501-10356-101 Venta y asesoramiento€¦ · Tea Cegos, S.A. 2016 3 CONFIDENCIALITAT DE LA INFORMACI ... robar dades d'identificació personal i credencials de comptes financers. Està

Normativa

Tema 5 Introducció a la seguretat

de la informació

NORMATIVA Tema 5. Introducció a la seguretat

de la informació

Tea Cegos, S.A. 2016 2

ÍNDEX

CONFIDENCIALITAT DE LA INFORMACIÓ ............................................................ 3

CONTRASENYES ..................................................................................................... 6

CORREU ELECTRÒNIC NO DESITJAT ..................................................................... 9

DISPOSITIUS MÒBILS ............................................................................................ 14

NAVEGACIÓ WEB ............................................................................................... 16

XARXES SOCIALS I APLICACIONS NO CORPORATIVES .................................... 18

ÚS DE PC I PORTÀTILS .......................................................................................... 19

ENGINYERIA SOCIAL ........................................................................................... 20

CONCLUSIONS .................................................................................................... 22


de la informació


CONFIDENCIALITAT DE LA INFORMACIÓ

Què pots considerar informació confidencial?

La informació que es fa servir a l'empresa és d'ús intern i propietat de l'empresa.

Qualsevol persona que utilitzi els sistemes d'informació de l'empresa està obligada

a mantenir el secret professional sobre aquesta informació en compliment de la

relació laboral establerta.

La informació pot ser especialment sensible quan conté els següents tipus de

dades:

Dades personals. És qualsevol dada que es pugui utilitzar per identificar,

contactar o localitzar a una persona en concret, mitjançant la dada en

concret o en combinació amb altres fonts d'informació. Això inclou, entre

d'altres:

- Nom, domicili i telèfon

- Números d'identificació (DNI, permís de conduir)

- Matrícula del vehicle

- Dades bancàries (transaccions del client)

- Fotografies on aparegui la cara

- Estat civil, data de naixement

- Lloc de treball, nivell de renda d'aquesta persona

- Historial mèdic

Dades de targetes de pagament

- Dades de la targeta de crèdit dels clients

Dades per a processos d'autenticació

- Tant de clients com d'empleats: números secrets, claus, PIN, etc.


de la informació


Dades restringides

- En general, qualsevol informació a la qual només hi ha d'accedir un

grup restringit de persones.

Aquesta informació és confidencial i únicament hi poden accedir les persones

autoritzades i prèviament identificades.

No facilitis mai aquesta informació a través de xarxes socials o per correu

electrònic fora de l'entitat.

Protegir la informació depèn de tu! És responsabilitat teva com a empleat

mantenir la confidencialitat de la informació amb la qual treballes. No pots

generar documents o informació en dispositius no controlats per l'empresa.

Implicacions legals i/o laborables de les fuites d'informació. El mal ús o la

divulgació accidental d'informació confidencial pot arribar a tenir implicacions

legals personals o en les teves relacions laborals.

Impacte en la imatge pública de les fuites d'informació. Un incident d'aquest tipus

pot arribar als mitjans de comunicació i afectar la imatge pública de l'empresa.

Com has de gestionar les dades de caràcter personal? Únicament pots facilitar

dades personals al seu propietari prèviament identificat.

No distribueixis informació fora dels sistemes de l'empresa.

Com has de treballar amb la informació?

1. Classificació de la informació. És obligatori que classifiquis totes les pàgines

d'un document en paper com a confidencials si la informació que conté és

confidencial? Sí, has de classificar totes les pàgines com a confidencials. A

més, és important que desis els documents en paper d'aquest tipus en una

carpeta que no mostri el seu contingut.

Sempre que treballis amb un document electrònic o en paper has de

comprovar si està classificat.

Si no està classificat, n'has de comprovar el contingut i classificar-lo tu.

Per defecte, tota informació que no estigui degudament classificada es

considerarà d'ús intern.


de la informació


Classifica sempre la informació

2. Emmagatzematge de la informació. Els documents en format paper mai

han de quedar desatesos.

