501-10356-101 Venta y asesoramiento · Seguretat de la Informació Tea Cegos, S.A. 2019 3...

Normativa

Tema 12 Seguretat de la Informació

2019

NORMATIVA Tema 12. Seguretat de la Informació

Tea Cegos, S.A. 2019 2

ÍNDEX

INTRODUCCIÓ ....................................................................................................... 3

PROTECCIÓ DE LA INFORMACIÓ .......................................................................... 3

CONFIDENCIALITAT DE LA INFORMACIÓ .............................................................. 3

COM TREBALLAR AMB LA INFORMACIÓ ............................................................... 7

COM PROTEGIR EL TEU NOM D'USUARI I LA TEVA CONTRASENYA .................... 12

EQUIPS INFORMÀTICS ......................................................................................... 15

PORTÀTILS, SMART PC I ESTACIONS DE TREBALL FIXES ........................................ 15

SMARTPHONES, TABLETS I MÒBILS ........................................................................ 17

RISCOS DEL CORREU ELECTRÒNIC ..................................................................... 19

TIPUS DE CORREU ELECTRÒNIC IL·LEGÍTIM .......................................................... 19

PRINCIPALS RISCOS DEL CORREU ELECTRÒNIC .................................................. 20

COM DETECTAR SI UN CORREU ÉS IL·LEGÍTIM ..................................................... 20

COM ACTUAR DAVANT UN CORREU SOSPITÓS .................................................. 22

PHISHING CORPORATIU: SEMBLA DE L'EMPRESA, PERÒ NO HO ÉS .................... 23

INTERNET I XARXES SOCIALS .............................................................................. 25

ÚS D'INTERNET ........................................................................................................ 25

XARXES SOCIALS ................................................................................................... 27

ATACS D'ENGINYERIA SOCIAL ........................................................................... 29

QUÈ ÉS L'ENGINYERIA SOCIAL? ............................................................................ 29

QUINS OBJECTIUS PERSEGUEIX L'ENGINYERIA SOCIAL? ...................................... 30

QUÈ HAIG DE FER EN CAS DE DETECTAR UN POSSIBLE ATAC D’ENGINYERIA

SOCIAL? ................................................................................................................ 30

CONTRACTES AMB TERCERS ............................................................................... 31

INCIDÈNCIES DE SEGURETAT ............................................................................... 32

COMUNICACIÓ DE LA INCIDÈNCIA DE SEGURETAT ........................................... 32

EXEMPLES D'INCIDÈNCIES DE SEGURETAT ............................................................ 33



INTRODUCCIÓ

La seguretat de la informació és clau per preservar el negoci i la reputació del Grup

CaixaBank.

Com a empleat necessites estar al corrent dels aspectes que componen la

seguretat de la informació, per saber protegir-te. Aquest manual t'aportarà el

coneixement normatiu i imprescindible sobre protecció de la informació i cultura de

la seguretat global. Aprendràs a identificar riscos i cuidar la teva seguretat en l’àmbit

professional.

Per saber-ne més...

Consulta la següent informació:

Norma 66: Seguretat informàtica.

Codi de Conducta Telemàtic.

Política de la Seguretat de la informació del Grup CaixaBank.

Web InfoProtect.

Uneix-te a la cultura de seguretat global de CaixaBank.

PROTECCIÓ DE LA INFORMACIÓ

Cada dia, per realitzar la teva feina, gestiones una gran quantitat d’informació, i

és fonamental que sàpigues protegir-la. En aquest apartat, hi coneixeràs els tres

nivells de confidencialitat de la informació. També aprendràs a classificar,

emmagatzemar, enviar i destruir la informació de manera segura.

CONFIDENCIALITAT DE LA INFORMACIÓ

Què és la confidencialitat?

La confidencialitat és la propietat de la informació per la qual aquesta no es posa

a disposició o es revela a individus, entitats o processos no autoritzats.

La informació que gestiona l’empleat en la seva activitat professional és propietat

del Grup CaixaBank, i no pot utilitzar-se per a altres finalitats.

Qualsevol persona que intervingui en el tractament de la informació del Grup

CaixaBank està obligada a mantenir el secret professional sobre aquesta

informació.

Què és la informació confidencial?

La informació confidencial es pot definir com aquella l’ús de la qual és restringit i

que la posseeixen o tenen accés a ella només algunes persones pel seu càrrec o

per les seves funcions.

És tota aquella informació que hem de protegir de l’accés d’altres persones. No

importa el suport, el tipus d’informació o fins i tot si es comunica verbalment.



Per què diem que una informació és confidencial?

Perquè és informació crítica per a la nostra feina.

Perquè reporta al Grup CaixaBank avantatges competitius al mercat.

Perquè està protegida per la legislació, com per exemple les dades personals.

Perquè ens hem compromès amb un tercer a mantenir aquesta informació en

secret (un client, un soci, un proveïdor, etc.).

Graus de confidencialitat

En funció del grau de confidencialitat, la informació es classifica en un dels

següents 3 grups.

1. Informació pública

Informació a la qual el Grup CaixaBank no posa límits quant al nombre i tipus de

receptors possibles. Pot tractar-se d’informació publicada en els mitjans de

comunicació, informació que apareix en llocs d’internet o en altres mitjans de

difusió amb projecció externa a l’empresa.

2. Informació d'ús intern

Informació que no ha de ser accessible fora de l'àmbit del Grup CaixaBank, ni

tampoc fora dels entorns dels proveïdors que, a causa de les tasques que els han

estat encomanades, tinguin accés a algun tipus d'informació interna.

3. Informació confidencial

Informació que el Grup CaixaBank no desitja que sigui coneguda més enllà dels

límits que estableixin la llei vigent o la pròpia institució, atès que la seva divulgació

a persones no autoritzades pot provocar pèrdues econòmiques o de reputació.

És el cas de:

Qualsevol informació a la qual solament ha d'accedir un determinat grup de

persones. Per exemple, informació de negoci o actes de comitès.

Qualsevol informació emparada per la regulació vigent en matèria de

protecció de dades personals.

Sabies que...?

Totes les dades corresponents a una persona o un contracte de producte o de

servei relacionat amb una persona tenen la consideració de dades personals, i

mereixen un tractament especial descrit en la Norma 47: Tractament i

confidencialitat de les dades personals.

