501-10356-101 Venta y asesoramiento...NORMATIVA Tema 12. Seguridad de la Información Tea Cegos,...

Normativa

Tema 12 Seguridad de la Información

2019

NORMATIVA Tema 12. Seguridad de la Información

Tea Cegos, S.A. 2019 2

ÍNDICE

INTRODUCCIÓN .................................................................................................... 3

PROTECCIÓN DE LA INFORMACIÓN..................................................................... 3

CONFIDENCIALIDAD DE LA INFORMACIÓN .......................................................... 3

CÓMO TRABAJAR CON LA INFORMACIÓN .......................................................... 7

CÓMO PROTEGER TU NOMBRE DE USUARIO Y CONTRASEÑA ........................... 12

EQUIPOS INFORMÁTICOS ................................................................................... 15

PORTÁTILES, SMART PC Y ESTACIONES DE TRABAJO FIJAS ................................. 15

SMARTPHONES, TABLETAS Y MÓVILES .................................................................. 17

RIESGOS DEL CORREO ELECTRÓNICO ............................................................... 19

TIPOS DE CORREO ELECTRÓNICO ILEGÍTIMO ...................................................... 19

PRINCIPALES RIESGOS DEL CORREO ELECTRÓNICO .......................................... 20

CÓMO DETECTAR SI UN CORREO ES ILEGÍTIMO ................................................. 20

CÓMO ACTUAR ANTE UN CORREO SOSPECHOSO ............................................ 22

PHISING CORPORATIVO: PARECE DE LA EMPRESA, PERO NO LO ES ................ 23

INTERNET Y REDES SOCIALES .............................................................................. 25

USO DE INTERNET ................................................................................................... 25

REDES SOCIALES .................................................................................................... 27

ATAQUES DE INGENIERÍA SOCIAL ...................................................................... 29

¿QUÉ ES LA INGENIERÍA SOCIAL? ........................................................................ 29

¿QUÉ OBJETIVOS PERSIGUE LA INGENIERÍA SOCIAL? ......................................... 30

¿QUÉ DEBO HACER EN CASO DE DETECTAR UN POSIBLE ATAQUE DE INGENIERÍA

SOCIAL? ................................................................................................................ 30

CONTRATOS CON TERCEROS ............................................................................. 31

INCIDENCIAS DE SEGURIDAD ............................................................................. 32

COMUNICACIÓN DE LA INCIDENCIA DE SEGURIDAD ....................................... 32

EJEMPLOS DE INCIDENCIAS DE SEGURIDAD ....................................................... 33



INTRODUCCIÓN

La seguridad de la información es clave para preservar el negocio y la reputación

del Grupo CaixaBank.

Como empleado necesitas estar al corriente de los aspectos que componen la

seguridad de la información, para saber protegerte. Este manual te aportará el

conocimiento normativo e imprescindible sobre protección de la información y

cultura de la seguridad global. Aprenderás a identificar riesgos y cuidar tu seguridad

en el ámbito profesional.

Para saber más...

Consulta la siguiente información:

Norma 66: Seguridad informática.

Código de Conducta Telemático.

Política de la Seguridad de la información del Grupo CaixaBank.

Web InfoProtect.

Únete a la cultura de seguridad global de CaixaBank.

PROTECCIÓN DE LA INFORMACIÓN

Cada día, para realizar tu trabajo, gestionas una gran cantidad de información, y

es fundamental que sepas protegerla. En este apartado conocerás los tres niveles

de confidencialidad de la información. También aprenderás a clasificar,

almacenar, enviar y destruir la información de manera segura.

CONFIDENCIALIDAD DE LA INFORMACIÓN

¿Qué es la confidencialidad?

La confidencialidad es la propiedad de la información por la que esta no se pone

a disposición o se revela a individuos, entidades o procesos no autorizados.

La información que gestiona el empleado en su actividad profesional es propiedad

del Grupo CaixaBank, y no puede utilizarse para otros fines.

Cualquier persona que intervenga en el tratamiento de la información del Grupo

CaixaBank está obligada a mantener el secreto profesional sobre dicha

información

¿Qué es la información confidencial?

La información confidencial se puede definir como aquella cuyo uso es restringido

y que la detentan o tienen acceso a ella solo algunas personas por su cargo o

funciones.

Es toda aquella información que tenemos que proteger del acceso de otras

personas. No importa el soporte, el tipo de información o incluso si se comunica

verbalmente.



¿Por qué decimos que una información es confidencial?

Porque es información crítica para nuestro trabajo.

Porque reporta al Grupo CaixaBank ventajas competitivas en el mercado.