On has de desar tota la informació confidencial que tens en format paper?

És necessari que desis tota la informació confidencial en format paper sota

clau, en armaris o arxivadors.

Pots desar informació en suports d'emmagatzematge extern (discos durs

extraïbles, memòries USB, DVD, CD)? No, tota la informació l'has

d'emmagatzemar en els sistemes d'informació de l'empresa.

Desa la informació en els sistemes d'informació de l'empresa.

3. Enviament de la informació. Qualsevol informació confidencial l'has

d'enviar-la per un canal segur.

Què és un canal segur? Un canal de comunicació segur és aquell en el

qual tota la informació que s'hi intercanvia únicament és accessible per a

l'emissor i el receptor que duen a terme la comunicació. Això és així perquè

aquest canal disposa d'una sèrie de mesures de seguretat que garanteixen

la confidencialitat.

Pots enviar informació confidencial per correu electrònic? No. En cas que hi

hagi una necessitat ineludible, consulta el teu responsable.

Com has d'enviar informació confidencial en paper? T'has d'assegurar-te

que la informació confidencial en paper es lliuri sempre en mà al seu

destinatari.

Envia la informació de manera segura.

4. Destrucció de la informació. Què vol dir la destrucció segura d'informació

en format paper? Has de destruir la informació de manera que no es pugui

reconstruir. Si és possible, has d'utilitzar una trituradora de paper.

Destrueix la informació de manera segura

La nostra millor defensa és la prevenció… Val més curar-se amb salut! Un cop que

s'ha produït una fuita d'informació, és molt difícil recuperar la reputació perduda.

Roman atent als 4 passos: Classifica, Emmagatzema, Envia i Destrueix la informació

de manera segura.


de la informació


En quins moments has de ser especialment curós i no divulgar informació

confidencial?

Quan responguis a correus electrònics o facis trucades a persones alienes a

l'organització i en seminaris, reunions o fires en les quals hi participis.

Comentaris en veu alta en llocs públics.

Durant la jornada laboral, cal que posis especial atenció a tots els

documents en paper que continguin informació de negoci de l'empresa.

Al final de la jornada laboral, les taules de treball han de quedar totalment

buides de papers. No oblidis recollir sempre de la impressora les còpies dels

documents que hagis enviat a imprimir.

Si a la impressora hi trobes documents que no han estat recollits per altres

usuaris, destrueix-los si no saps qui n'és el propietari.

CONTRASENYES

COM HAS DE PROTEGIR EL TEU USUARI I CONTRASENYA

De la mateixa manera que no has de compartir usuaris i contrasenyes; tampoc no

les has de deixar a la vista de tothom ni fàcilment accessibles.

Les has de protegir de la mateixa manera que protegiries el teu compte bancari i

la targeta que et permet obtenir reintegraments.

Ets responsable de tot allò que es faci amb el teu usuari i contrasenya. Si

comparteixes el teu usuari i contrasenya estaràs incomplint la normativa de

l'empresa.

Si comparteixes la teva contrasenya comparteixes la teva identitat. Si l'altra

persona comet algun tipus de frau o error fatal, tu seràs considerat responsable,

perquè són el teu nom i cognoms els que estaran associats a aquesta

transacció. No serà possible saber quines coses has fet tu i quines coses ha fet

l'altra persona.

Si escrius la teva contrasenya en una nota adhesiva o la deses al teu mòbil, els ho

estàs posant molt fàcil “als dolents”. És important protegir les contrasenyes i ser

conscients dels possibles atacs que es podrien perpetrar si algú utilitzés amb mala

intenció el teu usuari i contrasenya. El millor que pots fer és memoritzar-la.


de la informació


COMPLEXITAT I NO REUTILITZACIÓ DE CONTRASENYES

Un atac molt comú és intentar endevinar una contrasenya utilitzant informació de

l'usuari: nom de familiars, mascotes, ciutats, dates assenyalades…

Un error molt comú és utilitzar la mateixa contrasenya per a diferents accessos.