A més, la informació confidencial pot ser especialment sensible quan conté:



Dades personals

És qualsevol informació que pugui utilitzar-se per identificar, contactar o localitzar

una persona en concret, ja sigui mitjançant la informació en si, o bé combinant

aquesta informació amb una altra.

Això inclou:

Nom.

Domicili.

Números d'identificació (DNI, carnet de conduir...).

Matrícula del vehicle.

Dades bancàries.

Estat civil, data de naixement.

Lloc de treball, nivell de renda d'aquesta persona.

Fotografia on aparegui la cara.

Historial mèdic.

Dades necessàries per als processos d'autenticació

Són aquelles dades que permeten verificar la identitat d'una persona abans d'iniciar

una determinada operació o procés, com per exemple:

Dades que permetin iniciar un pagament.

Dades utilitzades per ordenar instruments de pagament o eines d'autenticació

que vagin a ser enviades als clients.

Dades que, si es modifiquen, poden afectar la capacitat de la part legítima per

verificar les transaccions de pagament, autoritzar e-mandates o controlar el

compte, així com llistes "negres" i "blanques", límits definits pel client, etc.

Dades de targetes de pagament

Dades de les targetes dels clients:

PAN (número de la targeta).

Titular.

CVV (codi de seguretat de la targeta).

Data de caducitat.

Altres dades restringides

En general, es refereix a qualsevol informació confidencial a la qual només pot

accedir un grup limitat de persones amb permís per a això.



Important:

Tota aquesta informació és confidencial i únicament poden accedir a ella les

persones autoritzades. Mai facilitis aquesta informació a través de xarxes socials o

per correu electrònic fora de l'empresa.

Protegir la informació depèn de tu!

És la teva responsabilitat com a empleat respectar la confidencialitat de la

informació amb la qual treballes. No pots generar documents o informació en

dispositius no controlats pel Grup CaixaBank.

Implicacions legals i/o laborals de la fugida d'informació

El mal ús o la divulgació accidental d'informació confidencial poden comportar

responsabilitats legals tant per a l'empresa com per a l'empleat.

Impacte de la fugida d'informació en la reputació de l'empresa

Un incident d'aquest tipus pot arribar als mitjans de comunicació, i afectar la

reputació del Grup

CaixaBank.

Com has de manejar les dades de caràcter personal?

Únicament pots facilitar dades personals al seu titular o a les persones autoritzades.

Important:

Sempre que dubtis sobre qui et demana informació (sigui per telèfon, e-mail o

altres vies), verifica la seva identitat fent servir un mitjà alternatiu.

Si el dubte persisteix, per nimi que sigui, no donis cap dada personal ni

professional, encara que creguis que no és confidencial.



Confidencials, personals i sensibles: no totes les dades són iguals

Informació confidencial: informació que el Grup CaixaBank no desitja que

sigui coneguda més enllà dels límits que estableixin la llei vigent o la pròpia

institució, atès que la seva divulgació a persones no autoritzades pot provocar

pèrdues econòmiques o de reputació. Per exemple, el nom d'una empresa

que es vol adquirir o els detalls d'una nova campanya publicitària.

Dades personals: qualsevol informació numèrica, alfabètica, gràfica,

fotogràfica, acústica o de qualsevol altre tipus concernent a persones físiques

identificades o identificables. Per exemple, una llista de noms i adreces de

clients (a més, seria informació confidencial, que podria interessar a un

competidor).

Dades sensibles: dades personals que afecten la intimitat de la persona i/o l'ús

dels indegut pot generar la seva discriminació, tals com origen racial i ètnic,

opinions polítiques, conviccions religioses, filosòfiques o morals, afiliació

sindical i dades referides a la salut o a la vida sexual. Per exemple, l'historial

mèdic d'una persona.

COM TREBALLAR AMB LA INFORMACIÓ



PAS 1. CLASSIFICACIÓ DE LA INFORMACIÓ

En funció del grau de confidencialitat de la informació, alguns documents han

d'incloure diferents etiquetatges:

Informació pública

No és necessari cap tipus d'etiquetatge. Per defecte, qualsevol informació no

etiquetada es considerarà d'ús públic (segons la Norma 66: Seguretat informàtica).

Informació d'ús intern

Incloure en tots els peus de pàgina del document, així com a la pàgina inicial o al

títol del document, l'etiqueta següent:

Document d'ús exclusivament intern. © CaixaBank, S. A.

Tots els drets reservats. En particular, es prohibeix la seva

reproducció i comunicació o l'accés a tercers no autoritzats.

Informació confidencial

Incloure en tots els peus de pàgina del document, així com a la pàgina inicial o al

títol del document, l'etiqueta següent:

Document confidencial. © CaixaBank, S. A.

Tots els drets reservats. En particular, es prohibeix la seva

reproducció i comunicació o l'accés a tercers no autoritzats.

Important:

Sempre que treballis amb un document electrònic o en paper has de comprovar

si inclou el text de l’etiquetatge que li correspon. Si no és així, has de verificar el

contingut i etiquetar-lo tu mateix/a. Per defecte, tota la informació que no estigui

etiquetada es considerarà d'ús públic.



PAS 2. EMMAGATZEMATGE SEGUR DE LA INFORMACIÓ

Informació en paper

Els documents en format paper mai han de quedar desatesos.

Guarda tota la informació sensible en paper (confidencial i interna) sota clau, en

armaris o arxivadors.

Informació en suport electrònic

Puc guardar informació en suports d'emmagatzematge extern (discs durs extraïbles,

USB...)?

No, tota la informació s'ha d'emmagatzemar en els sistemes d'informació i repositoris

corporatius.

Si necessito treballar amb la informació, com ho faig?

Durant la jornada laboral: para especial atenció als documents en paper que

continguin informació de negoci.

En el cas de les oficines que atenguin directament el client, es recomana tenir

sobre la taula únicament la informació relacionada amb el client que s'està

atenent a cada moment. L'empleat que es trobi a càrrec d'aquesta informació

ha de custodiar-la i impedir en tot moment que qualsevol persona no autoritzada

pugui accedir a ella.

En finalitzar la jornada laboral: les taules de treball han de quedar totalment

buidades de papers.

Si necessito imprimir la informació, què haig de tenir en compte?

Recorda recollir sempre de la impressora totes les còpies que hagis enviat a

imprimir.

