Guia d'ús Del Correu Electronic

8/3/2019 Guia d's Del Correu Electronic

1/22

GUIA DS DEL CORREU ELECTRNIC


2/22

Introducci

Audincia

Abast

Aspectes legals i normatius

Descripci general

Qu s i en qu consisteix?

Finalitat

Casos destudi

Per qu es rep un gran volum

de correu brossa (spam)

Descripci

Amenaces

Per qu cal una contrasenya

daccs al correu electrnic.

Descripci

Amenaces

Com gestionar correus electrnics

amb seguretat.

Descripci

Amenaces

Recomanacions

Recomanacions per tal de minimitzar la presn-

cia de correu brossa a les bsties professionals

dels usuaris

Recomanacions per tal de minimitzar lamenaa

de perdre el control de la bstia de correu elec-

trnic dels usuaris

Recomanacions per protegir la condenciali-

tat de la informaci intercanviada per correu

electrnic.

Conclusions

Glossari de termes

Referncies i enllaos web.

Eines

Eines de xifratge

Eines anti-spam

Recursos de suport on-line

5

5

5

6

7

7

8

9

9

9

10

10

10

11

11

11

12

13

13

15

16

18

19

20

20

20

21

ndex


3/22

El Centre de Seguretat de la Informaci de Catalunya,

CESICAT, s lorganisme executor del Pla nacional

dimpuls de la seguretat TIC aprovat pel govern de la

Generalitat de Catalunya el 17 de mar de 2009. La

missi daquest pla s la de garantir una Societat de

la Informaci Segura Catalana per a tots. Amb aques-

ta nalitat, es crea el CESICAT com a eina per a la

generaci dun teixit empresarial catal daplicacions i

serveis de seguretat TIC que sigui referent nacional i

internacional.

El Pla nacional dimpuls de la seguretat TIC a Catalu-

nya sestructura al voltant de quatre objectius estrat-

gics principals que seran desenvolupats pel CESICAT:

Executar lestratgia nacional de seguretat TIC es-

tablerta pel Govern de la Generalitat de Catalunya

Donar suport a la protecci de les infraestructures

crtiques TIC nacionals

Promocionar un teixit empresarial catal slid en

seguretat TIC

Incrementar la conana i protecci de la ciutada-

nia catalana en la societat de la informaci.

La forma jurdica del CESICAT s la de fundaci del

sector pblic de ladministraci de la Generalitat.

Amb lobjectiu de proporcionar unes bones prctiques

i uns coneixements mnims en seguretat de la infor-

maci, el CESICAT ofereix com a servei preventiu un

conjunt de guies de seguretat adreades a ciutadans,

empreses, administracions pbliques i universitats.

www.cesicat.cat

Qui fem aquesta guia


4/22

El contingut de la present guia s titularitat de la Funda-

ci Centre de Seguretat de la Informaci de Catalunya

i resta subjecta a la llicncia de Creative Commons BY-

NC-ND. Lautoria de lobra es reconeixer mitjanant la

inclusi de la segent menci:

Obra titularitat de la Fundaci Centre de Seguretat de la

Informaci de Catalunya.Llicenciada sota la llicncia CC BY-NC-ND.

La present guia es publica sense cap garantia espec-

ca sobre el contingut.

Lesmentada llicncia t les segents particularitats:

Vost s lliure de:

Copiar, distribuir i comunicar pblicament la obra.

Sota les condicions segents:

Reconeixement: Sha de reconixer lautoria de la

obra de la manera especicada per lautor o el llicencia-

dor (en tot cas no de manera que suggereixi que gaudeix

del seu suport o que dona suport a la seva obra).

No comercial: No es pot emprar aquesta obra per a

nalitats comercials o promocionals.

Sense obres derivades: No es pot alterar, transformar

o generar una obra derivada a partir daquesta obra.

Respecte daquesta llicncia caldr tenir en comp-

te el segent:

Modicaci: Qualsevol de les condicions de la present

llicncia podr ser modicada si vost disposa de per-

misos del titular dels drets.

Altres drets: En cap cas els segents drets restaran

afectats per la present llicncia:.

Els drets del titular sobre els logos, marques o qual-

sevol altre element de propietat intellectual o in-

dustrial incls a les guies. Es permet tan sols ls

daquests elements per a exercir els drets recone-

guts a la llicncia.

Els drets morals de lautor.

Els drets que altres persones poden tenir sobre el

contingut o respecte de com sempra la obra, tals

com drets de publicitat o de privacitat.

Avs: En reutilitzar o distribuir la obra, cal que sesmen-

tin clarament els termes de la llicncia daquesta obra.

El text complert de la llicncia pot ser consultat a

http://creativecommons.org/licenses/by-nc-nd/3.0/es/legalcode.ca.


5/22

5

Audincia

Aquesta guia est adreada als usuaris dUniversitats i Centres

de Recerca, Administracions pbliques catalanes i PIME que uti-

litzen el correu electrnic dins de lentorn professional.