Pensa en tots els llocs on entres amb la mateixa contrasenya: sistemes

d'informació, xarxes socials, webs, aplicacions. Què passarà si alguna d'aquestes

aplicacions es veu en una situació crítica i es publiquen les contrasenyes de tots els

usuaris? Passarà que hauràs de canviar la teva contrasenya de la manera més

ràpida possible a totes les aplicacions que hem esmentat anteriorment, perquè el

primer que faran “els dolents" serà comprovar en quants llocs més utilitzaves també

aquesta contrasenya.

L'atac més utilitzat per esbrinar contrasenyes és intentar-ho amb totes les

possibilitats mitjançant programes automatitzats. Començar amb aaaa, després

aaab, continuar amb aaac…

És fàcil entendre que com més longitud tingui la contrasenya i més tipus de

caràcters contingui (majúscules, números) més difícil serà d'esbrinar.

Existeixen llistes de contrasenyes freqüents que utilitzen els atacants i solen donar

molt bon resultat. Alguns exemples són: I love you, contrasenya, password, 1234,

123456, qwer… No facis servir mai aquest tipus de contrasenyes.

Recomanacions per tenir una contrasenya segura:

La contrasenya és personal i intransferible

No anotis les teves contrasenyes, memoritza-les

No utilitzis contrasenyes que continguin informació personal (el nom de la

teva mascota, data de naixement…)

No facis servir la mateixa contrasenya per a l'entorn professional i el

personal.

No triïs contrasenyes que continguin paraules (encara que siguin d'un altre

idioma)

Longitud de la contrasenya: mínim 8 caràcters alfanumèrics

La contrasenya ha de combinar, com a mínim: majúscules, minúscules i

números

Canvia la teva contrasenya regularment


de la informació


Recorda que en els nostres sistemes:

Cada vegada que canviïs la contrasenya, no podràs fer servir les 3 últimes

que hagis utilitzat

No pots tornar a canviar la contrasenya si no han passat 24 hores des de

l'últim canvi

En cas que no canviïs la teva contrasenya amb regularitat, el sistema t'ho

recordarà perquè ho facis

Si introdueixes 6 vegades una contrasenya errònia, l'identificador d'usuari

quedarà suspès; és a dir, no podràs entrar al sistema fins que un

administrador et restableixi la contrasenya.

Si no accedeixes al sistema durant 90 dies, l'identificador d'usuari també

quedarà suspès.

Ajuda amb les contrasenyes. Podeu utilitzar frases que us ajudin a memoritzar les

contrasenyes. Un possible exemple de contrasenya seria: M3i4c3s!

En aquest cas hem buscat una anècdota personal i hem utilitzat la primera lletra

de cadascuna de les paraules que formen la frase i les hem canviat per números:

“M'encanta anar al camp el dissabte!”

e=3

a=4

Et convidem a utilitzar tècniques similars per aconseguir bones contrasenyes.

Per obtenir més informació sobre les contrasenyes, consulta la teva norma

interna de seguretat de la informació i, en cas de dubte, consulta les polítiques

de seguretat de la informació del Grup “la Caixa”.


de la informació


CORREU ELECTRÒNIC NO DESITJAT

SPAM o correu brossa, són tots els correus no sol·licitats que no tenen cap interès

per a qui els rep. Normalment tenen una finalitat comercial o publicitària.

Un dels tipus de correu brossa és el phishing o suplantació d'identitat. El phishing és

una activitat delictiva que consisteix en utilitzar correus electrònics manipulats per

robar dades d'identificació personal i credencials de comptes financers. Està

pensat per dur al consumidor cap a llocs web falsificats que l'enganyen perquè

lliuri informació confidencial.

