GUIA RÀPIDA PER TELETREBALLAR AMB SEGURETAT

A causa de l’estat d’alarma provocat pel coronavirus moltes administracions i organismes públics estan promovent el teletreball per garantir la continuïtat de les seves funcions i serveis. El teletreball, però, pot plantejar riscos de ciberseguretat sinó s’ha planificat amb temps, s’ha format adequadament al personal i s’ha configurat de forma segura els equips i les connexions. Atès el context actual, és possible que tot això no s’hagi pogut fer en molts casos; per aquest motiu us oferim una selecció de les principals mesures de protecció bàsiques a tenir en compte que us poden ajudar a teletreballar minimitzant els riscos de seguretat en el tractament de la informació de la vostra organització.

Tingueu present que la situació actual és molt atractiva per als ciberdelinqüents per robar contrasenyes i segrestar informació confidencial a canvi d’un rescat. Casos d’aquest tipus han succeït als darrers mesos en administracions públiques amb greu perjudici econòmic i de reputació.

Aquesta selecció s’ha elaborat amb l’objectiu de facilitar una guia pràctica i executiva, adreçada a usuaris no experts d’administracions públiques mitjanes i petites, que no disposen de recursos per aplicar un pla complert i avançat de seguretat. Volem evitar un excés d’informació i fer recomanacions no viables en les circumstàncies en què ens trobem. Per als usuaris que tingueu interès en aprofundir en aquest tema, facilitem enllaços addicionals al final de la guia.

Aquestes recomanacions són de caràcter general. Si la vostra organització disposa d’una guia de ciberseguretat pròpia feu cas d’aquesta.

1. Aspectes organitzatius

La teva organització és molt probable que ja disposi d’un protocol i responsable de ciberseguretat. Verifica amb ell els punts que t’oferim a continuació.

Segueix les instruccions de seguretat del responsable tecnològic de la teva organització.

Fes ús de les eines i aplicacions autoritzades per part de la teva organització. Si tens la necessitat d’utilitzar altres solucions sigues prudent i utilitza només aplicacions de confiança.

I a més…

Valida que es realitzen còpies de seguretat dels documents corporatius que treballaràs des de casa.

Assabenta’t bé de quin és el canal de comunicació d’incidències i de resolució de dubtes.

Notifica immediatament qualsevol incident de ciberseguretat al responsable tecnològic de la teva entitat.

2. Equip de treball

Des del teu equip de treball de casa tindràs accés a la informació confidencial de la teva organització. Tant si utilitzes un ordinador corporatiu, com un ordinador personal cal tenir en compte un conjunt de mesures de protecció i preventives. Si utilitzes un equip de treball corporatiu, el més habitual és que ja compleixi la majoria o la totalitat de les recomanacions a través de les polítiques de seguretat que ha forçat l’administrador.

Assegura’t que el sistema i les aplicacions estan actualitzades amb les darreres versions i que l’actualització automàtica de versions està activada.

Comprova que el teu ordinador té un sistema d’anti-virus i anti-malware actiu.

  • Per a Windows: activa Microsoft Defender Anti-malware
  • Per a MAC: instal·la alguna solució de mercat amb una versió gratuïta: Kaspersky, Avast, AVG, Bitdefender, etc.

Aplica el bloqueig automàtic de la pantalla al cap de deu minuts.

I a més…

Crea en el teu sistema operatiu un compte independent per a la família i per a teletreballar. Cal evitar qualsevol accés no autoritzat a informació confidencial.

Activa un Tallafocs (firewall) al teu equip.

3. Connexió a Internet i accés remot

Les xarxes WiFi domèstiques no solen disposar dels mateixos controls de seguretat, com ara tallafocs, que s’implementen a les oficines corporatives. Per això, quan treballes de manera remota cal posar especial atenció a les característiques de la xarxa a través de la qual et connectes, ja sigui per navegar per internet com per accedir als sistemes i les dades de la teva organització.