Indirectament, tamb pot resultar dinters per als administra-

dors de plataformes de correu electrnic i per als responsables

de seguretat daquestes comunitats, doncs els pot ser til a lho-

ra de conscienciar els usuaris de lorganitzaci pel que fa a ls

daquest servei corporatiu i pot ajudar a proposar mesures per fer

ms segures aquestes plataformes.

Aquesta guia tamb sha pensat per als responsables de segure-

tat que pertanyin a organitzacions que en un futur prxim vulguin

implantar un Sistema de Gesti per a la Seguretat de la Informa-

ci (SGSI). Si b aquesta guia no es podria incorporar directa-

ment dins del cos normatiu del sistema de gesti, s que inclou

tots els aspectes i les recomanacions que lorganitzaci hauria

de tenir presents durant la implantaci prvia a la superaci del

procs de certicaci.

Abast

Aquest document no sha desenvolupat per a cap plataforma

o client de correu electrnic en concret, sin que pretn assolir

unes bones prctiques en seguretat de la informaci mitjanant

ls responsable del correu electrnic.

Per tant, tota conclusi que es pugui extreure daquesta guia

ser aplicable a qualsevol soluci particular de correu electr-

nic, doncs bona part de les recomanacions aqu incloses tenen

Introducci


6/22

incidncia directa en ls que els usuaris fan del correu

electrnic i, indirectament, en el producte que utilitzen.

Aspectes legals i normatius

La present guia sha elaborat tenint en compte les reco-

manacions provinents de lestndard internacional ISO

27002, que queden recollides als controls segents:

10.4.1 Controls contra codi malicis.

10.8.1 Poltiques i procediments per a lintercanvi din-

formaci.

10.8.4 Missatgeria electrnica.

10.10.1 Registres dauditoria (logging).

11.3.1 s de les contrasenyes.

11.4.2 Autenticaci dusuari per a les connexions ex-

ternes.

11.5.1 Processos de connexi segurs.

11.5.2 Identicaci i autenticaci dusuaris.

12.2.3 Integritat dels missatges.

13.1.1 Noticar dels esdeveniments de seguretat.

15.1.2 Drets de la propietat intellectual.

El compliment daquesta guia tamb afavorir el compli-

ment del Reial decret 1720/2007 associat a la Llei Orgni-

ca de Protecci de Dades de Carcter Personal.


7/22

7

Qu s i en qu consisteix?El correu electrnic s un dels serveis principals que

ofereix la xarxa a lhora de comunicar-nos rpidament

mitjanant missatges.

Tal com succeeix amb el correu postal, tothom posseeix

una adrea, en aquest cas electrnica, a on es poden

enviar els missatges, entenent per missatge tant comu-

nicacions de text, com lenviament dimatges, so o l-

macions. Aquesta adrea electrnica la proporciona la

prpia organitzaci als treballadors.

Si b quan utilitzem el correu postal fem servir sobres

de paper, bsties tancades amb clau o mecanismes de

conrmaci de recepci, entre daltres solucions, per tal

de garantir que la informaci arribi en les condicions que

desitgem, dins del mn digital tamb cal adoptar un con-

junt de mesures de seguretat.

FinalitatLa nalitat del correu electrnic s proporcionar una co-

municaci rpida entre persones darreu del mn. El fet

dutilitzar Internet facilita una comunicaci quasi instan-

tnia, contrriament a les limitacions del mn fsic.

Aquest servei, per tant, agilitza en gran mesura les ges-

tions i comunicacions duna organitzaci, sempre que

els usuaris lemprin correctament. En cas contrari, el

servei no noms pot consumir considerablement els ca-

nals de comunicaci digitals de lorganitzaci a la qual

pertany i impedir que daltres serveis informtics que uti-

litzin aquests canals de comunicaci funcionin amb un

Descripci general


8/22

rendiment ptim, sin que tamb pot comprometren la

infraestructura informtica si algun tipus de descrrega

inclou la introducci de codi malicis dins de la xarxa

particular de lorganitzaci en qesti.

Casos destudi


9/22

9

Per qu es rep un gran volumde correu brossa

DescripciEncara que un correu electrnic hagi estat identicat au-

tomticament per la plataforma de lorganitzaci on sen-

via com a correu brossa, tant pot ser que aquest correu

sigui realment perills com que es tracti dun correu ordi-

nari que ha estat etiquetat incorrectament. Aquest segon

cas s el que es denomina un fals positiu.

Si b quan senvien correus electrnics nicament

de text, arriben sense problemes al destinatari, quan

aquests correus incorporen txers de tipus executable,

com aplicacions o presentacions, de vegades la platafor-

ma de correu de lorganitzaci els etiqueta errniament

com a correu no desitjat com a mesura de prevenci, en-

cara que aquests correus realment no siguin perillosos.