Porque está protegida por la legislación, como por ejemplo los datos personales.

Porque nos hemos comprometido con un tercero a mantener esa información

en secreto (un cliente, un socio, un proveedor, etc.).

Grados de confidencialidad

En función del grado de confidencialidad, la información se clasifica en uno de los

siguientes 3 grupos.

1. Información pública

Información a la que el Grupo CaixaBank no pone límites en cuanto al número y

tipo de receptores posibles. Puede tratarse de información publicada en los medios

de comunicación, información que aparece en sitios de internet o en otros medios

de difusión con proyección externa a la empresa.

2. Información de uso interno

Información que no debe ser accesible fuera del ámbito del Grupo CaixaBank, ni

tampoco fuera de los entornos de los proveedores que, debido a las tareas que les

han sido encomendadas, tengan acceso a algún tipo de información interna.

3. Información confidencial

Información que el Grupo CaixaBank no desea que sea conocida más allá de los

límites que establezcan la ley vigente o la propia institución, dado que su

divulgación a personas no autorizadas puede provocar pérdidas económicas o de

reputación.

Es el caso de:

Cualquier información a la que solo debe acceder un determinado grupo de

personas. Por ejemplo, información de negocio o actas de comités.

Cualquier información amparada por la regulación vigente en materia de

protección de datos personales.

¿Sabías que…?

Todos los datos correspondientes a una persona o a un contrato de producto o

de servicio relacionado con una persona tienen la consideración de datos

personales, y merecen un tratamiento especial descrito en la Norma 47:

Tratamiento y confidencialidad de los datos personales.



Además, la información confidencial puede ser especialmente sensible cuando

contiene:

Datos personales

Es cualquier información que pueda utilizarse para identificar, contactar o localizar

a una persona en concreto, ya sea mediante la información en sí, o bien

combinando esa información con otra.

Esto incluye:

Nombre.

Domicilio.

Números de identificación (DNI, carnet de conducir…).

Matrícula del vehículo.

Datos bancarios.

Estado civil, fecha de nacimiento.

Puesto de trabajo, nivel de renta de esa persona.

Fotografía donde aparezca la cara.

Historial médico.

Datos necesarios para los procesos de autenticación

Son aquellos datos que permiten verificar la identidad de una persona antes de

iniciar una determinada operación o proceso, como, por ejemplo:

Datos que permitan iniciar un pago.

Datos utilizados para ordenar instrumentos de pago o herramientas de

autenticación que vayan a ser enviados a los clientes.

Datos que, si se modifican, pueden afectar a la capacidad de la parte legítima

para verificar las transacciones de pago, autorizar e-mandates o controlar la

cuenta, así como listas “negras” y “blancas”, límites definidos por el cliente, etc.

Datos de tarjetas de pago

Datos de las tarjetas de los clientes:

PAN (número de la tarjeta).

Titular.

CVV (código de seguridad de la tarjeta).

Fecha de caducidad.

Otros datos restringidos

En general, se refiere a cualquier información confidencial a la que solo puede

acceder un grupo acotado de personas con permiso para ello.



Importante:

Toda esta información es confidencial y únicamente pueden acceder a ella las

personas autorizadas. Nunca facilites esta información a través de redes sociales

o por correo electrónico fuera de la empresa.

Proteger la información ¡depende de ti!

Es tu responsabilidad como empleado respetar la confidencialidad de la

información con la que trabajas. No puedes generar documentos o información en

dispositivos no controlados por el Grupo CaixaBank.

Implicaciones legales y/o laborales de la fuga de información

El mal uso o la divulgación accidental de información confidencial pueden

conllevar responsabilidades legales tanto para la empresa como para el

empleado.

Impacto de la fuga de información en la reputación de la empresa

Un incidente de este tipo puede llegar a los medios de comunicación, y afectar a

la reputación del Grupo

CaixaBank.

¿Cómo debes manejar los datos de carácter personal?

Únicamente puedes facilitar datos personales al titular de los mismos o a las

personas autorizadas.

Importante:

Siempre que dudes sobre quién te pide información (sea por teléfono, e-mail u

otras vías), verifica su identidad usando un medio alternativo.

Si la duda persiste, por nimia que sea, no des ningún dato personal ni profesional,

aunque creas que no es confidencial.



Confidenciales, personales y sensibles: no todos los datos son iguales

Información confidencial: información que el Grupo CaixaBank no desea que

sea conocida más allá de los límites que establezcan la ley vigente o la propia

institución, dado que su divulgación a personas no autorizadas puede

provocar pérdidas económicas o de reputación. Por ejemplo, el nombre de

una empresa que se quiere adquirir o los detalles de una nueva campaña

publicitaria.