Evita utilitzar xarxes públiques WiFi que no siguin conegudes i de confiança per accedir remotament als serveis de l’organització.

I a més…

Utilitza, si escau, els serveis de connexió remota VPN (xarxa privada virtual) que recomani la teva organització per accedir als sistemes d’informació corporativa.

Comprova que el Router de connexió a Internet no utilitza la contrasenya per defecte de fàbrica. A Internet i YouTube trobaràs molts tutorials. Pots fer servir el procediment que recomana l’Organització del Consumidor i Usuaris.

Configura la contrasenya del Router amb sistemes d’encriptació segura: WPA3 (preferentment) o WPA2.

4. Còpies de seguretat

Tota la documentació ofimàtica que generis a l’ordinador privat que facis servir per teletreballar i no sigui guardada al servidor de l’organització, segurament no disposarà d’un sistema de còpia de seguretat automatitzat. Per tant, és recomanable que prenguis la precaució de realitzar còpies de seguretat.

Fes còpies de seguretat dels documents generats en local a través d’algun dels mecanismes següents:

  • Memòries USB: prèviament hauries d’haver netejat o formatejat per a garantir que no té cap risc
  • Disc dur extern
  • Servei d’emmagatzemament al núvol autoritzat per l’organització

5. Contrasenyes i autenticació

Quan teletreballes la forma d’autenticar-te en els sistemes i aplicacions és especialment crítica, ja que amb una contrasenya sostreta es podria accedir a informació confidencial i/o prendre el control d’un servei de la teva organització. A continuació t’oferim algunes recomanacions per autenticar-te amb més seguretat, així com per definir i utilitzar contrasenyes més robustes.

Utilitza, sempre que sigui possible, l’accés als sistemes d’informació amb certificat digital (preferiblement T-CAT P) o sistemes d’autenticació de doble factor per a evitar que et robin la contrasenya. (Els sistemes de doble factor es basen en codis d’un sol ús que s’envien per SMS o bé a una APP)

Utilitza contrasenyes complexes: combinació de caràcters especials, números i lletres majúscules i minúscules.

No apuntis les contrasenyes corporatives enlloc.

Si instal·les certificats digitals en programari en el teu ordinador personal (TCAT-P, idCAT Certificat) utilitza l’opció “Escriure la Contrasenya per a la clau privada”: d’aquesta forma només es podrà fer servir el certificat digital si es coneix la contrasenya.

I a més…

Si has d’utilitzar molts comptes amb diferents usuaris i contrasenya, utilitza una aplicació per a gestionar de forma segura les diferents contrasenyes. Hi ha diverses solucions que ofereixen una versió gratuïta (Lastpass, Dashlane, etc). Els dispositius Apple – iOS disposen d’un gestor de contrasenyes integrat amb el sistema operatiu.

I a més…

Els navegadors web dels equips hauran d’estar actualitzats i configurats amb la darrera versió i pegats de programari.

Eliminar periòdicament l’historial de navegació, les cookies, contrasenyes recordades i altres arxius temporals. Així evites potencials elements espies.

7. Videoconferències segures

Per garantir la seguretat i la privacitat de les converses durant les videoconferències amb el teu equip de treball o de projecte, cal tenir en compte els aspectes següents:

Convoca la reunió de manera segura. Permet que només els usuaris que coneguin les dades de la reunió puguin unir-se a la sessió de videoconferència. Per a fer-ho:

  1. Crea una reunió a la que només puguin unir-se les persones convidades.
  2. Envia la invitació a través del correu-e particular dels participants o a través d’una plataforma o canal securitzat.
    • Fes que les persones a qui hagis convidat per correu-e hagin d’iniciar la sessió a través d’aquesta mateixa adreça o bé,
    • utilitza un sistema d’autenticació de doble factor, per exemple generant l’enllaç de la reunió (o ID de reunió, en el cas de Zoom) i requerint una clau per unir-se.
    • La sala d’espera també és una característica molt útil perquè els amfitrions controlin qui entra i qui surt de la reunió.
  3. No comparteixis l’enllaç per unir-se a la reunió a través de xarxes socials o altres fòrums públics. QUALSEVOL amb l’enllaç podria unir-se a la sessió.