Aquesta situaci tamb pot produir-se quan sadjunta un

txer molt volumins a un correu electrnic, per tal dim -

pedir que aquests tipus de correus puguin arribar a satu-

rar el servei corporatiu i causar un mal funcionament. En

aquestes situacions cal parlar amb ladministrador de la

plataforma perqu el correu pugui ser entregat correcta-

ment al destinatari o b sollicitar a lemissor que torni a

enviar el correu electrnic modicant lextensi del txer

adjunt o enviant la informaci fragmentada en diversos

correus electrnics de menor mida.

Encara que existeixin falsos positius, sn molts els cor-

reus brossa reals que senvien diriament a travs dIn-

ternet. Utilitzar o registrar ladrea de correu electrnic

en entorns o serveis digitals no corporatius, com ara xar-

Casos destudi


10/22

0

xes socials, pgines personals o llistes de distribuci de

notcies, ajuda a difondre lexistncia i vigncia de ladre-

a de correu electrnic i, per tant, ladrea es convertei-

xen en candidata a ser inclosa en llistes de distribuci

de campanyes de mrqueting de tercers o de missatges

fraudulents, entre daltres.

Utilitzar el correu electrnic professional per a qestions

personals, com ara el reenviament de missatges de cor-

reu electrnic en cadena, tamb ajuda difondre ladreade correu electrnic.

Daltra banda, si un dels nostres contactes en algun mo-

ment ha resultat infectat per algun tipus de codi malicis

que propicia lenviament indiscriminat de missatges de

correu electrnic als contactes de la seva agenda elec-

trnica, s probable que nalment ladrea de correu

electrnic de lemissor hagi estat inclosa a la llista negra

de la plataforma corporativa del receptor.

AmenacesInfecci per codi malicis

Els txers adjunts als correus electrnics poden estar

infectats per codi malicis. Aquest tipus de codi podria

arribar a paralitzar la infraestructura informtica de tota

lorganitzaci i impedir loperativa habitual dels membres.

Pesca (phising) combinada amb enginyeria social

Si b hi ha correus electrnics que no sn perillosos per

si mateixos perqu no incorporen codi malicis que es

pugui activar una cop lusuari executi larxiu on samaga,

s que a vegades incorporen un missatge dirigit a espan-

tar lusuari de tal manera que aquest estigui disposat a

actuar immediatament.

Aquests tipus de missatges acostumen a incorporar un

enlla cap a una pgina web que, tot i que sembla leg-

tima, s una imitaci de la pgina real mitjanant la qual

es roben lidenticador dusuari i la contrasenya daccs

de la vctima.

Correu brossaRecepci de grans volums de correu electrnic no desit-

jat a les bsties professionals dels usuaris que ocupen

espai del servidor de correu electrnic intilment i con-

sumeixen temps de lusuari a lhora deliminar-los de la

bstia de correu.

Denegaci de servei

Collapse de la plataforma de correu corporativa a cau-

sa de la recepci de nombrosos correus electrnics no

desitjats o de correus electrnics molt voluminosos.

Per qu cal una contrasenyadaccs al correu electrnic

Descripci

El correu electrnic serveix per enviar missatges digi-

tals en nom dun professional. Per evitar que una tercera

persona pugui enviar un missatge des duna bstia de

correu electrnic que no sigui seva, laccs a aquesta

bstia es protegeix mitjanant algun tipus de control

daccs. El control daccs ms habitual utilitzat per

les organitzacions s la combinaci dun identicador

dusuari i una contrasenya.


11/22

11

Si el propietari daquesta bstia no gestiona correcta-

ment la seva contrasenya, podria donar-se el cas que

una tercera persona envis missatges en nom del titular

de la bstia. s per aquest motiu que moltes organit-

zacions difonen internament entre els seus usuaris una

norma de contrasenyes per tal de conscienciar el seu

personal de la necessitat de vetllar per la correcta deni-

ci duna contrasenya que sigui prou segura com per no

ser descoberta fcilment per una tercera persona i per

tal dassegurar que aquesta contrasenya es protegeixadequadament.

Tamb cal tenir present que els avenos tecnolgics que

shan anat produint han propiciat que es pugui accedir

al correu electrnic utilitzant dispositius mbils com els

telfons mbils, dispositius PDA, etc., que permeten em-

magatzemar localment els correus electrnics. Per tant,

la prdua daquests dispositius pot comprometre la con-

dencialitat de la informaci que emmagatzemen i fer

possible que un tercer utilitzi el dispositiu mbil per envi-

ar correus electrnics suplantant la identitat de lusuari.

AmenacesSuplantaci didentitat

Si una tercera persona aconsegueix tenir accs a la

nostra bstia de correu, podr fer-se passar per nosal-

tres sense aixecar sospites. Sha de tenir especialment

present que molts dispositius mbils permeten descar-

regar el correu directament al dispositiu sense que per

fer-ho se solliciti a lusuari cap contrasenya per accedir

al correu electrnic. Aquesta informaci ja es troba con-

gurada per defecte al dispositiu de lusuari per evitar

que aquest lhagi dintroduir en cada descrrega auto-

mtica de correu, que pot estar programada per a qu

es produeixi molt freqentment.