Datos personales: cualquier información numérica, alfabética, gráfica,

fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas

identificadas o identificables. Por ejemplo, una lista de nombres y direcciones

de clientes (además, sería información confidencial, que podría interesar a un

competidor).

Datos sensibles: datos personales que afectan a la intimidad de la persona

y/o cuyo uso indebido puede generar su discriminación, tales como origen

racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o

morales, afiliación sindical y datos referidos a la salud o a la vida sexual. Por

ejemplo, el historial médico de una persona.

CÓMO TRABAJAR CON LA INFORMACIÓN



PASO 1. CLASIFICACIÓN DE LA INFORMACIÓN

En función del grado de confidencialidad de la información, algunos documentos

deben incluir distintos etiquetados:

Información pública

No es necesario ningún tipo de etiquetado. Por defecto, cualquier información no

etiquetada se considerará de uso público (según la Norma 66: Seguridad

informática).

Información de uso interno

Incluir en todos los pies de página del documento, así como en la página inicial o el

título del documento, la etiqueta siguiente:

Documento de uso exclusivamente interno. © CaixaBank, S. A.

Todos los derechos reservados. En particular, se prohíbe su re-

producción y comunicación o acceso a terceros no autorizados.

Información confidencial

Incluir en todos los pies de página del documento, así como en la página inicial o

título del documento, la etiqueta siguiente:

Documento confidencial. © CaixaBank, S. A.

Todos los derechos reservados. En particular, se prohíbe su

reproducción y comunicación o acceso a terceros no

autorizados.

Importante:

siempre que manejes un documento electrónico o en papel debes comprobar si

incluye el texto del etiquetado que le corresponde. Si no es así, has de verificar el

contenido y etiquetarlo tú mismo/a. Por defecto, toda la información que no esté

etiquetada se considerará de uso público.



PASO 2. ALMACENAJE SEGURO DE LA INFORMACIÓN

Información en papel

Los documentos en formato papel nunca deben quedar desatendidos.

Guarda toda la información sensible en papel (confidencial e interna) bajo llave,

en armarios o archivadores.

Información en soporte electrónico

¿Puedo guardar información en soportes de almacenamiento externo (discos duros

extraíbles, USB…)?

No, toda la información debe almacenarse en los sistemas de información y

repositorios corporativos.

Si necesito trabajar con la información, ¿cómo lo hago?

Durante la jornada laboral: presta especial atención a los documentos en papel

que contengan información de negocio.

En el caso de las oficinas que atiendan directamente al cliente, se recomienda

tener sobre la mesa únicamente la información relacionada con el cliente que

se está atendiendo en cada momento. El empleado que se encuentre a cargo

de esa información debe custodiarla e impedir en todo momento que cualquier

persona no autorizada pueda acceder a ella.

Al finalizar la jornada laboral: las mesas de trabajo deben quedar totalmente

despejadas de papeles.

Si necesito imprimir la información, ¿qué debo tener en cuenta?

Recuerda recoger siempre de la impresora todas las copias que hayas enviado

a imprimir.

Si en la impresora encuentras documentos que no han sido recogidos por otros

compañeros y desconoces quién es el propietario, destrúyelos de forma segura

(ver apartado “Destrucción segura de la información”).



PASO 3. ENVÍO SEGURO DE LA INFORMACIÓN

Cualquier tipo de información debe enviarse a través de un canal de comunicación

seguro.

¿Qué es un canal seguro?

Un canal de comunicación seguro es aquel que permite transmitir la información

entre el emisor y el receptor sin que pueda ser interceptada por terceras personas.

¿Puedo enviar información confidencial e interna por correo electrónico?

El correo electrónico no es un canal seguro. Debes evitar anexar información

confidencial o interna a correos electrónicos con destinatarios no corporativos.

Como alternativa, el Grupo CaixaBank dispone de la herramienta Sendfile para el

intercambio de ficheros, que proporciona:

Una opción segura para el envío de correos con anexos confidenciales/internos.

Una opción segura para el intercambio de grandes volúmenes de información.

Acceso a Sendfile

Desde CaixaBank:

Terminal Financiero > Oficina >

Servicios para la oficina > Sendfile

CaixaApps > App “Prensa y accesos

directos” > Configurar > Seleccionar

acceso directo Sendfile

Actualidad > Menús > Herramientas

> Sendfile

Desde el portal SilkPlace:

Acceso directo a Sendfile en la

página principal de SilkPlace

¿Cómo debo enviar información confidencial en papel?

La información confidencial e interna en papel debe entregarse siempre en mano

a su destinatario, o bien por el sistema de mensajería interna de cada empresa.



