenya del Router amb sistemes d’encriptació segura: WPA3 (preferentment) o WPA2.
Còpies de seguretat
Tota la documentació ofimàtica que generis a l’ordinador privat que facis servir per teletreballar i no sigui guardada al servidor de l’organització, segurament no disposarà d’un sistema de còpia de seguretat automatitzat. Per tant, és recomanable que prenguis la precaució de realitzar còpies de seguretat.
– Memòries USB: prèviament hauries d’haver netejat o formatejat per a garantir que no té cap risc
– Disc dur extern
– Servei d’emmagatzemament al núvol autoritzat per l’organització
Contrasenyes i autenticació
A més…
- Si has d’utilitzar molts comptes amb diferents usuaris i contrasenya, utilitza una aplicació per a gestionar de forma segura les diferents contrasenyes. Els dispositius Apple – iOS disposen d’un gestor de contrasenyes integrat amb el sistema operatiu.
Navegació segura per Internet
A més…
- Els navegadors web dels mitjans hauran d’estar actualitzats i configurats amb la darrera versió i pegats de programari.
- Eliminar periòdicament l’historial de navegació, les cookies, contrasenyes recordades i altres arxius temporals. Així evitem potencials elements espies.
Phishing
El phishing és un tipus de ciberdelicte que consisteix en l’enviament de correus fraudulents amb l’objectiu de robar la contrasenya o altra informació personal. És una de les estafes més utilitzades pels delinqüents informàtics. El funcionament del phishing és senzill: es rep un correu electrònic, amb una aparença legítima que demana actualitzar, validar o confirmar informació mitjançant un enllaç. Després de clicar en ell, se’t redirigeix a una pàgina web falsa, en la qual es procedeix al robatori de la contrasenya o altres dades.
A més…
- Quan et connectis via web verifica a la barra del navegador que l’adreça web del destí és la correcte. Els ciberdelinqüents poden replicar completament un web i robar-te la teva contrasenya.
A l’acabar la feina
I a més…
- Elimina l’historial de navegació, les cookies, contrasenyes recordades i altres arxius temporals.
Agraïments
Aquest conjunt de recomanacions ha estat elaborat pel Consorci Administració Oberta de Catalunya a partir de recursos propis de l’AOC, de les directrius de l’Agència de Ciberseguretat de Catalunya, l’Associació Catalana d’Enginyers de Telecomunicació de (Telecos.cat), els consultors Genís Margarit Contel i Cristina Ribas Casademont.
Des de MATSMÀTICA volem agraïr aquestes magnífiques aportacions desinteressades i proactives que han recopilat i que són molt útils i valuoses en aquests moments per garantir la seguretat dels sistemes d’informació del sector públic i privat.