Prdua dinformaci condencial

Si alg diferent al propietari del compte de correu elec-

trnic hi pot tenir accs, pot apropiar-se de tota la infor-

maci emmagatzemada a les bsties daquest compte

de correu.

En el cas dels dispositius mbils, perdre el dispositiu

mitjanant el qual es t accs al correu electrnic cor-

poratiu permet a qui el trobi, no noms tenir accs a

la informaci guardada al propi dispositiu, sin tamb a

tota la informaci de la bstia de correu.

Com gestionar correus electrnics

amb seguretatDescripciMolts professionals realitzen la seva activitat diria a les

installacions de la seva organitzaci, per tamb existeix

una gran nombre de professionals que utilitza infraestruc-

tures telemtiques que permeten moures pel territori. s

en aquest ltim cas, quan sutilitzen infraestructures de

lorganitzaci combinades amb infraestructures de ter-

cers, que la condencialitat en lintercanvi dinformaci

per correu electrnic pot veures compromesa.

Dentrada, pot ser que aquest usuari no utilitzi un client

local per descarregar-se el correu (Outlook, Eudora, etc.)

perqu, per exemple, utilitza un ordinador dun tercer i ac-

cedeix al correu mitjanant una pgina web. Si accedim a


12/22

aquesta pgina web mitjanant el protocol HTTP, el canal

de comunicaci no estar xifrat enlloc dHTTPS (correu

web), per la qual cosa una tercera persona podria inter-

ceptar el missatge enviat.

Daltres usuaris, en canvi, potser es poden descarregar

el correu localment des duna ubicaci remota, per per

fer-ho utilitzen xarxes pbliques de connexi a Internet.

Aquestes xarxes pbliques poden ser centres telem-

tics, punts lliures daccs sense l, etc. Si aquest canal

de comunicaci no est xifrat, el missatge podria ser in-

terceptat.

Si b la condencialitat de la informaci s important quan

sutilitzen recursos de tercers, tamb ho s per a aquells

missatges que, encara que no surtin de la xarxa interna

de lorganitzaci, contenen informaci condencial. Aix,

un missatge intercanviat entre dos membres duna matei-

xa organitzaci que es troben en un mateix espai sense

utilitzar mecanismes de xifrat podria ser interceptat inter-

nament per una altra persona de lorganitzaci o enviat a

un destinatari incorrecte, amb la qual cosa es comprome-

tria el secret daquesta informaci.

AmenacesPrdua dinformaci condencial

Si una persona diferent del destinatari legtim pot llegir la

informaci que li envia un emissor, pot apropiar-se de la

informaci a la qual ha tingut accs sense que el destina-

tari real sen adoni.


13/22

13

Cadascun dels escenaris plantejats en aquesta guia ex-

posa un seguit damenaces que, si es materialitzen al

llarg del temps, en major o menor mesura, tindran efec-

tes perjudicials per a l usuari i, ns i tot, per a lorganitza-

ci a la qual pertany. Per tal devitar que aix succeeixi

o minimitzar-ne lefecte si s que lamenaa no pot es

pot eludir totalment, a continuaci es proporcionen tot

un conjunt de recomanacions dirigides als usuaris que

utilitzen correus electrnics en lmbit professional.

Recomanacions per tal de

minimitzar la presncia decorreu brossa a les bsties

professionals dels usuarisLusuari haur de tenir en compte les recomanacions se-

gents per tal de disminuir el risc que suposa el rebre

correus brossa a la bstia de correu professional:

Sempre que sigui possible, s millor enviar correus

electrnics que no continguin documents adjunts, in-

corporant la informaci al cos del missatge i no en un

txer independent.

A lassumpte del missatge cal escriure una frase que

ajudi el receptor a saber de qu tracta i que permeti

ltrar-lo, prioritzar-lo, arxivar-lo i ms endavant recu-

perar-lo.

No obrir missatges de correu electrnic i, encara

menys, txers adjunts en els supsits que es des-

criuen a continuaci. Esborrar aquests missatges

sense obrir-los i, a continuaci, eliminar-los de la pa-

perera.

Si es desconeix qui s el remitent del missatge.

Recomanacions


14/22

4

Si el ttol del missatge no indica quin s el motiu del

missatge.

Si el missatge s inesperat o per algun motiu resulta

estrany, independentment de qui en sigui lemissor.

Possiblement es tracta de correu brossa o dun mis-

satge generat per virus o un altre codi malicis.