Recuerda:

El correo electrónico no es un canal seguro. Para el intercambio de archivos

confidenciales puedes utilizar Sendfile o los mecanismos homologados por la

empresa.

PASO 4. DESTRUCCIÓN SEGURA DE LA INFORMACIÓN

Cualquier tipo de información debe enviarse a través de un canal de comunicación

seguro.

Información en papel

Debes destruir la información de modo que no pueda ser reconstruida. Siempre que

sea posible, debes utilizar una trituradora de papel.

Información en soporte electrónico

La destrucción segura de la información en soporte electrónico debe realizarse de

acuerdo con las siguientes normativas:

Norma 55 → Servicio de distribución de cartería en los servicios centrales.

Norma 111 → Archivo físico y digital. Prescripción y destrucción de la

documentación.

Norma 247 → Tratamiento de la gestión de residuos.



Tu mejor defensa es la prevención... ¡Curar es dificilísimo!

Una vez se produce una fuga de información es muy difícil recuperar la

reputación perdida. Por eso debes prestar mucha atención a los 4 pasos que te

hemos explicado: clasifica, almacena, envía y destruye la información de forma

segura.

Clasifica siempre la información de forma segura. Utiliza siempre las plantillas

corporativas de documentos y/o el etiquetado corporativo.

¿En qué momentos debo tener especial cuidado con no divulgar información

confidencial?

Al responder a correos electrónicos o llamadas de personas ajenas a la

organización.

También en seminarios, reuniones o eventos en los que participes.

Comentarios en voz alta en lugares públicos.

Durante la jornada laboral, presta especial atención a todos los documentos

en papel que contengan información de negocio del Grupo CaixaBank.

Finalizada la jornada laboral, debes despejar totalmente la mesa de trabajo

de papeles, y estos, guardarlos bajo llave.

Recuerda siempre recoger en la impresora las copias que hayas enviado a

imprimir. Si en ella encuentras documentos que no han sido recogidos por

otros compañeros, destrúyelos si no sabes quién es el propietario.

CÓMO PROTEGER TU NOMBRE DE USUARIO Y CONTRASEÑA

Para acceder a los sistemas de información del Grupo CaixaBank es necesario

utilizar un nombre de usuario y una contraseña.

Protección de contraseñas

No compartas tus nombres de usuarios ni tus contra- señas corporativos; no los dejes

a la vista de todos ni en lugares fácilmente accesibles.

Protege estas claves igual que protegerías tu clave de acceso a banca electrónica

o cualquier otro dato secreto.



Responsabilidad

Eres responsable de lo que se haga con tu nombre de usuario y contraseña. No los

compartas con nadie, ya que cualquier acción realizada con tu nombre de usuario

y contraseña te será atribuida.

Además, compartir tus claves personales supone un incumplimiento de la normativa

del Grupo CaixaBank.

Recomendaciones para tener una contraseña segura

La contraseña debe ser personal e intransferible.

Evita apuntar tus contraseñas, usa gestores de contraseñas para guardarlas

cifradas y recordarlas.

No utilices contraseñas que contengan información personal (nombre de

mascota, fecha de nacimiento…).

No utilices la misma contraseña para el entorno profesional y el personal.

No elijas contraseñas que contengan palabras (aunque sea en otro idioma).

La longitud de la contraseña corporativa es de 8 caracteres alfanuméricos,

combinando mayúsculas, minúsculas y números.

Cambia tu contraseña regularmente.

Complejidad y reutilización de la contraseña

Recuerda que, en nuestros sistemas:

Cuando cambies de contraseña, no podrás utilizar las 10 últimas contraseñas que

hayas usado anteriormente.

Si introduces 6 veces una contraseña errónea, tu nombre de usuario queda

suspendido, es decir, no podrás entrar en el sistema hasta que un administrador

te restaure la contraseña.

Si no accedes al sistema durante 90 días, el nombre de usuario también quedará

suspendido.

Una contraseña restaurada debe ser modificada en el plazo de 48 horas. Pasado

dicho plazo, el nombre de usuario se volverá a suspender y será necesario volver

a restaurar la contraseña.

Las contraseñas deberán cambiarse como máximo cada 6 meses. El sistema te

avisará cuando sea el momento.



Trucos para crear una contraseña segura y fácil de recordar

1. Forma una frase-contraseña. Por ejemplo, “en el bar de Juan ponen tapas a 3

euros”; utilizando la primera letra de cada palabra, sale “EebdJpta3e”.

2. Combina dos palabras y crea otra alternando sus letras. Por ejemplo, con

“Bigotes” y “Mechero”, tu nueva contraseña podría ser “BMiegcohteerso”.

