Guia ràpida per teletreballar amb seguretat

A causa de l’estat d’alarma provocat pel coronavirus moltes administracions i organismes públics estan promovent el teletreball per garantir la continuïtat de les seves funcions i serveis. El teletreball, però, pot plantejar riscos de ciberseguretat sinó s’ha planificat amb temps, s’ha format adequadament al personal i s’ha configurat de forma segura els equips i les connexionsAtès el context actual, és possible que tot això no s’hagi pogut fer en molts casos; per aquest motiu us oferim una selecció de les principals mesures de protecció bàsiques a tenir en compte que us poden ajudar a teletreballar minimitzant els riscos de seguretat en el tractament de la informació de la vostra organització.  

Tingueu present que la situació actual és molt atractiva per a “hackers” criminals per robar contrasenyes  i segrestar informació confidencial a canvi d’un rescat. Casos d’aquest tipus han succeït als darrers mesos en administracions públiques amb greu prejudici econòmic i de reputació. 

Aquesta selecció s’ha elaborat amb l’objectiu de facilitar una guia pràctica i executiva, adreçada a usuaris no experts d’administracions públiques mitjanes i petites, que no disposen de recursos per aplicar un pla complet i avançat de seguretat. Volem evitar un excés d’informació i fer recomanacions no viables en les circumstàncies en què ens trobem. Per als usuaris que tingueu interès en aprofundir en aquest tema, facilitem enllaços addicionals al final de la guia.

Aquestes recomanacions són de caràcter general. Si la vostra organització disposa d’una guia de ciberseguretat pròpia feu cas d’aquesta.

Aspectes organitzatius

Segueix les instruccions de seguretat del responsable tecnològic de la teva organització  

Fes ús de les eines i aplicacions autoritzades per part de la teva organització. Si tens la necessitat d’utilitzar altres solucions sigues prudent i utilitza només aplicacions de confiança.

A més…

  • Valida que es realitzen còpies de seguretat dels documents corporatius que treballaràs des de casa. 
  • Assabenta’t bé de quin és el canal de comunicació d’incidències i de resolució de dubtes. 
  • Notifica immediatament qualsevol incident de ciberseguretat al responsable tecnològic de la seva entitat.


Equip de treball

Des del teu equip de treball de casa tindràs accés a la informació confidencial de la teva organització. Tant si utilitzes un ordinador corporatiu, com un ordinador personal cal tenir en compte un conjunt de mesures de protecció i preventives. Si utilitzes un equip de treball corporatiu, el més habitual és que ja compleixi la majoria o la totalitat de les recomanacions a través de les polítiques de seguretat que ha forçat l’administrador. 

Assegura’t que el sistema i les aplicacions estan actualitzades amb les darreres versions i que l’actualització automàtica de versions està activada.
Per a Windows 
Per a MAC

Comprova que el teu ordinador té un sistema d’anti-virus i anti-malware actiu.  
– Per a Windows: activa Microsoft Defender Anti-malware
– Per a MAC: instal·la alguna solució de mercat amb una versió gratuïta: Kaspersky, Avast, AVG, Bitdefender, etc.

Aplica el bloqueig automàtic de la pantalla al cap de deu minuts . 

A més…

  • Crea en el teu sistema operatiu un compte independent per a la família i per a teletreballar. Cal evitar qualsevol accés no autoritzat a informació confidencial. 
    Per a Windows
    Per a MAC


Connexió a Internet i accés remot

Evita utilitzar xarxes públiques WiFi que no siguin conegudes i de confiança per accedir remotament als serveis de l’organització.  

A més…

  • Utilitza, si escau, els serveis de connexió remota VPN (xarxa privada virtual) que recomani la teva organització per accedir als sistemes d’informació corporativa. 
  • Configura la contrasenya del Router amb sistemes d’encriptació segura: WPA3 (preferentment) o WPA2. 


Còpies de seguretat  

Tota la documentació ofimàtica que generis a l’ordinador privat que facis servir per teletreballar i no sigui guardada al servidor de l’organització,  segurament no disposarà d’un sistema de còpia de seguretat automatitzat. Per tant, és recomanable que prenguis la precaució de realitzar còpies de seguretat. 

Fes còpies de seguretat dels documents generats en local a través d’algun dels següents mecanismes: 
– Memòries USB: prèviament hauries d’haver netejat o formatejat per a garantir que no té cap risc 
– Disc dur extern
– Servei d’emmagatzemament al núvol autoritzat per l’organització


Contrasenyes i autenticació

Utilitza, sempre que sigui possible, l’accés als sistemes d’informació amb certificat digital o sistemes d’autenticació de doble factor per a evitar que et robin la contrasenya. (Els sistemes de doble factor es basen en codis d’un sol ús que s’envien per SMS o bé a una APP)

Utilitza contrasenyes complexes: combinació de caràcters especials, números i lletres majúscules i minúscules.  

No apuntis les contrasenyes corporatives enlloc.

Si instal·les certificats digitals en programari en el teu ordinador personal (TCAT-P, idCAT Certificat) utilitza l’opció “Escriure la Contrasenya per a la clau privada”: d’aquesta forma només es podrà fer servir el certificat digital si es coneix la contrasenya.