No adjuntar imatges o txers voluminosos al missat-

ge (txers amb imatges, fotograes, presentacions,

etc.), si existeix una altra manera de compartir la

informaci amb el destinatari (directoris compartits,espais de collaboraci, etc). Si s imprescindible ad-

juntar un txer, cal incloure al contingut del missatge

una breu descripci del mateix i indicar el format en

qu senvia.

Comprimir sempre que sigui possible els txers ad-

junts i no enviar directament txers executables, ni

txers tipus script.

No contestar mai els missatges de correu brossa, ni

respondre a lopci de donar de baixa la subscrip-

ci daquests missatges, per evitar donar a conixer

als emissors daquest tipus de correus que es tracta

duna adrea de correu vlida i evitar aix que pugin

intensicar lenviament de correu brossa.

No respondre mai a sollicituds de claus que arribin

mitjanant el correu electrnic. Cal desconar de

qualsevol petici de dades personals i no proporcio-

nar mai informaci personal o nancera en resposta

a un correu electrnic, ni utilitzar enllaos incorpo-

rats a aquests correus electrnics o a pgines web

de tercers.

Desactivar la funci de vista prvia als clients de

correu electrnic (Outlook, Thunderbird, Eudora, Lo-

tus Notes, etc.), per evitar infeccions vriques.

s recomanable que qualsevol incidncia (problema

o mal funcionament) o anomalia (comportament es-

trany o inesperat) del correu electrnic que detecti

lusuari siguin noticats al ms aviat possible a lad -

ministrador o operador del servei mitjanant el pro-

cediment existent dins lorganitzaci per evitar possi-

bles mals majors.

La majoria dels servidors de correu electrnic estan

dotats de solucions de seguretat que escanegen elsmissatges dentrada i sortida per prevenir possibles

infeccions. No obstant aix, si es t sospita dinfecci

per virus o altre codi malicis, no sha de fer servir el

correu electrnic per evitar-ne la propagaci interna.

Si b les recomanacions anteriors estan destinades a mi-

nimitzar la presncia de correu brossa procedent de lex-

terior de lorganitzaci a la bstia de correu professional,

hi ha un conjunt de bones prctiques que, si sobserven,

reduiran la presncia de correus innecessaris dmbit

corporatiu que, si b no sn nocius tcnicament, s poden

consumir temps i recursos personals i materials:

Escriure els missatges amb llenguatge professional;

no ser massa informal o colloquial. No escriure res

que no es posaria en una carta. Cal ser neutral i evi-

tar llenguatge sexista, insultant, abusiu o discrimina-

dor, que pogus ofendre o irritar els altres.

Cal ser respectus amb el temps dels altres. Enviar

missatges de correu nicament a les persones amb

una necessitat legtima de la informaci. No respon-

dre a missatges si no aporten valor afegit.


15/22

15

Dirigir el missatge (camp Per a:) a les persones de

les quals sespera un acci o resposta. Enviar cpies

(camp a/c) a les persones que es vol mantenir in-

formades, per de les quals no sespera cap acci o

resposta.

Congurar els missatges amb lopci Importncia

alta noms en els casos realment urgents.

Utilitzar les opcions de seguiment dels missatges en-

viats (conrmaci de recepci, etc.) quan realment

sigui necessari i tenint en compte que noms funcio-nar si el servidor de correu del receptor est con -

gurat per fer-ho.

En cas dabsncia durant ms dun dia i quan el pro-

gramari de correu ho permeti, s recomanable utilit-

zar lopci fora de locina, indicant el primer i ltim

dia dabsncia, per noticar a les persones que ens

envien missatges ns quan estarem absents i amb

qui poden contactar en cas durgncia.

Recomanacions per tal deminimitzar lamenaa de

perdre el control de la bstia

de correu electrnic dels usuarisLusuari haur de tenir en compte les recomanacions se-

gents per tal de disminuir el risc que suposa el fet que un

tercer pugui tenir accs a la seva bstia de correu electr-

nic sense el seu coneixement:

Les credencials daccs a les bsties de correu per-

sonals dmbit professional seran personals i intrans-

feribles.

Lusuari far un s adequat de les seves credencials

daccs i no les revelar a tercers ni les apuntar en cap

suport (notes adhesives, blocs de notes, agenda, etc.)

que sescapi del seu control directe.

En cas que de manera temporal o permanent sigui ne-

cessari que altres persones accedeixin a la bstia de

lusuari, ja sigui noms per lectura, o per llegir i enviar

missatges en el seu nom, no sels donar a conixer les

credencials daccs, sin que lusuari haur de fer-ho a

travs de les opcions de Delegaci daccs, quan el

programari de correu ho permeti. Si no s possible, unaaltra opci per permetre la lectura s reenviar el correu

a la bstia de laltra persona.

s responsabilitat de lusuari complir la norma de con-

trasenyes de la seva organitzaci, especialment en els

aspectes de condencialitat i seguretat de la paraula

de pas [1].