Si fas clic en un enllaç d'un correu d'spam o phishing, estaràs en perill. Les

conseqüències poden ser:

Usurpació d'identitat

Robatori de les teves credencials (usuari i contrasenya)

Accés al teu compte bancari

Robatori de les dades de la teva targeta de crèdit o d'alguna altra dada

confidencial

Violació de la privadesa

Descàrrega de programari maliciós (virus i malware)

Les conseqüències per a l'entitat de fer clic en un enllaç d'un correu d'spam o de

phishing serien:

Afectació a la integritat i la disponibilitat dels sistemes informàtics de

l'empresa

Robatori de propietat intel·lectual

Exposició d'informació confidencial de clients

Pèrdua de confiança dels clients i dany a la marca

Descàrrega de programari maliciós (virus i malware)

És molt important que tots els empleats sapigueu reconèixer i respondre als

possibles atacs d'aquest tipus.


de la informació


Correus sospitosos:

Si es tracta d'un missatge no sol·licitat, tant si és un missatge instantani, de

text com de correu electrònic, aquest missatge no desitjat pot ser un intent

de phishing.

Sovint, els missatges de correu electrònic de phishing sol·liciten dades

personals amb la finalitat de tornar a validar contrasenyes o dades

confidencials, com ara informació financera o del compte bancari. Com ja

saps, l'empresa mai demana dades personals als seus clients per correu.

En gairebé tots els casos, als missatges de phishing s'urgeix l'usuari a actuar

immediatament o s'inclou algun tipus d'amenaça que busca espantar el

destinatari.

Has d'estar atent als missatges de correu electrònic amb salutacions

impersonals o sense adreça en el camp “Per a” del missatge. Vés amb

compte si no tens relacions comercials amb l'organització que

presumptament et contacta.

Els missatges de correu electrònic de phishing solen contenir errors

ortogràfics o gramaticals, o estan mal redactats, encara que els missatges

sense errors tampoc són garantia de seguretat.

Si l'enllaç que es mostra en el missatge i l'adreça que està incrustada no són

iguals, és un clar senyal que el missatge NO és segur. L'enllaç és el que es

veu en el correu i l'adreça es mostra passant-hi el ratolí per sobre sense fer

clic.

Els missatges que usen serveis externs d'abreviatura d'URL (com tinyurl.com o

bit.ly) també presenten un risc, perquè les adreces URL reals romanen

ocultes.

Aquesta llista inclou els indicis més comuns, però que un missatge tingui una

d'aquestes característiques no el converteix necessàriament en perillós o en

intent de phishing.


de la informació


ACTIVITAT

Pots trobar les 2 pistes que indiquen que aquest correu és sospitós?

Solució:

Pista 1. Amenaça en el text del missatge de correu

Pista 2. Errors ortogràfics


de la informació



Solució:

Pista 1. Salutacions impersonals (“L'enhorabona! El nostre Centre de Premis…”)

Pista 2. Sol·licitud de dades personals (“Accedir al seu compte”)


de la informació



Solució:

Pistes 1, 4 i 5. Errors ortogràfics

Pista 2. Salutació impersonal

Pista 3. Amenaça que busca fer por


de la informació


En cap cas, no has de:

Obrir correus electrònics amb remitent desconegut i amb un títol aparent

d'un missatge no sol·licitat. Elimina aquests missatges de la bústia.

Obrir correus electrònics amb títol sospitós, tot i que procedeixin d'un

remitent conegut. Tingues en compte que el remitent d'un correu extern pot

ser suplantat amb facilitat. Per aquest motiu, abans de donar validesa al

contingut d'un correu electrònic sospitós, verifica-ho amb el remitent.

Executar fitxers annexos o fer clic sobre enllaços sospitosos, encara que el

remitent sigui una persona coneguda.

Respondre a correus que sol·liciten dades personals, per exemple, usuari i

contrasenya, encara que sigui a través d'enllaços continguts en el correu,

doncs podria tractar-se d'un cas de frau (phishing).

Reenviar correus amb contingut dubtós en els quals se sol·licita que se'n faci

un reenviament massiu.

Com has de respondre davant un atac de phishing? Envia la informació de la qual

disposis a l'adreça de correu: [email protected]

DISPOSITIUS MÒBILS

Els dispositius mòbils (agendes electròniques, telèfons mòbils, tauletes, etc.)

permeten emmagatzemar una gran quantitat d'informació confidencial: noms,

telèfons, adreces postals, documents o correus electrònics en alguns casos.