3. Sustituye letras por números. Por ejemplo, la clave anterior “BMiegcohteerso”

se convierte en: “BM13gc0ht33rs0”.

4. Sin vocales. Por ejemplo, la contraseña anterior será: “BMgchtrs”.

5. Combina palabras y números que tengan los mismos caracteres. Por ejemplo,

usando “Bi- gote” y 28921. El truco está en ir colocando las letras una a una,

intercalando las cifras del número pero a la inversa: “B1i2g9o8t2e”.

Para más información sobre contraseñas, consulta la Norma 66: Seguridad

informática.



EQUIPOS INFORMÁTICOS

Ahora que ya sabemos cómo proteger la información, veamos cómo proteger los

equipos informáticos (portátiles, smart PC, tabletas, móviles, etc.) que usamos para

acceder a esa información.

PORTÁTILES, SMART PC Y ESTACIONES DE TRABAJO FIJAS

Todos los dispositivos facilitados a los empleados son propiedad del Grupo

CaixaBank.

Como empleado tienes a tu disposición los medios y equipos informáticos para el

estricto y exclusivo desarrollo de tu labor profesional. Por tanto, estos medios no son

adecuados en ningún caso para un uso personal o extraprofesional, según se

establece en el Código de Conducta Telemático.

Importante:

Eres responsable de su uso correcto, así como de la generación y custodia de las

contraseñas necesarias para protegerlos.

INSTALACIÓN DE PROGRAMAS

Importante:

No está permitida la instalación de otros programas diferentes de los que te

facilita el Grupo CaixaBank.

En caso de que necesites alguno y no esté disponible, debes solicitarlo a través de

los canales establecidos por la empresa, que autorizarán y supervisarán la

instalación.

USO DE MEMORIA USB Y OTROS DISPOSITIVOS EXTRAÍBLES

Cuando un USB pasa de un ordenador a otro, puede infectarse con virus y

malware. Si introduces una memoria infectada en tu ordenador, el virus puede

pasar a tu equipo.



También, a través de un USB, nos pueden instalar un programa malicioso en

nuestro ordenador, con consecuencias como: infectarnos el equipo, cifrar la

información y pedir un rescate, bloquearnos el acceso, etc.

Aunque debe evitarse el uso de USB, cuando sea imprescindible usarlo puedes

leer la información del USB pero no puedes grabar información en estos

dispositivos, para evitar posibles fugas de información debidas a su pérdida o

robo.

Por todo lo anterior, si no imprescindible, evita conectar ningún dispositivo externo

al puerto USB de tu ordenador.

Importante:

Si encuentras un dispositivo USB por casualidad en las instalaciones del Grupo

CaixaBank o en cualquier otro lugar, ¡desconfía! No lo conectes nunca a tu

ordenador profesional o personal. Siempre tienes la opción de enviar cualquier

USB sospechoso por cartera interna a 9722 (Seguridad de la Información).

Aunque lleve el logotipo corporativo, ¡no te fíes!

Tu intención es buena y el hacker lo sabe. Tal vez conectes el USB a tu ordenador

con buena intención, para saber su procedencia y devolverlo a su propietario.

Evita correr este riesgo.

A veces, la curiosidad puede más que la seguridad y conectas el USB para ver

qué contiene o si puedes “reciclarlo” para guardar tus cosas. No lo hagas, no te

arriesgues.

Si te trae el USB un cliente conocido por una razón justificada, entonces puedes

conectarlo.

Algunos aspectos clave que debes recordar…

Para acceder a tus dispositivos de trabajo, debes introducir tu nombre de usuario

y contraseña. No compartas nunca estas claves con otras personas. Cada

empleado cuenta con su propio nombre de usuario y contraseña y son de uso

personal e intransferible.

Si dispones de un ordenador portátil o smart PC, sé discreto cuando lo tengas

que utilizar en lugares públicos y evita que personas ajenas puedan ver tu

pantalla.

No dejes desatendidos tus dispositivos de trabajo.

Si te roban o pierdes el portátil o el smart PC, cambia todas las contraseñas que

usabas. Además, debes comunicar este incidente a tu responsable directo.

Asegúrate de bloquear el equipo cuando no lo utilices o ante cualquier

ausencia, por breve que sea.

Para bloquear rápidamente tu equipo Windows, pulsa en el teclado el logotipo

de Windows y la letra L de manera simultánea.



Para saber más:

Si quieres ampliar la información sobre el uso de la estación de trabajo fija y de

los portátiles, puedes consultar la norma de seguridad de tu empresa.