Si, en la impressora, hi trobes documents que no han estat recollits per altres

companys i desconeixes qui n'és el propietari, destrueix-los de forma segura

(veure apartat "Destrucció segura de la informació").



PAS 3. ENVIAMENT SEGUR DE LA INFORMACIÓ

Qualsevol tipus d'informació s'ha d'enviar a través d'un canal de comunicació segur.

Què és un canal segur?

Un canal de comunicació segur és aquell que permet transmetre la informació entre

l'emissor i el receptor sense que pugui ser interceptada per terceres persones.

Puc enviar informació confidencial i interna per correu electrònic?

El correu electrònic no és un canal segur. Has d'evitar annexar informació

confidencial o interna a correus electrònics amb destinataris no corporatius.

Com a alternativa, el Grup CaixaBank disposa de l'eina Sendfile per a l'intercanvi de

fitxers, que proporciona:

Una opció segura per a l'enviament de correus amb annexos

confidencials/interns.

Una opció segura per a l'intercanvi de grans volums d'informació.

Accés a Sendfile

Des de CaixaBank:

Terminal Financer > Oficina > Serveis

per a l'oficina > Sendfile

CaixaApps > App "Premsa i accessos

directes" > Configurar > Seleccionar

accés directe Sendfile

Actualitat > Menús > Eines > Sendfile

Des del portal SilkPlace:

Accés directe a Sendfile a la pàgina

principal de SilkPlace

Com he d'enviar informació confidencial en paper?

La informació confidencial i interna en paper ha de donar-se sempre en mà al seu

destinatari, o bé pel sistema de missatgeria interna de cada empresa.

Recorda:

El correu electrònic no és un canal segur. Per a l'intercanvi d'arxius confidencials

pots utilitzar Sendfile o els mecanismes homologats per l'empresa.



PAS 4. DESTRUCCIÓ SEGURA DE LA INFORMACIÓ

Qualsevol tipus d'informació s'ha d'enviar a través d'un canal de comunicació segur.

Informació en paper

Has destruir la informació de manera que no pugui ser reconstruïda. Sempre que

sigui possible, cal utilitzar una trituradora de paper.

Informació en suport electrònic

La destrucció segura de la informació en suport electrònic s'ha de realitzar d'acord

amb les següents normatives:

Norma 55 → Servei de distribució de carteria en els serveis centrals.

Norma 111 → Arxiu físic i digital. Prescripció i destrucció de la documentació.

Norma 247 → Tractament de la gestió de residus.



La teva millor defensa és la prevenció... Curar és dificilíssim!

Un cop es produeix una fugida d'informació és molt difícil recuperar la reputació

perduda. Per això cal que paris molta atenció als 4 passos que t'hem explicat:

classifica, emmagatzema, envia i destrueix la informació de forma segura.

Classifica sempre la informació de forma segura. Utilitza sempre les plantilles

corporatives de documents i/o l'etiquetatge corporatiu.

En quins moments haig de tenir especial cura de no divulgar informació

confidencial?

En respondre a correus electrònics o trucades de persones alienes a

l'organització.

També en seminaris, reunions o esdeveniments en els quals participis.

Comentaris en veu alta en llocs públics.

Durant la jornada laboral, para especial atenció als documents en paper que

continguin informació de negoci del Grup CaixaBank.

Finalitzada la jornada laboral, has de buidar totalment la taula de treball de

papers, i aquests, guardar-los sota clau.

Recorda sempre recollir en la impressora les còpies que hagis enviat a imprimir.

Si hi trobes documents que no han estat recollits per altres companys,

destrueix-les si no saps qui n'és el propietari.

COM PROTEGIR EL TEU NOM D'USUARI I LA TEVA CONTRASENYA

Per accedir als sistemes d'informació del Grup CaixaBank és necessari utilitzar un

nom d'usuari i una contrasenya.

Protecció de contrasenyes

No comparteixis els teus noms d'usuaris ni les teves contrasenyes corporatius; no els

deixis a la vista de tots ni en llocs fàcilment accessibles.

Protegeix aquestes claus igual que protegiries la teva clau d'accés a banca

electrònica o qualsevol altra dada secreta.



Responsabilitat

Ets responsable del que es faci amb el teu nom d'usuari i la teva contrasenya. No els

comparteixis amb ningú, ja que qualsevol acció realitzada amb el teu nom d'usuari

i la teva contrasenya et serà atribuïda.

A més, compartir les teves claus personals suposa un incompliment de la normativa

del Grup CaixaBank.

Recomanacions per tenir una contrasenya segura

La contrasenya ha de ser personal i intransferible.

Evita apuntar les teves contrasenyes, fes servir gestors de contrasenyes per

guardar-les xifrades i recordar-les.

No utilitzis contrasenyes que continguin informació personal (nom de mascota,

data de naixement...).

No facis servir la mateixa contrasenya per a l'entorn professional i el personal.

No triïs contrasenyes que continguin paraules (encara que sigui en un altre

idioma).

La longitud de la contrasenya corporativa és de 8 caràcters alfanumèrics,

combinant majúscules, minúscules i números.

Canvia la teva contrasenya regularment.

Complexitat i reutilització de la contrasenya

Recorda que, en els nostres sistemes:

Quan canviïs de contrasenya, no podràs utilitzar les 10 últimes contrasenyes que

hagis utilitzat anteriorment.

Si introdueixes 6 vegades una contrasenya errònia, el teu nom d'usuari queda

suspès, és a dir, no podràs entrar al sistema fins que un administrador et restauri

la contrasenya.

Si no accedeixes al sistema durant 90 dies, el nom d'usuari també quedarà

suspès.

Una contrasenya restaurada s'ha de modificar en el termini de 48 hores. Passat

aquest termini, el nom d'usuari es tornarà a suspendre i serà necessari tornar a

restaurar la contrasenya.

Les contrasenyes hauran de canviar-se com a màxim cada 6 mesos. El sistema

t'avisarà quan sigui el moment.



Trucs per crear una contrasenya segura i fàcil de recordar

1. Forma una frase-contrasenya. Per exemple, "al bar de Joan posen tapes a 3

euros"; utilitzant la primera lletra de cada paraula, surt "abdJpta3e".