Per raons de seguretat, sevitar activar lopci de Re-

cordatori de contrasenya per accedir a la bstia de cor-

reu professional, encara que aix comporti la necessi-

tat de realitzar el procs de validaci cada vegada que

sactivi lenviament i recepci de missatges.

En el cas dels dispositius mbils que permetin accedir

al correu electrnic, s aconsellable activar una contra-

senya daccs al dispositiu, per protegir la informaci

que cont o a la qual permet accedir.


16/22

6

Recomanacions per protegir lacondencialitat de la informaci

intercanviada per correu electrnicLusuari haur de tenir en compte les recomanacions se-

gents per tal devitar el risc de divulgaci dinformaci

condencial intercanviada mitjanant ls de bsties de

correu electrnic:

Les llistes de distribuci sutilitzen per difondre de

manera massiva avisos, alarmes i comunicats. En

el moment de crear-la cal denir qui tindr accs a

aquesta llista de distribuci i qui ser el responsable

de mantenir-la i gestionar-la.

Abans denviar un missatge a una llista de distribu-

ci, s recomanable analitzar si no existeixen altres

eines de comunicaci massiva (butlletins, intranets,

etc.) ms adients per realitzar el comunicat. Sobretot,

cal revisar si tots els membres de la llista realment

han de rebre el missatge.

Si es contesta un missatge, incorporar el cos del mis-

satge al qual es respon, per mantenir intacta la cade-

na dinformaci, per abans de respondre un missat-

ge, cal assegurar-se que tota la informaci que sest

reenviant pot ser revelada al destinatari.

Si sha de reenviar un missatge amb informaci con-

dencial, cal assegurar-se que tota la informaci que

sest reenviant pot ser revelada al destinatari.

Per enviar informaci condencial a travs del correu

electrnic, caldr utilitzar mitjans de seguretat addi-

cionals, doncs el correu en si mateix no s un mitj

de comunicaci segur. Quan es disposi de certicat

digital i es tingui la certesa que el receptor podr des-

xifrar el missatge, es recomana fer-lo servir. En cas

de no disposar de certicat digital es poden encriptar

els txers que contenen la informaci utilitzant, per

exemple, les opcions dencriptaci amb contrasenya

que inclouen les opcions de gravaci de txers amb

seguretat dalguns programes domtica (en aquest

cas, cal triar les opcions de clau ms llarga, com a

mnim de 1.024 bits, i posar una paraula de pas de

com a mnim 8 posicions, combinant lletres, nom-

bres, smbols, majscules i minscules).El correu electrnic no sempre substitueix el telfon

i no garanteix la lectura per part del receptor. Abans

denviar un missatge cal considerar si s el mitj ms

adient per fer-ho. En cas durgncia, s convenient

advertir el receptor per telfon de lenviament del

missatge i conrmar-ne la recepci. Caldr utilitzar

un certicat digital reconegut quan sigui necessari

garantir jurdicament la identitat de lemissor, la in-

tegritat de la informaci continguda, la condenciali-

tat daquesta informaci i la no refutaci per part del

receptor. Cada organitzaci haur dindicar quines

sn les CA autoritzades, qui pot demanar un certi-

cat i quin s el procediment de sollicitud/aprovaci

de certicat digital o fer referncia a un procediment

especc de certicats digitals.

Laccs al correu corporatiu des de lexterior sha de

fer de manera segura. Un cas habitual consisteix a

habilitar als treballadors laccs per Internet mitjan-

ant correu web. Existeixen opcions ms segures i

recomanables com utilitzar laccs via VPN (Virtual

Private Network).

Encara que senvin xifrades, no escriure en un ma-


17/22

17

teix correu electrnic totes les dades daccs a un

sistema o document (identicador dusuari, contrase-

nya, clau dencriptaci, etc.), independentment de qui

les estigui demanant.

s recomanable incorporar al peu dels correus elec-

trnics que senvien una clusula estndard per in-

formar de la possible condencialitat de la informaci

continguda al missatge i la responsabilitat associada

a qui el rep. Si el sistema no afegeix aquesta clusu-

la automticament, cal congurar la bstia de correu

per tal que ho faci en lenviament i reenviament de

missatges. Una clusula vlida podria ser la segent:

*********************************************************

La informaci continguda en aquest missatge s con-

dencial. Si no en sou un dels destinataris denits o alg

responsable de fer-los-el arribar, aleshores heu rebut

aquest missatge per error i no esteu autoritzats a lle-

gir-lo, retenir-lo o distribuir-lo. Us preguem que esborreu

el missatge i els documents annexats, ho comuniqueu

immediatament al remitent i us abstingueu dutilitzar les

dades personals que hi consten.

*********************************************************

Utilitzar nicament programari autoritzat per lorganit-

zaci, la qual haur valorat els avantatges i inconve-

nients del programari utilitzat dins de la corporaci.