Atesa la mida reduïda d'aquests dispositius, la probabilitat de perdre'ls o que siguin

sostrets és considerable. Per aquesta raó, és imprescindible adoptar unes mínimes

mesures de seguretat per protegir-nos de l'accés no autoritzat a la informació.

Els dispositius actuals solen disposar de connectivitat sense fil (wifi i Bluetooth):

Activa aquesta connectivitat únicament quan sigui necessari.

És molt important que apaguis la connexió un cop finalitzada la transmissió,

perquè no fer-ho suposa obrir una porta a un possible accés no controlat a

la informació.

mailto:[email protected]


de la informació


Sigues previngut en l'ús dels dispositius:

No desis informació en cap dispositiu que no sigui el que t'ha proporcionat

l'empresa.

Parla per telèfon amb precaució sobre temes confidencials, no només per

les persones al voltant que et podrien escoltar, sinó també perquè el teu

interlocutor podria enregistrar la conversa.

Les noves tecnologies permeten que un gran nombre de dispositius d'ús

quotidià disposin de capacitat de captació de so i, fins i tot, d'imatge i, per

tant, permeten l'enregistrament de converses o altres situacions de manera

que pot passar totalment desapercebuda.

Recorda tenir controlat el teu dispositiu mòbil en tot moment per prevenir

que s'extraviï o te'l robin. Durant els Jocs Olímpics de Londres es van perdre o

van robar 67.000 telèfons mòbils! Per tant, pensa que també et pot passar a

tu, perquè els dispositius mòbils són objectius preferents de lladres.

Pensa què pot succeir si perds o et roben el telèfon.

MESURES DE PREVENCIÓ

No et connectis mai a una xarxa wifi de cafeteries, aeroports, biblioteques…

Mai sabràs qui pot estar escoltant el que enviïs i reps.

Desactiva la modalitat “visible” del Bluetooth. No cal que vagis pel món

anunciant que acabes d'arribar!

No acceptis una connexió entrant Bluetooth desconeguda.

Canvia el codi PIN del Bluetooth. Els dispositius mòbils solen tenir un codi PIN

per al Bluetooth amb valors per defecte fàcils d'endevinar (0000, 1234…), de

manera que un altre dispositiu podria accedir fàcilment al teu.

Què faig si em roben el mòbil o el perdo?

Comunica immediatament la pèrdua o el robatori trucant al número

específic per a aquests casos.

Canvia la teva contrasenya d'accés.


de la informació


Protegir la informació depèn de tu

Roman atent als teus dispositius i segueix els consells que t'hem donat en aquest

tema.

NAVEGACIÓ WEB

Navega amb precaució!

Les connexions que es produeixin a través de la xarxa de l'empresa han

d'obeir a finalitats professionals.

En cap cas has d'accedir a adreces d'Internet de contingut ofensiu o que

atempta contra la dignitat humana o els drets fonamentals.

Abans d'utilitzar informació provinent d'Internet, comprova acuradament si

es troba protegida per lleis de propietat intel·lectual o industrial.


de la informació


Les connexions per https indiquen que:

La comunicació entre el teu ordinador i el servidor web és segura.

La informació que enviïs no es pot interceptar.

El servidor web disposa d'un certificat digital que garanteix la seva identitat.

Com a norma general, mai no s'han d'introduir contrasenyes en una pàgina web

d'Internet si la connexió no és "https".

Per comprovar que accedeixes a una pàgina web segura, busca la “s” darrere

d'http, així com la icona del cadenat.

Tingues cura de la teva informació personal. Moltes pàgines web sol·liciten dades

personals en el moment de registrar-se, com ara:

Nom

Telèfon

Edat

Professió

Adreça de correu electrònic

Pensa-t'ho molt bé abans de facilitar aquestes dades, perquè el més probable és

que comercialitzin amb elles.

No facilitis mai l'adreça de correu corporativa quan et registris a una pàgina web,

excepte quan sigui necessari per dur a terme la teva activitat professional.

Vés amb compte amb les pàgines que et demanen canvis en el teu ordinador.