Norma 66: Seguridad informática de CaixaBank

SMARTPHONES, TABLETAS Y MÓVILES

Los dispositivos móviles permiten almacenar gran cantidad de información

confidencial: nombres, teléfonos, direcciones, documentos, correos electrónicos…

El reducido tamaño de estos dispositivos aumenta la probabilidad de pérdida o

robo. Por ello resulta imprescindible adoptar unas mínimas medidas de seguridad, a

fin de proteger el acceso no autorizado a la información.

POLÍTICA DE SEGURIDAD DE DISPOSITIVOS MÓVILES

La política de seguridad del Grupo CaixaBank en dispositivos móviles contempla las

siguientes medidas:

No almacenes información confidencial en dispositivos que no hayan sido

proporcionados y homologados por el Grupo CaixaBank, ya que estos disponen

de medidas de cifrado.

Utiliza una contraseña de acceso que cuente con caracteres numéricos y

contenga, al menos, 6 caracteres.

En caso de equivocarte 10 veces al introducir la contraseña, se borrarán todos

los datos del dispositivo (formateo).

El dispositivo se bloqueará automáticamente tras un máximo de 10 minutos de

inactividad.

CONEXIONES WIFI, BLUETOOTH, GPS, NFC Y DATOS

Importante:

Tú eres clave para proteger la información de tus dispositivos de trabajo.

Los dispositivos móviles suelen tener instalados diferentes tipos de conectividad

inalámbrica (wifi, bluetooth…) y servicios de ubicación (GPS, geolocalización).



Mantener estas opciones de conectividad siempre activadas supone un riesgo de

seguridad. Por ello, se recomienda activarlas únicamente cuando sea necesario.

Conecta con seguridad

1. Bluetooth, wifi, GPS… Actívalos sólo cuando sea imprescindible. Si nunca

los apagas, tu privacidad está expuesta.

2. No te conectes nunca a una red wifi pública, por ejemplo, las de

cafeterías, aeropuertos, bibliotecas… Nunca sabes quién puede estar

“escuchando” lo que mandas y recibes.

3. Toma precauciones si te conectas a redes wifi desconocidas y/o gratuitas.

Si no tienes más remedio que conectarte a una red de este tipo, evita

teclear datos confidenciales como usuarios, contraseñas, tarjetas de

crédito, etc., y no instales apps.

4. Desactiva los ajustes automáticos de búsqueda de redes wifi para evitar

que tu móvil, tableta o portátil se conecten a redes no seguras.

5. No guardes información profesional en ningún dispositivo ajeno a la

empresa.

6. Habla por teléfono con precaución sobre temas confidenciales, no solo

por las personas que podrían estar escuchando, sino porque tu interlocutor

podría grabar la conversación. Los nuevos dispositivos móviles tienen gran

capacidad para grabar sonido e imagen de manera totalmente

inadvertida.

7. Controla tu dispositivo en todo momento para evitar el robo o la pérdida

del mismo.

8. Si te roban o pierdes tu dispositivo, cambia todas tus contraseñas de

acceso y comunica inmediatamente el hecho a “Consultas seguridad

informática” ([email protected]).



RIESGOS DEL CORREO ELECTRÓNICO

El correo electrónico e internet son herramientas fundamentales y de uso exclusivo

para tu trabajo diario. Vamos a explicarte cómo proteger la información cuando te

conectas a la red y cuáles son los riesgos más habituales.

TIPOS DE CORREO ELECTRÓNICO ILEGÍTIMO

El correo electrónico puesto a disposición de los empleados es un instrumento básico

destinado a la prestación de los servicios profesionales, y una herramienta cuyo

buen uso contribuye a mejorar la actividad diaria.

Es propiedad del Grupo CaixaBank, y como tal debe ser utilizado con fines

profesionales.

Hay dos tipos de correo electrónico ilegítimo:

Spam (correo basura). El spam son todos los correos no solicitados que no

tienen ningún interés para el que los recibe. Normalmente, tienen un fin

comercial y/o publicitario.

Phishing. El phishing son correos electrónicos que suplantan a una empresa,

entidad o servicio para instarte a abrir un fichero o anexo adjunto o clicar

sobre un enlace bajo cualquier pretexto. Si clicas, se intentará instalar un

malware, que es precisamente lo que persigue el hacker.

El phishing es aún más peligroso y efectivo cuando apunta a un objetivo

específico, especialmente a un empleado con acceso a la información que

más interesa al hacker. En este caso se llama spear phishing o phishing

dirigido.

¿Sabías que…?

Destacan los correos que suplantan a bancos, medios de pago y tiendas online,

para robar dinero y/o datos bancarios (claves de acceso, número de tarjeta,

etc.).