2. Combina dues paraules i crea una altra alternant les seves lletres. Per exemple,

amb "Bigotis" i "Encenedor", la teva nova contrasenya podria ser

"BEingcoetniesdor".

3. Substitueix lletres per números. Per exemple, la clau anterior "BEingcoetniesdor"

es converteix en: "B31ngc03tn13sd0r".

4. Sense vocals. Per exemple, la contrasenya anterior és: "Bngctnsdr".

5. Combina paraules i números que tinguin els mateixos caràcters. Per exemple,

utilitzant "Bigotis" i 28921. El truc està a anar col·locant les lletres una a una,

intercalant les xifres del número però al revés: "B1i2g9o8t2is".

Per a més informació sobre contrasenyes, consulta la Norma 66: Seguretat

informàtica.



EQUIPS INFORMÀTICS

Ara que ja sabem com protegir la informació, vegem com protegir els equips

informàtics (portàtils, smart PC, tablets, mòbils, etc.) que utilitzem per accedir a

aquesta informació.

PORTÀTILS, SMART PC I ESTACIONS DE TREBALL FIXES

Tots els dispositius facilitats als empleats són propietat del Grup CaixaBank.

Com a empleat tens a la teva disposició els mitjans i equips informàtics per a l'estricte

i exclusiu desenvolupament de la teva tasca professional. Per tant, aquests mitjans

no són adequats en cap cas per a un ús personal o extraprofessional, segons

s'estableix en el Codi de Conducta Telemàtic.

Important:

Ets responsable del seu ús correcte, així com de la generació i custòdia de les

contrasenyes necessàries per protegir-los.

INSTAL·LACIÓ DE PROGRAMES

Important:

No està permesa la instal·lació d'altres programes diferents dels que et facilita el

Grup CaixaBank.

En cas que en necessitis algun i no estigui disponible, has de sol·licitar-lo a través dels

canals establerts per l'empresa, que n'autoritzaran i en supervisaran la instal·lació.

ÚS DE MEMÒRIES USB I ALTRES DISPOSITIUS EXTRAÏBLES

Quan un USB passa d'un ordinador a un altre, pot infectar-se amb virus i malware.

Si introdueixes una memòria infectada en el teu ordinador, el virus pot passar al

teu equip.

També, a través d'un USB, ens poden instal·lar un programa maliciós en el nostre

ordinador, amb conseqüències com: infectar-nos l'equip, xifrar la informació i

demanar un rescat, bloquejar-ne l'accés, etc.



Encara que ha d'evitar-se l'ús d'USB, quan sigui imprescindible utilitzar-lo pots llegir

la informació de l'USB però no pots gravar informació en aquests dispositius, per

evitar possibles fugides d'informació degudes a la seva pèrdua o al seu robatori.

Per tot el que s’ha exposat anteriorment, si no és imprescindible, defuig de

connectar cap dispositiu extern al port USB del teu ordinador.

Important:

Si trobes un dispositiu USB per casualitat en les instal·lacions del Grup CaixaBank o

en qualsevol altre lloc, desconfia! No el connectis mai al teu ordinador

professional o personal. Sempre tens l'opció d'enviar qualsevol USB sospitós per

cartera interna a 9722 (Seguretat de la Informació).

Encara que porti el logotip corporatiu, no te'n refiïs!

La teva intenció és bona i el hacker ho sap. Tal vegada connectis l'USB al teu

ordinador amb bona intenció, per saber la seva procedència i tornar-lo al seu

propietari. Evita córrer aquest risc.

De vegades, la curiositat pot més que la seguretat i connectes l'USB per veure

què conté o si pots "reciclar-lo" per guardar les teves coses. No ho facis, no

t'arrisquis.

Si et porta l'USB un client conegut per una raó justificada, llavors pots connectar-

lo.

Alguns aspectes clau que has de recordar...

Per accedir als teus dispositius de treball, has d'introduir el teu nom d'usuari i la

teva contrasenya. No comparteixis mai aquestes claus amb altres persones.

Cada empleat compta amb el seu propi nom d'usuari i la seva contrasenya i són

d'ús personal i intransferible.

Si disposes d'un ordinador portàtil o smart PC, sigues discret quan l'hagis d'utilitzar

en llocs públics i evita que persones alienes puguin veure la teva pantalla.

No deixis desatesos els teus dispositius de treball.

Si et roben o perds el portàtil o l'smart PC, canvia totes les contrasenyes que

utilitzaves. A més, has de comunicar aquest incident al teu responsable directe.

Assegura't de bloquejar l'equip quan no el facis servir o davant de qualsevol

absència, per breu que sigui.

Per bloquejar ràpidament el teu equip Windows, prem en el teclat el logotip de

Windows i la lletra L de manera simultània.



Per saber-ne més:

Si vols ampliar la informació sobre l'ús de l'estació de treball fixa i dels portàtils,

pots consultar la norma de seguretat de la teva empresa.

Norma 66: Seguretat informàtica de CaixaBank

SMARTPHONES, TABLETS I MÒBILS

Els dispositius mòbils permeten emmagatzemar gran quantitat d'informació

confidencial: noms, telèfons, adreces, documents, correus electrònics...

La reduïda grandària d'aquests dispositius augmenta la probabilitat de pèrdua o

robatori. Per això resulta imprescindible adoptar unes mínimes mesures de seguretat,

per tal de protegir l'accés no autoritzat a la informació.

POLÍTICA DE SEGURETAT DE DISPOSITIUS MÒBILS

La política de seguretat del Grup CaixaBank en dispositius mòbils contempla les

següents mesures:

No emmagatzemis informació confidencial en dispositius que no hagin estat

proporcionats i homologats pel Grup CaixaBank, ja que aquests disposen de

mesures de xifrat.

Utilitza una contrasenya d'accés que compti amb caràcters numèrics i contingui,

almenys, 6 caràcters.

En cas d'equivocar-te 10 vegades en introduir la contrasenya, s'esborraran totes

les dades del dispositiu (formateig).

El dispositiu es bloquejarà automàticament després d'un màxim de 10 minuts

d'inactivitat.

CONNEXIONS WIFI, BLUETOOTH, GPS, NFC I DADES

Important:

Tu ets clau per protegir la informació de les teves dispositius de treball.

Els dispositius mòbils solen tenir instal·lats diferents tipus de connectivitat sense fils (wifi,

bluetooth...) i serveis d'ubicació (GPS, geolocalització).