Daltra banda, lusuari haur de tenir en compte les re-

comanacions segents per tal devitar el risc de divulga-

ci dinformaci condencial emmagatzemada a la seva

bstia de correu electrnic o en un dispositiu mbil:

Cal ser selectiu a lhora demmagatzemar correus i

conservar noms els que puguin ser tils en el de-

senvolupament de la feina.

s recomanable no guardar els missatges de manera

sistemtica i permanent i fer revisions de depuraci

peridica.

Guardar els missatges que shagin de conservar, en

format no xifrat, en una ubicaci que tingui garanties

de condencialitat, integritat i continutat. Comproveu

la poltica aplicada en aquest servei, lespai de me-mria individual, els procediments de depuraci au-

tomtica peridica, etc. s recomanable que, quan

semmagatzemi el contingut dels correus electrnics,

sindiqui amb quina nalitat es fa.

Com a norma general, tret que shagi fet servir una

signatura electrnica, el correu electrnic no es pot

considerar com un registre de negoci formal, perqu

no garanteix lautenticitat, integritat, exactitud, com-

pletesa, no refutaci i preservaci de levidncia. A

ms, s informaci subjecta a canvis de versi o pro-

gramari, de manera que no shauria de guardar com

a registre permanent. Existeixen altres maneres per

formalitzar decisions o compromisos com ara actes

de reunions, documents signats o registres autorit-

zats de veu.

Utilitzar nicament programari autoritzat per lorganit-

zaci, la qual haur valorat els avantatges i inconve-

nients del programari utilitzat dins la corporaci.


18/22

8

El correu electrnic es va fer servir per primer cop lany

1965, quan encara ning no simaginava la forta reper-

cussi que tindria a les xarxes de comunicaci actuals.

Aquesta facilitat de comunicaci, com sha pogut com-

provar en el transcurs daquesta guia, t uns avantatges,

per tamb uns inconvenients. Pel que fa als inconveni-

ents, se nhan identicat de dues naturaleses diferents:

Un s inapropiat del correu electrnic pot tenir un impac-

te social i econmic negatiu per a lorganitzaci (envia-

ment de correus molestos o innecessaris, etc.).

Un s del correu electrnic sense observar les degudes

mesures de seguretat pot tenir un impacte negatiu eco-

nmic, legal i dimatge per a lorganitzaci (divulgaci de

pressupostos, nmines o dades personals, infecci dels

sistemes informtics per un virus, etc.).

s per aquest motiu que, cada vegada amb ms fre-

qncia, les organitzacions incorporen a les seves nor-

mes internes codis de conducta per a la utilitzaci del

correu electrnic, a i efecte de minimitzar limpacte

que podrien tenir per a lorganitzaci determinades con-

ductes dels usuaris quan utilitzen el correu corporatiu.t.

Conclusions


19/22

19

Glossari de termesCerticat digital: el certicat digital s un sistema dacredi-

taci que permet a les parts tenir conana en les transacci-

ons a Internet, doncs garanteix la identitat del seu possedor

a Internet mitjanant un sistema segur de claus administrat

per un tercer de conana (lautoritat de certicaci). El cer-

ticat permet realitzar, de manera segura i amb validesa

legal, tot un conjunt daccions que varia segons el tipus de

certicat: signar documents, xifrar missatges, entrar a llocs

restringits, identicar-se davant lAdministraci, etc.

Codi malicis: qualsevol codi informtic destinat a realit-

zar accions fraudulentes. Es consideren codi malicis els

virus i cucs informtics, els troians (permeten fer-se amb el

control duna mquina), etc.

Llista de distribuci: s un conjunt dadreces de correu

electrnic que sagrupen sota una nica adrea de correu

electrnic. Quan es fa un enviament a una llista de distri-

buci, sest fent lenviament a totes les adreces incloses a

la llista. La creaci de llistes facilita lenviament de missat-

ges a grups de persones a qui ens adrecem habitualment

de manera conjunta, doncs evita haver descriure totes les

adreces de correu electrnic cada vegada i en pot garantir

la privacitat.

Generalment els clients de correu permeten la creaci de

llistes de distribuci personals, accessibles nicament per

a lusuari que les ha creades.

Les llistes de distribuci globals, visibles per a qualsevol

usuari del sistema de correu, han de ser creades per lad-

ministrador del sistema.

Logging: procs de validaci a un sistema o servei telemtic.

Pesca o phishing: prctica delictiva que consisteix a su-

plantar a la xarxa una empresa de conana (normalment

un banc, una caixa destalvis, una empresa asseguradora,

etc.) per tal dapropiar-se dels identicadors dusuari i les

contrasenyes associades dels seus clients en lnia i, aix,

poder entrar als seus comptes i obtenir informaci con -

dencial o b un beneci econmic directe.

Spam: prctica denviar missatges de correu electrnic no

sollicitats. Generalment es tracta de publicitat de produc-

tes, serveis o pgines web, per tamb pot incorporar codi

malicis o enllaos web per perpetrar atacs de phising. Les

adreces de correu electrnic acostumen a ser robades,

comprades, recollectades per la web o preses de cartes

en cadena.