Administra als participants.

  • Configura per endavant qui podrà compartir pantalla o enviar arxius a través del xat durant la reunió.
  • En el cas de reunions grans, recorda que l’amfitrió pot silenciar els participants individualment o tots alhora, per evitar ecos, remor de fons i distraccions o converses paral·leles.
  • Valora si és necessari bloquejar la reunió quan ja hi siguin tots els participants, perquè no puguin unir-se nous participants no desitjats.

I a més…

Familiaritza’t prèviament amb la configuració i les funcions de l’eina de videoconferència que utilitzaràs per saber com protegir l’espai virtual on tindrà lloc la reunió.

Al final de la sessió, assegura’t que l’espai virtual on ha tingut lloc la reunió queda tancat o accessible només per als participants de la reunió, ja que poden haver-hi notes, fitxers i informació de caràcter privat.

8. Phishing

El phishing és un tipus de ciberdelicte que consisteix en l’enviament de correus fraudulents amb l’objectiu de robar la contrasenya o altra informació personal. És una de les estafes més utilitzades pels delinqüents informàtics. El funcionament del phishing és senzill: es rep un correu electrònic, amb una aparença legítima que demana actualitzar, validar o confirmar informació mitjançant un enllaç. Després de clicar en ell, se’t redirigeix a una pàgina web falsa, en la qual es procedeix al robatori de la contrasenya o altres dades.

No facis clics a enllaços, ni descarreguis cap document adjunt de correus electrònics sospitosos. Sospita de correus electrònics que demanen fer actuacions no habituals de renovar contrasenyes. Revisa l’adreça del remitent (no l’àlies) dels correus electrònics aparentment legítims.

I a més…

Quan et connectis via web verifica a la barra del navegador que l’adreça web del destí és la correcte. Els ciberdelinqüents poden replicar completament un web i robar-te la teva contrasenya.

9. A l'acabar la feina

Des del teu equip de treball de casa tindràs accés a la informació confidencial de la teva organització.

Tanca totes les connexions als sistemes d’informació i webs corporatives.

Fes una còpia de seguretat dels documents locals que has treballat i que no estan coberts per la còpia de seguretat corporativa.

I a més…

Elimina l’historial de navegació, les cookies, contrasenyes recordades i altres arxius temporals.

10. Més informació

Els usuaris que desitgeu ampliar la informació d’aquesta guia us recomanem que visiteu les següents pàgines web especialitzades:

Agraïments

Aquest conjunt de recomanacions ha estat elaborat a partir de recursos propis de l’AOC, de les directrius de l’Agència de Ciberseguretat de Catalunya, l’Associació Catalana d’Enginyers de Telecomunicació de (Telecos.cat), els consultors Genís Margarit Contel i Cristina Ribas Casademont, i els documents de l’apartat “Més informació”.

Des de l’AOC volem agrair totes les aportacions desinteressades i proactives que hem rebut i que són molt útils i valuoses en aquests moments per garantir la seguretat dels sistemes d’informació del sector públic.

Notes

  1. Aquesta guia està oberta a suggeriments, propostes de millora i correccions. Els teus comentaris seran molt benvinguts: els pots enviar a innovacio@aoc.cat.
  2. Hem demanat a dues entitats de la comunitat de programari lliure i quatre usuaris que ens han fet comentaris crítics que ens ajudin a completar aquesta guia amb les recomanacions específiques per als sistemes operatius basats en Linux. De moment no hem rebut cap resposta.

Connectem

La selecció de l'actualitat d'Administració Oberta a la vostra safata.

  • Aquest camp només és per validació i no s'ha de modificar.
CA ES EN