El phishing más común se propaga a través del correo electrónico, aunque

cualquier sistema que permita el envío de mensajes puede ser usado para intentar

robar nuestra información personal: correos electrónicos, mensajes SMS o MMS

(smishing), aplicaciones de mensajería instantánea (WhatsApp), redes sociales

(Facebook, LinkedIn…) e incluso llamadas telefónicas convencionales.



PRINCIPALES RIESGOS DEL CORREO ELECTRÓNICO

Los principales riesgos de atender correos ilegítimos son:

Suplantación de identidad.

Robo del nombre de usuario y contraseña.

Acceso a tu cuenta bancaria.

Robo de datos confidenciales como, por ejemplo, tarjeta de crédito.

Pérdida de privacidad.

Descarga de programas maliciosos (virus y malware).

Importante:

Es fundamental que sepas reconocer los correos electrónicos ilegítimos y

reaccionar correctamente si los recibes.

CÓMO DETECTAR SI UN CORREO ES ILEGÍTIMO

Fíjate en el remitente, sospecha si:

Es desconocido. También si es conocido, pero no lo esperabas.

Tiene un dominio extraño (por ejemplo, caxiaban.com).

En la dirección aparece un nombre que conozcas, pero con cambios de letras

que pueden pasar desapercibidos.

Fíjate en el enlace, si lo hay:

Coloca el cursor encima del enlace para ver la dirección web completa.

Atención: puede parecer legítima y en realidad ser falsa.

Cuidado si pide descargar un fichero para verlo.

Desconfía de las direcciones URL acortadas

¿Sabías que…?

Las direcciones URL, es decir, las direcciones de páginas web y enlaces, pueden

“ocultarse” haciéndolas más cortas. Los hackers usan diversas herramientas para

acortarlas y esconder así direcciones maliciosas.



Desconfía de las direcciones acortadas como la de la imagen:

Para desvelar lo que ocultan los enlaces acortados se puede usar un servicio como

Unshorten. Sólo tienes que introducir la dirección acortada en la casilla, pulsar en el

cuadro azul “Unshorten.it!” y aparecerá debajo la dirección expandida real.

Fíjate en los archivos adjuntos: ten mucho cuidado antes de abrir cualquier

anexo que parezca sospechoso.

Fíjate en los mensajes con saludos impersonales o sin dirección en el campo

“Para” del mensaje.

Fíjate si te pide que hagas algo con urgencia y te amenaza con algo negativo

si no lo haces.

Fíjate si te solicita datos personales con el fin de que reveles contraseñas o datos

confidenciales como información financiera o cuentas bancarias.

Cuidado con las ofertas: si parece demasiado bueno para ser verdad, es una

trampa (descuentos, regalos, oportunidades, promesas, premios…).

Redacción: suele ser rara y con faltas de ortografía, aunque no siempre.

Recuerda:

Como bien sabes, los bancos nunca piden datos confidenciales a sus clientes por

correo electrónico:

Urgencia Amenaza Enlace Adjunto Promesa

Si están en el e-mail, sospecha. Estas son algunas de las pistas más comunes del

phishing, pero recuerda que un mensaje con alguna de estas características no

es necesariamente peligroso o un intento de phishing.



CÓMO ACTUAR ANTE UN CORREO SOSPECHOSO

Importante:

Si sospechas, no hagas clic sobre ningún enlace, no respondas ni abras ningún

adjunto

Reporta el correo electrónico sospechoso utilizando el botón “Reportar PHISHING”

que verás en la barra superior del panel principal de Outlook:

Si no encuentras este botón en tu Outlook, es una incidencia. Repórtala al call center

y envía el correo sospechoso al BUZÓN POSIBLE PHISHING:

[email protected].

Si el botón no está disponible en el dispositivo utilizado y/o si gestionas el correo

desde tu smartphone corporativo, la recomendación es que lo reenvíes al BUZÓN

POSIBLE PHISHING: [email protected]

mailto:[email protected]

mailto:[email protected]



Para no caer en la trampa del phishing, recuerda:

PHISHING CORPORATIVO: PARECE DE LA EMPRESA, PERO NO LO ES

El phishing corporativo consiste en mensajes de correo electrónico que imitan

correos que podrías recibir de tu empresa o de tus contactos profesionales

(proveedores, colaboradores, formadores…).

El ciberdelincuente investiga tu empresa en internet y prepara mensajes de

temática corporativa: recursos humanos, voluntariado, convocatorias para eventos,

operativa de negocio, comunicaciones de directivos…



Este tipo de phishing se aprovecha de la empatía, la amistad y el deseo de ayudar

a compañeros, jefes o clientes, para hacerte caer en la trampa.