La prctica de lenviament de correu brossa constitueix un

problema que afecta de manera negativa tots els usuaris de

la xarxa. La legislaci vigent prohibeix de manera expressa

lemissi daquest tipus de correu.

Script: conjunt dinstruccions tcniques que sexecuten de

manera automtica en un sistema.

VPN: en angls, Virtual Private Network (VPN). s una tec-

nologia de xarxa que permet lextensi de la xarxa local a

una xarxa pblica o no controlada, com per exemple Inter-

net. La VPN aconsegueix aquest objectiu mitjanant la con-

nexi dusuaris des de diferents xarxes a travs dun tnel

que es construeix sobre Internet o qualsevol xarxa pblica.

Aquest tnel utilitza mecanismes dencriptaci.


20/22

0

Referncies i enllaos webSha utilitzat com a referncia en lelaboraci de lac-

tual guia:

GE-GUI26- 01 Guia dus correu electrnic, del Centre

de Telecomunicacions i Tecnologies de la Informaci

de la Generalitat de Catalunya (CTTI).

[1] DOC-GUI-001 Guia gesti de contrasenyes:

Aquest document s una guia de seguretat que con-

sisteix en proporcionar unes bases ds i gesti cor-

rectes de les contrasenyes.

[PDF] http://www.cesicat.cat

A la web shi pot trobar informaci rellevant, relacio-

nada amb la matria desenvolupada en aquesta guia:

Estudi sobre la situaci, naturalesa i impacte econ-

mic i social del correu electrnic no desitjat spam, IN-TECO, Juny 2008.

[PDF] http://www.inteco.es/le/1000136237

Correu segur, Consejo Superior de investigaciones

cientcas CSIC.

http://www.iec.csic.es/CRIPTonOMiCon/correo/cifra-

do.html

Xifrar missatges de correu electrnic, Microsoft.

h t t p : / / o f f i c e . m i c r o s o f t . c o m / e s - e s / o u t l o o k /

HP012305363082.aspx

Com xifrar un missatge de correu electrnic indivi-

dual a Outlook Web Access, Microsoft Technet, 19 de

Maig del 2005.

h t t p : / / t e c h n e t . m i c r o s o f t . c o m / e s - e s / l i b r a r y /

aa997829%28EXCHG.65%29.aspx

Firmat i xifrat de correus electrnics, Mozilla-hispa-

no.

http:/ /www.mozi l la-hispano.org/documentacion/

Firma_y_cifrado_de_correos_electr%C3%B3nicos

Xifrat de correus per a novells, XTEC, any 2000.

[PDF]http://www.xtec.es/~acastan/textos/Cifrado%20de%20correo%20para%[email protected]

EinesEines de xifratge

GNUpg.

Implementaci lliure del estndard OpenPGP denit al

RFC4880.

http://www.gnupg.org/

PGP.

Implementaci i foment de dutilitzaci PGP i OpenPGP de-

nit al RFC4880.

http://www.pgpi.org/

Enigmail.

Extensi pel client de correu Mozilla Thunderbird que inte-

gra OpenPGP.

http://enigmail.mozdev.org/home/index.php

FireGPG, GnuPGP aplicat al servei de correu Gmail.

Extensi per al navegador Mozilla Firefox sota llicncia

MPL (llicncia pblica de Mozilla) que proporciona una in-


21/22

21

terfcie integrada de les operacions de GNUPG al text de

qualsevol pgina web, com xifrat, desxifrat, rma i verica-

ci de rmes.

Clients suportats: Gmail, Yahoo, Rouncube, Squirre-

Mail, Horde.

http://es.getregpg.org/

Eines anti-spam

SpamAssessin.

Plataformes: Windows, Mac, Linux/Unix.

http://spamassassin.apache.org/

SpamBayes.

Plataformes: Windows, Linux i Mac OS amb multitud de cli-

ents de correu, consultar a la pgina de descarrega.

http://spambayes.sourceforge.net/

Spamihilator.

Plataformes: Windows amb Outlook, Opera, Eudora, Pega-

sus, Phoenix, Netscape, Thunderbird i IncrediMail.

http://www.spamihilator.com/

SpamTerrier.

Plataformes: Windows 2000/XP/Vista i 2003, suporta els

clients The Bat!, Windows Mail, Outlook Express, Outlook

totes les versions.

http://www.agnitum.com/products/spam-terrier/

Recursos de suport on-line

Hushmail

Servei a la xarxa que ofereix correu segur, bstia xifrada,

correu electrnic xifrat amb servei dantivirus i antispam.

Utilitza els estndards OpenPGP.

http://www.hushmail.com/


22/22

www.cesicat.cat

Guia d'ús Del Correu Electronic

Documents

Transcript of Guia d'ús Del Correu Electronic