Mantenir aquestes opcions de connectivitat sempre activades suposa un risc de

seguretat. Per això, es recomana activar-les únicament quan sigui necessari.

Connecta amb seguretat

1. Bluetooth, wifi, GPS... Activa’ls només quan sigui imprescindible. Si no els

apagues mai, la teva privacitat està exposada.

2. No et connectis mai a una xarxa wifi pública, per exemple, les de

cafeteries, d'aeroports, de biblioteques... Mai saps qui pot estar "escoltant"

el que envies i reps.

3. Pren precaucions si et connectes a xarxes wifi desconegudes i/o gratuïtes.

Si no tens més remei que connectar-te a una xarxa d'aquest tipus, evita

teclejar dades confidencials com usuaris, contrasenyes, targetes de crèdit,

etc., i no instal·lis apps.

4. Desactiva els ajustos automàtics de recerca de xarxes wifi per evitar que

el teu mòbil, la tablet o el portàtil es connectin a xarxes no segures.

5. No guardis informació professional en cap dispositiu aliè a l'empresa.

6. Parla per telèfon amb precaució sobre temes confidencials, no només per

les persones que podrien estar escoltant, sinó perquè el teu interlocutor

podria gravar la conversa. Els nous dispositius mòbils tenen gran capacitat

per gravar so i imatge de manera totalment inadvertida.

7. Controla el teu dispositiu en tot moment per evitar el robatori o la pèrdua

del mateix.

8. Si et roben o perds el dispositiu, canvia totes les teves contrasenyes

d'accés i comunica immediatament el fet a "Consultes seguretat

informàtica" ([email protected]).



RISCOS DEL CORREU ELECTRÒNIC

El correu electrònic i internet són eines fonamentals i d'ús exclusiu per a la teva feina

diària. T'explicarem com protegir la informació quan et connectes a la xarxa i quins

són els riscos més habituals.

TIPUS DE CORREU ELECTRÒNIC IL·LEGÍTIM

El correu electrònic a disposició dels empleats és un instrument bàsic destinat a la

prestació dels serveis professionals, i una eina el bon ús de la qual contribueix a

millorar l'activitat diària.

És propietat del Grup CaixaBank, i com a tal ha de ser utilitzat amb finalitats

professionals.

Hi ha dos tipus de correu electrònic il·legítim:

Spam (Correu brossa). L'spam són tots els correus no sol·licitats que no tenen

cap interès per a qui els rep. Normalment, tenen una finalitat comercial i/o

publicitària.

Phishing. El phishing són correus electrònics que suplanten una empresa,

entitat o servei per instar-te a obrir un fitxer o annex adjunt o clicar sobre un

enllaç sota qualsevol pretext. Si cliques, s'intentarà instal·lar un malware, que

és precisament el que persegueix el hacker.

El phishing és encara més perillós i efectiu quan apunta un objectiu específic,

especialment a un empleat amb accés a la informació que més interessa al

hacker. En aquest cas es diu spear phishing o phishing dirigit.

Sabies que...?

Destaquen els correus que suplanten bancs, mitjans de pagament i botigues

online, per robar diners i/o dades bancàries (claus d'accés, número de targeta,

etc.).

El phishing més comú es propaga a través del correu electrònic, encara que

qualsevol sistema que permeti l'enviament de missatges pot ser utilitzat per intentar

robar la nostra informació personal: correus electrònics, missatges SMS o MMS

(smishing), aplicacions de missatgeria instantània (WhatsApp), xarxes socials

(Facebook, LinkedIn...) i fins i tot trucades telefòniques convencionals.



PRINCIPALS RISCOS DEL CORREU ELECTRÒNIC

Els principals riscos d'atendre correus il·legítims són:

Suplantació d'identitat.

Robatori del nom d'usuari i de la contrasenya.

Accés al teu compte bancari.

Robatori de dades confidencials, per exemple, targeta de crèdit.

Pèrdua de privacitat.

Descàrrega de programes maliciosos (virus i malware).

Important:

És fonamental que sàpigues reconèixer els correus electrònics il·legítims i

reaccionar correctament si els reps.

COM DETECTAR SI UN CORREU ÉS IL·LEGÍTIM

Fixa't en el remitent i sospita si:

És desconegut. També si és conegut, però no ho esperaves.

Té un domini estrany (per exemple, caxiaban.com).

A l'adreça, hi apareix un nom que coneguis, però amb canvis de lletres que

poden passar desapercebuts.

Fixa't en l'enllaç, si n'hi ha:

Col·loca el cursor damunt de l'enllaç per veure l'adreça web completa.

Atenció: pot semblar legítima i en realitat ser falsa.

Compte si demana descarregar un fitxer per veure'l.

Desconfia de les adreces URL escurçades

Sabies que...?

Les adreces URL, és a dir, les adreces de pàgines web i enllaços, poden "amagar-

se" fent-les més curtes. Els hackers usen diverses eines per escurçar-les i amagar

així adreces malicioses.



Desconfia de les adreces escurçades com la de la imatge:

Per descobrir el que amaguen els enllaços escurçats es pot fer servir un servei com

Unshorten. Només has d'introduir l'adreça escurçada a la casella, prémer en el

quadre blau "Unshorten.it!" i apareixerà a sota l'adreça sencera real.

Fixa't en els arxius adjunts: tingues molta cura abans d'obrir qualsevol annex que

sembli sospitós.

Fixa't en els missatges amb salutacions impersonals o sense direcció al camp "Per

a" del missatge.

Fixa't si et demana que facis alguna cosa amb urgència i t'amenaça amb

quelcom negatiu si no ho fas.

Fixa't si et sol·licita dades personals amb la finalitat que revelis contrasenyes o

dades confidencials com ara informació financera o comptes bancaris.

Compte amb les ofertes: si sembla massa bo per ser veritat, és un parany

(descomptes, regals, oportunitats, promeses, premis...).

Redacció: acostuma a ser rara i amb errades ortogràfiques, encara que no

sempre.

Recorda:

Com ja saps, els bancs mai demanen dades confidencials als seus clients per

correu electrònic:

Urgència Amenaça Enllaç Adjunt Promesa

Si estan a l'e-mail, sospita. Aquestes són algunes de les pistes més comuns del

phishing, però recorda que un missatge amb alguna d'aquestes característiques

no és necessàriament perillós o un intent de phishing.