Has de sospitar de qualsevol pàgina que et suggereixi fer un canvi en la

configuració del navegador o bé que sol·liciti el teu permís per executar un

programa.

No facis cap canvi ni executis els programes que no hagin estat homologats

prèviament per l'empresa.

Per obtenir més informació sobre la navegació web, pots consultar el codi

telemàtic de la teva empresa o el codi telemàtic del grup “la Caixa”.


de la informació


XARXES SOCIALS I APLICACIONS NO CORPORATIVES

Per què no pots usar xarxes socials i/o aplicacions no corporatives en l'empresa?

La facilitat de compartir informació a les xarxes socials i/o aplicacions que tenim

disponibles a Internet (blogs, wikis, missatgeria instantània, Twitter, Tuenti, Dropbox i

Facebook) converteix aquestes aplicacions en autèntiques amenaces per a la

protecció de la informació confidencial.

Una vegada que hagis compartit la informació en aquestes aplicacions, la

informació s'allotja en servidors externs i l'empresa ja no té mecanismes per

protegir-la.

Et pots comunicar amb els clients a través de les xarxes socials o aplicacions no

corporatives?

No, no les has d'utilitzar per comunicar-te amb els clients o entre empleats.

Si no et pots comunicar a través de les xarxes socials… Com et pots comunicar

amb ells?

Encara que no és possible l'ús de xarxes socials, l'empresa subministra els

recursos d'eines de col·laboració necessàries per al desenvolupament de les

tasques específiques de cada empleat.

Les eines de col·laboració que es posen a la disposició dels empleats són un

instrument bàsic destinat a la prestació dels serveis professionals, i el seu bon

ús contribueix a millorar l'activitat diària.

Com has d'actuar amb el teu compte personal a Facebook, Twitter o qualsevol

altra xarxa social?

No publiquis informacions que es puguin interpretar com el posicionament o

l'opinió de l'empresa.

Si observes un comentari o una publicació sobre algun aspecte de l'activitat

de l'empresa, no responguis directament.

No publiquis mai en una xarxa social, tant de manera pública com en un

missatge privat a un altre usuari, qualsevol dada (informació, fotos, vídeos…)

que coneguis a causa de la teva condició d'empleat de l'empresa.


de la informació


ÚS DE PC I PORTÀTILS

L'ordinador que et facilita l'empresa és una eina de treball i, com a tal, només s'ha

d'utilitzar per realitzar tasques professionals.

Ets responsable del seu ús correcte així com de la generació i custòdia de les

contrasenyes necessàries per protegir-los.

No es permet la instal·lació de programes diferents dels que et proporciona

l'entitat, perquè n'hi ha que aprofiten vulnerabilitats i poden modificar l'equip

instal·lant programari maliciós (malware) o programes espia.

Malware és un programa maliciós construït per aconseguir informació confidencial

o prendre el control de l'equip infectat.

En relació a les còpies de seguretat, desa la informació exclusivament en les unitats

habilitades per a aquesta finalitat en la teva estació de treball.

Si les deses en altres llocs, no es podran recuperar en cas de pèrdua.

Per obtenir més informació sobre l'ús dels PC i els portàtils, pots consultar la Norma

de seguretat de la teva empresa.

Consells:

No comparteixis el teu usuari/contrasenya amb altres persones. Cada

empleat disposa del seu propi usuari i contrasenya i és d'ús personal i

intransferible.

Si disposes d'un ordinador portàtil, sigues discret quan l'hagis d'utilitzar en

llocs públics. No el deixis desatès.

No deixis mai el portàtil al cotxe i encara menys en un lloc on sigui visible.

Assegura't de bloquejar l'ordinador quan no l'utilitzis. Si t'absentes, tanca la

sessió o fins i tot apaga'l.

Per evitar que ningú més utilitzi el teu ordinador quan no estiguis present, bloqueja'l.

Pots bloquejar ràpidament un ordinador, prement la tecla amb el logotip de

Windows i, a continuació, la lletra “L”.


de la informació


Què faig si em roben el portàtil o el perdo?