A més…

  • Si has d’utilitzar molts comptes amb diferents usuaris i contrasenya, utilitza una aplicació per a gestionar de forma segura les diferents contrasenyes. Hi ha diverses solucions que ofereixen una versió gratuïta (Lastpass, Dashlane, etc). Els dispositius Apple – iOS disposen d’un gestor de contrasenyes integrat amb el sistema operatiu.


Navegació segura per Internet

Evitar la navegació per pàgines no segures i evitar la instal·lació de qualsevol programari o contingut dubtós. 

A més…

  • Els navegadors web dels mitjans hauran d’estar actualitzats i configurats amb la darrera versió i pegats de programari. 
  • Eliminar periòdicament l’historial de navegació, les cookies, contrasenyes recordades i altres arxius temporals. Així evitem potencials elements espies.


Phishing 

El phishing és un tipus de ciberdelicte que consisteix en l’enviament de correus fraudulents amb l’objectiu de robar la contrasenya o altra informació personal. És una de les estafes més utilitzades pels delinqüents informàtics. El funcionament del phishing és senzill: es rep un correu electrònic, amb una aparença legítima que demana actualitzar, validar o confirmar informació mitjançant un enllaç. Després de clicar en ell, se’t redirigeix a una pàgina web falsa, en la qual es procedeix al robatori de la contrasenya o altres dades. 

No facis clics a enllaços, ni descarreguis cap document adjunt de correus electrònics sospitosos. Sospita de correus electrònics que demanen fer actuacions no habituals de renovar contrasenyes. Revisa l’adreça del remitent (no l’àlies) dels correus electrònics aparentment legítims.

A més…

  • Quan et connectis via web verifica a la barra del navegador que l’adreça web del destí és la correcte. Els ciberdelinqüents poden replicar completament un web i robar-te la teva contrasenya.


A l’acabar la feina 

Tanca totes les connexions als sistemes d’informació i webs corporatives.

Fes una còpia de seguretat dels documents locals que has treballat i que no estan coberts per la còpia de seguretat corporativa.

I a més…

  • Elimina l’historial de navegació, les cookies, contrasenyes recordades i altres arxius temporals. 


Més informació 

Els usuaris que desitgin ampliar aquesta informació els recomanem que visitin les següents pàgines web especialitzades:  


Agraïments 

Aquest conjunt de recomanacions ha estat elaborat a partir de recursos propis de l’AOC, de les directrius de l’Agència de Ciberseguretat de Catalunya, l’Associació Catalana d’Enginyers de Telecomunicació de (Telecos.cat), els consultors Genís Margarit Contel i Cristina Ribas Casademont, i els documents de l’apartat “Més informació”.  

Des de l’AOC volem agrair totes les aportacions desinteressades i proactives que hem rebut i que són molt útils i valuoses en aquests moments per garantir la seguretat dels sistemes d’informació del sector públic. 

Notes

  • Aquesta guia està oberta a suggeriments, propostes de millora i correccions. Els teus comentaris seran molt benvinguts: els pots enviar a innovacio@aoc.cat
  • Hem demanat a dues entitats de la comunitat de programari lliure i quatre usuaris que ens han fet comentaris crítics que ens ajudin a completar aquesta guia amb les recomanacions específiques per als sistemes operatius basats en Linux. De moment no hem rebut cap resposta.

11 Comentaris

  1. Per variar, us heu oblidat de totes aquelles persones que entrem el mínim possible dins del joc de les grans multinacionals i fem servir sistemes oberts i gratuïts (Unix), tant a la feina, per decisió corporativa, com a casa, per elecció personal.

    1. Hola Marcel,
      la guia que us oferim ha estat elaborada gràcies a les aportacions de la ciutadania, organismes públics, ens privats, etc que, desinteressadament han col·laborat amb nosaltres compartint informació.
      El convidem a compartir amb nosaltres recursos per ampliar la guia amb recomanacions de sistemes operatius de Linux.

      Moltes gràcies

    2. “. Notes
      Aquesta guia està oberta a suggeriments, propostes de millora i correccions. Els teus comentaris seran molt benvinguts: els pots enviar a innovacio@aoc.cat
      Hem demanat a usuaris de la comunitat de programari lliure que ens ajudin a completar aquesta guia amb les recomanacions especfiques per als sistemes operatius basats en Linux ”

      Tant queixar-vos i encara estan esperant les vostres aportacions … el fàcil és queixar-se com sempre …

      Al Consorci, MOLTES GRÀCIES ! per la informació desinteressada !

  2. Gràcies per distribuir aquesta informació.
    Permet-me dir que trobo deficient el fet que no s’inclou informacions específiques per a persones que utilitzem sistema operatiu Linux. Com sabeu, és un sistema lliure. En principi, la Generalitat està compromesa amb els entorns de codi lliure però en aquest cas veig que no és així i he quedat desatés.
    Confio en la possibilitat de millorar en aquest aspecte.

    1. Hola Richard,
      la guia que us oferim ha estat elaborada gràcies a les aportacions de la ciutadania, organismes públics, ens privats, etc que, desinteressadament han col·laborat amb nosaltres compartint informació.
      El convidem a compartir amb nosaltres recursos per ampliar la guia amb recomanacions de sistemes operatius de Linux.

      Moltes gràcies

Deixa un comentari

XHTML: Pots utilitzar aquestes etiquetes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Connectem

La selecció de l'actualitat d'Administració Oberta a la vostra safata.

  • Aquest camp només és per validació i no s'ha de modificar.
CA ES EN