COM ACTUAR DAVANT UN CORREU SOSPITÓS

Important:

Si sospites, no facis clic sobre cap enllaç, no responguis ni obris cap adjunt

Reporta el correu electrònic sospitós utilitzant el botó "Reportar PHISHING" que veuràs

a la barra superior del panell principal d'Outlook:

Si no trobes aquest botó al teu Outlook, és una incidència. Reporta-la al call center

i envia el correu sospitós a la BÚSTIA POSSIBLE PHISHING:

[email protected].

Si el botó no està disponible al dispositiu utilitzat i/o si gestiones el correu des del teu

smartphone corporatiu, la recomanació és que ho reenviïs a la BÚSTIA POSSIBLE

PHISHING: [email protected]

mailto:[email protected]

mailto:[email protected]



Per no caure en el parany del phishing, recorda:

PHISHING CORPORATIU: SEMBLA DE L'EMPRESA, PERÒ NO HO ÉS



El phishing corporatiu consisteix en missatges de correu electrònic que imiten correus

que podries rebre de la teva empresa o dels teus contactes professionals

(proveïdors, col·laboradors, formadors ...).

El ciberdelinqüent investiga la teva empresa a internet i prepara missatges de

temàtica corporativa: recursos humans, voluntariat, convocatòries per a

esdeveniments, operativa de negoci, comunicacions de directius...

Aquest tipus de phishing s'aprofita de l'empatia, l'amistat i el desig d'ajudar a

companys, caps o clients, per fer-te caure en el parany.

Un exemple habitual de phishing corporatiu és el frau del CEO (sigles de Chief

Executive Officer, director general), que suposa la suplantació d'identitat d'un

directiu per sol·licitar, per exemple, una transferència o la revelació de dades

confidencials. Pots veure'n exemples més endavant.

Sabies que...?

Corporatiu sembla, phishing és.

Què millor disfressa per a un delinqüent que un aparent correu corporatiu?

EL FRAU DEL CEO: EL SUPERIOR IMPOSTOR

El ciberdelinqüent investiga la teva empresa a internet (web, xarxes socials...). Tria a

una persona del teu entorn professional per arribar a tu. Amb freqüència es tracta

del teu cap o d'un superior, per facilitar que segueixis les instruccions.

Redacta un correu fent-se passar per aquesta persona i et demana que realitzis amb

urgència alguna acció, com ara una transferència, ingressar una factura, enviar

informació sensible, descarregar un document o fer clic en un enllaç.

És probable que insisteixi que ho facis ràpid, ja que potser així et saltaràs els

procediments de seguretat.

Important:

Abans de res, confirma sempre per un altre canal (telèfon, si por ser) que tant el

remitent com la petició són autèntics.



INTERNET I XARXES SOCIALS

Sens dubte, internet és una eina molt útil en la nostra feina diària, però la xarxa

també oculta riscos que poden comprometre la seguretat de la informació.

T'expliquem com navegar de forma segura i com protegir-te en xarxes socials.

ÚS D'INTERNET

Per saber-ne més:

En el Codi de Conducta Telemàtic s'hi estableixen les normes sobre el bon ús dels

mitjans tècnics i informàtics propietat del Grup CaixaBank, que aquest posa a la

disposició dels seus empleats.

NAVEGA AMB PRECAUCIÓ

La navegació que facis a través dels equips informàtics corporatius ha d'obeir a

fins professionals.

No accedeixis en cap cas a adreces d'internet de contingut ofensiu o

atemptatori contra la dignitat humana o els drets fonamentals.

Abans d'utilitzar informació procedent d'internet, comprova acuradament si

aquesta informació està protegida per les lleis de la propietat intel·lectual o

industrial.

COMPROVA SI UNA WEB ÉS LLEGÍTIMA

Comprova si la web en la qual estàs és realment la que diu ser. És la veritable web

de CaixaBank, CaixaBank-Now (antiga Línia Oberta), Apple, PayPal o Amazon?

Fixa't en aquests detalls:

Comprova que l'adreça web estigui ben escrita, sense errors o lletres canviades

d'ordre. Atenció, el canvi pot ser mínim. Els ciberdelinqüents poden suplantar

pàgines web (especialment de bancs, xarxes socials, serveis de pagament i

botigues de compres/subhastes online) utilitzant adreces web molt similars i

copiant a la perfecció el seu disseny per fer-les més creïbles. Cal parar esment a

petites modificacions en el nom de l'empresa, com per exemple: lacaxia.es en

lloc de lacaixa.es.



Procura escriure directament la URL o adreça web al navegador, en lloc

d'arribar-hi a través d'enllaços disponibles des de pàgines de tercers o correus

electrònics.

En pàgines web que sol·licitin la introducció de credencials, dades personals o

informació confidencial (com xarxes socials, serveis de pagament, banca digital

o botigues de compres/subhastes online), fixa't en què l'adreça de l'enllaç

comenci per HTTPS, encara que això no és suficient perquè el certificat pot no

ser vàlid.

La barra de navegació pot mostrar http o https. En el segon cas, vol dir que la web

va xifrada i, per tant, un tercer no pot accedir.

A més, si fas clic a la icona del cadenat, al costat de la URL, obtindràs més informació

sobre el certificat del lloc.

Recorda:

Tot i que una web tingui comunicació xifrada (https), no es garanteix que sigui

segura.

Compte! HTTPS no és sinònim de seguretat.

Per minimitzar el risc, comprova si la barra de navegació està en color verd.



Això significa que el certificat que permet la comunicació xifrada és correcte, i que

la pàgina web és de l'entitat que diu ser. No obstant això, això no vol dir que, si la

barra no és verd, la pàgina no sigui legítima. Simplement hi ha un risc potencial i

hauries de prendre alguna precaució més, com les que indica l'article Aprenent a

verificar la legitimitat d'un lloc web.

CUIDA LA TEVA INFORMACIÓ PERSONAL

Moltes pàgines web sol·liciten dades personals en el moment de registrar-se, com

per exemple:

Nom.

Telèfon.

Edat.

Professió.

Adreça de correu electrònic.

No facilitis mai el correu electrònic corporatiu quan ho facis en una web, excepte

quan sigui necessari per realitzar la teva activitat professional (per exemple, per

inscriure't a un curs professional o a una publicació relacionada amb la teva

activitat).