Comunica immediatament la pèrdua o el robatori al teu responsable

directe.

Canvia totes les contrasenyes que utilitzaves al portàtil.

Facilitat per compartir informació… però també per perdre-la o infectar-se amb

virus.

Mai hauries de desar informació confidencial en una memòria USB, atès que

és molt fàcil perdre-la (o que ens la robin). Recorda que simplement

esborrant el fitxer, la informació no es destrueix… i es pot recuperar.

Quan una memòria USB passa d'un ordinador a un altre es pot infectar amb

virus i malware. Si introdueixes una memòria infectada al teu ordinador, el

virus pot passar al teu equip.

A través d'una memòria USB també ens poden instal·lar un programa espia

al nostre ordinador.

Per tant, si no és imprescindible, evita connectar cap element extern al port

USB del teu ordinador.

Mecanismes de protecció

Per tal d'evitar possibles fuites d'informació, l'empresa no permet desar informació

en memòries USB.

ENGINYERIA SOCIAL

Què és l'enginyeria social?

És un tipus d'atac que consisteix en enganyar a l'interlocutor per aconseguir

informació.

Una tècnica habitual és fer-se passar per una altra persona que sí que

hauria de tenir accés a aquesta informació.

La utilitzen habitualment professionals, com ara investigadors, però també

criminals i delinqüents informàtics.


de la informació


Com ens afecta?

L'atacant intenta manipular els usuaris legítims per obtenir informació.

Se sol fer per telèfon, però també es pot fer per correu electrònic o fins i tot

en persona.

Si confies que aquesta persona és qui diu ser i li proporciones tota la

informació que demana és possible que la vegem publicada a la premsa

uns dies més tard o que algú la pugui utilitzar en contra de l'entitat.

Mai t'has de fiar dels regals que et donin a canvi d'informació i molt menys

si, a més, et demanen la teva contrasenya.

Què has de fer en cas de detectar un possible atac d'enginyeria social?

No facilitis cap tipus d'informació.

Comunica immediatament la situació al teu responsable directe.

En atacs d'enginyeria social, la millor defensa és estar formats en temes de

seguretat i atents a possibles enganys.

Com pots prevenir un atac d'enginyeria social?

No facilitis informació per telèfon.

Destrueix tota la informació que contingui dades que es puguin utilitzar per

dur a terme aquest tipus d'atacs.

No comparteixis informació relativa al teu lloc de treball a les xarxes socials.

En cas de dubte, utilitza el sentit comú.

Situació fictícia. “Cal·list Banquer acaba de ser ascendit a responsable de les claus

d'accés a les caixes de l'oficina 1234. Molt content pel seu nou càrrec, publica

aquesta informació en una xarxa social. Uns dies més tard una banda organitzada

amb el malnom d'LD (“els Dolents”), que portava un temps planejant el robatori de

l'oficina 1234, descobreix per un conegut comú en aquesta xarxa social el càrrec

de Cal·list Banquer”.

Com podeu imaginar, aquesta informació és valuosíssima per a la banda LD. Entre

moltes possibilitats, podrien organitzar un atac a mida per a Cal·list Banquer atès


de la informació


que saben que disposa de la informació de les claus d'accés o, fins i tot, provar de

suplantar la seva identitat.

No deixis informació sense protegir a les xarxes socials i no comparteixis

informació relativa al teu lloc de treball que es pugui utilitzar en un atac

d'enginyeria social.

CONCLUSIONS

Recorda:

Protegeix la informació de l'empresa.

No comparteixis el teu usuari ni la contrasenya.

Navega amb precaució.

Denuncia els correus de phishing.

Protegeix i usa amb precaució les estacions de treball, els portàtils i els

dispositius mòbils.

Has d'estar atent als atacs d'enginyeria social.

Per obtenir més informació, pots consultar les normes de seguretat de l'empresa

o del Grup.

Documents

501-10356-101 Venta y asesoramiento€¦ · Tea Cegos, S.A. 2016 3 CONFIDENCIALITAT DE LA INFORMACI ... robar dades d'identificació personal i credencials de comptes financers. Està