XARXES SOCIALS

Per què no puc fer servir xarxes socials i/o aplicacions no corporatives en l'empresa?

La facilitat de compartir informació a les xarxes socials i/o eines col·laboratives que

tenim disponibles a internet (blogs, per exemple) converteix aquestes aplicacions en

autèntiques amenaces per a la protecció de la informació confidencial.

Una vegada comparteixes la informació en aquestes aplicacions, aquesta

informació s'allotja en servidors externs i el Grup CaixaBank perd la possibilitat

d'utilitzar mecanismes per protegir-la.

Puc comunicar-me amb clients i amb altres empleats a través de les xarxes socials o

d'aplicacions no corporatives?

No has d'emprar aquest tipus de plataformes per comunicar-te amb els teus clients

o amb altres empleats.

El Grup CaixaBank posa a la teva disposició eines corporatives segures per

intercanviar informació...

Amb clients: correu electrònic, Sendfile...



Amb altres empleats: sistemes de missatgeria instantània com Skype/Lync.

8 claus de seguretat en xarxes socials

1. Configura les opcions de privacitat del teu perfil (fotos, amics, ubicació,

permisos...). Revisa-periòdicament ja que les condicions de privacitat de

les xarxes canvien.

2. Utilitza el teu correu electrònic personal, i no professional, en xarxes d'ús

personal. Facilitaràs que els teus contactes personals puguin localitzar-te

en elles.

3. Fes servir contrasenyes fàcils de recordar però difícils d'endevinar. Bones

contrasenyes són les que combinen lletres, números, majúscules, signes de

puntuació i altres símbols. No facis servir la mateixa per a tot.

4. Habilita la verificació en dos passos i les alertes d'inici de sessió. Així

dificultes o impedeixes que persones estranyes accedeixin al teu compte,

fins i tot si aconsegueixen la teva contrasenya.

5. No acceptis invitacions ni sol·licituds d'amistat de ningú sense verificar

abans la seva identitat. Comprova que els teus contactes són realment

qui diuen ser. No facilitis dades personals als teus nous amics virtuals.

6. Per iniciar una conversa has de saber amb certesa amb qui t'estàs

comunicant. Si no ho pots verificar, sigues prudent amb la informació que

ofereixes (especialment les teves dades personals).

7. No comparteixis dades personals o imatges íntimes per xat. Aquesta

informació podria estar a l'abast de persones desconegudes.

8. A les xarxes socials res s'oblida, res s'esborra i tot deixa rastre. No

comparteixis res que no vulguis que es faci públic. Una vegada que

publiquis informació a internet, perdràs el control sobre ella.



ATACS D'ENGINYERIA SOCIAL

Fins aquí els riscos d'internet com a canal d'atac, però les amenaces a la seguretat

van molt més enllà de la xarxa. L'enginyeria social és una de les tècniques d'atac

més utilitzades en l'actualitat, sobretot per obtenir informació confidencial dels

empleats d'una empresa.

Així t'ataca l'enginyeria social, i així pots defensar-te...

QUÈ ÉS L'ENGINYERIA SOCIAL?

L'enginyeria social és un tipus d'atac que consisteix a enganyar a un empleat per

aconseguir la informació que aquest posseeix o a la qual té accés, precisament

per la seva condició d'empleat.

Hi ha diverses tècniques per manipular de forma intel·ligent a les persones, tècniques

que es basen en 4 principis bàsics del comportament humà:

Un tipus d'atac habitual consisteix a fer-se passar per una altra persona davant un

empleat per recaptar informació.

Acostuma a realitzar-se per correu electrònic, però també per telèfon, USB,

missatgeria instantània (WhatsApp) o fins i tot en persona.

Important:

Tots podem ser víctimes d'un atac d'enginyeria social. Conèixer el risc és la millor

manera de prevenir-lo.



QUINS OBJECTIUS PERSEGUEIX L'ENGINYERIA SOCIAL?

Els guanys financeres són la motivació principal dels atacs. Altres possibles finalitats

són els avantatges competitius, la venjança i també:

Esbrinar dades d'usuaris i contrasenyes.

Obtenir documentació sobre alguna operació estratègica del Grup CaixaBank.

Aconseguir correus d'alguna persona vip (coneguda) i simular que es posa en

contacte per comentar algun assumpte sobre el seu patrimoni.

Accedir a informació d'avaluació d'empleats.

Aconseguir un informe tècnic sobre infraestructura tecnològica important.

Obtenir documentació sobre fases d'un projecte amb diferents proveïdors.

Aconseguir informació pressupostària rellevant.

Sabies que...?

Objectiu: els empleats!

Els atacs d'enginyeria social s'adrecen a persones amb coneixement o accés a

informació de les empreses, o sigui... als empleats!

L'enginyeria social dissimula molt bé: de vegades, la informació que es demana

sembla innòcua, o suplanta a la perfecció la identitat d'un client, un superior, un

company o l'empresa.

QUÈ HAIG DE FER EN CAS DE DETECTAR UN POSSIBLE ATAC D'ENGINYERIA SOCIAL?

Important:

No facilitis cap tipus d'informació, fins i tot encara que no et sembli confidencial.

En cas de detectar un possible atac d'enginyeria social, comunica

immediatament la situació a través de la bústia "Consultes seguretat informàtica"

([email protected]).

Recorda:

Davant els atacs d'enginyeria social, la millor defensa és estar formats en temes

de seguretat i atents a possibles enganys.

Desconfiança sempre activada!



Desconfiança sempre activada: davant qualsevol dubte, no facis clic a enllaços,

no obris annexos ni donis informació personal ni professional. No connectis USB

desconeguts. Si reps un correu sospitós, fes clic al botó "Reportar PHISHING".

Compte amb la informació personal i professional que publiques a internet: para

atenció a la teva configuració de seguretat. Desactiva l'opció de

geolocalització de les teves publicacions. Protegeix la teva privacitat.

El millor antivirus ets tu: els atacs d'enginyeria social poden eludir moltes mesures

de seguretat i enganyar tot tipus d'usuaris. Amb l'antivirus no n'hi ha prou per

neutralitzar-los, fes servir la prudència i el sentit comú.

CONTRACTES AMB TERCERS

Sovint, el Grup CaixaBank treballa amb tercers (proveïdors, col·laboradors, empreses

de treball temporal...) que presten certs serveis específics. Per a això, necessiten

accedir a informació confidencial, i hem de plasmar en un contracte les condicions

d'aquest accés. T'informem sobre els requisits d'aquests contractes.

Quan el Grup CaixaBank contracta a tercers (persones físiques o jurídiques) per a

una prestació de serveis que comprengui accés a informació, la relació de

col·laboració ha de reflectir-se en un contracte. Aquest contracte ha de recollir

detalladament les condicions d'accés a aquesta informació i el tractament de la

mateixa, si n'hi hagués.

L'empleat responsable del servei ha de vetllar perquè el proveïdor únicament tingui

accés a la informació estrictament necessària per a la realització de la seva feina.

És a dir, el proveïdor no pot utilitzar la informació a la qual accedeixi per a qualsevol

altra finalitat diferent de la prevista per la pròpia empresa, finalitat que, en qualsevol

cas, ha de respondre sempre a motius professionals.

Si ets el responsable d'un contracte amb tercers:

Adverteix a aquests tercers que, si incompleixen les normes de seguretat, el seu

contracte pot ser rescindit sense que tinguin dret a cap indemnització, i sense

perjudici del rescabalament per danys i perjudicis que els pugui reclamar

l'empresa.

Verifica que els empleats de les empreses que treballen sota aquest contracte

hagin signat l'acord de confidencialitat indicat en la clàusula de confidencialitat

del contracte.

Informa a aquests tercers que són responsables del possible mal ús que puguin

fer els seus empleats de la informació a la qual tinguin accés sota aquesta relació

contractual.

Per garantir la seguretat de la informació del Grup CaixaBank, s'ha d'adjuntar en els

contractes amb tercers un annex específic de requeriments de seguretat en

contractes amb tercers, disponible al portal de Seguretat de la Informació,

accessible des Menús > Directe a > Webs de Treball > Seguretat de la Informació.



L'empleat que realitzi aquesta contractació tindrà la responsabilitat d'annexar els

diferents requeriments que s'apliquen a cada servei contractat. Per exemple, un

contracte per a un servei de destrucció de suports ha de complir uns requeriments

de seguretat en alguns casos diferents dels que s'apliquen en un contracte de, per

exemple, desenvolupament de programari.

Qualsevol persona que intervingui en el tractament de la informació dels diferents

sistemes d'informació del Grup CaixaBank està obligada a mantenir el secret

professional sobre aquesta informació, en compliment de la relació de

contractació.

Els models de contracte estan elaborades per Assessoria Jurídica i estan accessibles

des de: Portal Assessoria Jurídica > Contractació > Models de contractes amb

proveïdors.

Per saber-ne més...

Si desitges obtenir més informació sobre la contractació i el portal de Proveïdors,

pots consultar la Norma 87: Model de gestió pressupostària: pressupost, compres

i contractació de serveis, pagament de factures.

INCIDÈNCIES DE SEGURETAT

Què es considera incidència de seguretat? Què has de fer si detectes alguna? A

continuació, t'expliquem com identificar i reportar aquest tipus d'incidències.

COMUNICACIÓ DE LA INCIDÈNCIA DE SEGURETAT

Cada empleat ha de reportar totes les possibles incidències que puguin comportar

riscos en la seguretat de la informació.

Per al registre de la incidència, es necessari informar, com a mínim, de:

La data i l'hora aproximada en la qual es va produir la incidència.

El nom de la persona que comunica la incidència.

La descripció detallada de la incidència.

Si pot ser, afegir/adjuntar evidències de la incidència (captures de pantalla,

missatges...).

Important:

Davant d'una possible incidència de seguretat, envia un correu a la bústia

"Consultes seguretat informàtica" ([email protected]).



EXEMPLES D'INCIDÈNCIES DE SEGURETAT

A continuació, et mostrem alguns exemples d'incidències de seguretat que han de

ser reportades a la bústia "Consultes seguretat informàtica"

([email protected]):

Sospita de malware (virus informàtic, cucs, troians, ransomware, etc.).

Funcionament anòmal del programari de seguretat corporatiu (antivirus, etc.).

Accés no autoritzat a la informació, per possibles causes com: suplantació de

l'usuari, vulnerabilitat de l'aplicació, ciberatac, etc.

Ús indegut dels permisos d'accés, de manera intencionada.

Accés no autoritzat a la informació per incompliment de polítiques de seguretat

com: taules netes; no bloquejar l'estació de treball; deixar informació

confidencial abandonada en impressores o damunt de les taules dels

col·laboradors fora de les hores laborables.

Filtració d'informació (intencionada o accidental).

Enviament per error de documentació amb informació confidencial a

destinataris incorrectes.

Robatori/Pèrdua d'equips, dispositius o suports (inclosos documents en paper).

Ús indegut dels recursos dels sistemes d'informació (per exemple, per violació de

les mesures de seguretat, mal ús o abús del correu electrònic, etc.). En aquest

cas, pots informar a qui correspongui mitjançant els circuits que trobaràs a la teva

disposició en el Codi de Conducta Telemàtic.



Si tens dubtes, connecta amb seguretat

InfoProtect és la marca associada a qualsevol contingut de conscienciació

relacionat amb la seguretat de la informació. Aquests són els nostres canals

informatius:

Web InfoProtect: Accés per Actualitat > Temàtic > InfoProtect. Entre altres

coses, hi trobaràs els materials de sessions presencials com ara "Furonejant

persones" (díptics, vídeos curts), articles i bones pràctiques.

Security News: el newsletter quinzenal d'InfoProtect. T'avisa de les últimes

amenaces i t'indica com protegir-te'n. Si encara no el reps, subscriu-t'hi

escrivint a [email protected].

Butlletí InfoProtect de l'app "AL DIA": tots hi estem subscrits. Notícies breus amb

alertes i consells d'actualitat.

Bústia InfoProtect: sempre disponible per a les teves idees i consultes sobre la

cultura de seguretat: [email protected].

501-10356-101 Venta y asesoramiento · Seguretat de la Informació Tea Cegos, S.A. 2019 3...

Documents

Transcript of 501-10356-101 Venta y asesoramiento · Seguretat de la Informació Tea Cegos, S.A. 2019 3...