Un ejemplo habitual de phishing corporativo es el fraude del CEO (siglas de Chief

Executive Officer, director general), que supone la suplantación de identidad de un

directivo para solicitar, por ejemplo, una transferencia o la revelación de datos

confidenciales. Puedes ver ejemplos más adelante.

¿Sabías que…?

Corporativo parece, phishing es.

¿Qué mejor disfraz para un delincuente que un aparente correo corporativo?

EL FRAUDE DEL CEO: EL SUPERIOR IMPOSTOR

El ciberdelincuente investiga tu empresa en internet (web, redes sociales…). Elige a

una persona de tu entorno profesional para llegar a ti. Con frecuencia se trata de

tu jefe o de un superior, para facilitar que sigas las instrucciones.

Redacta un correo haciéndose pasar por esa persona y te pide que realices con

urgencia alguna acción, como una transferencia, ingresar una factura, enviar

información sensible, descargar un documento o hacer clic en un enlace.

Es probable que insista en que lo hagas rápido, ya que quizás así te saltarás los

procedimientos de seguridad.

Importante:

Ante todo, confirma siempre por otro canal (teléfono, a ser posible) que tanto el

remitente como la petición son auténticos.



INTERNET Y REDES SOCIALES

Sin duda, internet es una herramienta muy útil en nuestro trabajo diario, pero la red

también oculta riesgos que pueden comprometer la seguridad de la información.

Te explicamos cómo navegar de forma segura y cómo protegerte en redes sociales.

USO DE INTERNET

Para saber más:

En el Código de Conducta Telemático se establecen las normas sobre el buen

uso de los medios técnicos e informáticos propiedad del Grupo CaixaBank, que

este pone a disposición de sus empleados.

NAVEGA CON PRECAUCIÓN

La navegación que realices a través de los equipos informáticos corporativos

debe obedecer a fines profesionales.

No accedas en ningún caso a direcciones de internet de contenido ofensivo o

atentatorio contra la dignidad humana o los derechos fundamentales.

Antes de usar información procedente de internet, comprueba cuidadosamente

si dicha información está protegida por las leyes de la propiedad intelectual o

industrial.

COMPRUEBA SI UNA WEB ES LEGÍTIMA

Comprueba si la web en la que estás es realmente la que dice ser. ¿Es la verdadera

web de CaixaBank, CaixaBank-Now (antigua Línea Abierta), Apple, PayPal o

Amazon?

Fíjate en estos detalles:

Comprueba que la dirección web esté bien escrita, sin errores o letras

cambiadas de orden. Atención, el cambio puede ser mínimo. Los

ciberdelincuentes pueden suplantar páginas web (especialmente de bancos,

redes sociales, servicios de pago y tiendas de compras/subastas online)

utilizando direcciones web muy similares y copiando a la perfección su diseño

para hacerlas más creíbles. Hay que prestar atención a pequeñas

modificaciones en el nombre de la empresa, como por ejemplo: lacaxia.es en

lugar de lacaixa.es.



Procura escribir directamente la URL o dirección web en el navegador, en lugar

de llegar a ella a través de enlaces disponibles desde páginas de terceros o

correos electrónicos.

En páginas web que soliciten la introducción de credenciales, datos personales

o información confidencial (como redes sociales, servicios de pago, banca

digital o tiendas de compras/subastas online), fíjate en que la dirección del

enlace comience por HTTPS, aunque esto no es suficiente porque el certificado

puede no ser válido.

La barra de navegación puede mostrar http o https. En el segundo caso, significa

que la web va cifrada y, por tanto, un tercero no puede acceder.

Además, si haces clic en el icono del candado, al lado de la URL, obtendrás más

información sobre el certificado del sitio.

Recuerda:

Aunque una web tenga comunicación cifrada (https), no se garantiza que sea

segura.

¡Cuidado! HTTPS no es sinónimo de seguridad.

Para minimizar el riesgo, comprueba si la barra de navegación está en color verde.

Fuente: Oficina de Seguridad del Internauta.



Esto significa que el certificado que permite la comunicación cifrada es correcto, y

que la página web es de la entidad que dice ser. Sin embargo, esto no quiere decir

que, si la barra no es verde, la página no sea legítima. Simplemente hay un riesgo

potencial y tendrías que tomar alguna precaución más, como las que indica el

artículo Aprendiendo a verificar la legitimidad de un sitio web.

CUIDA TU INFORMACIÓN PERSONAL

Muchas páginas web solicitan datos personales en el momento de registrarse, como

por ejemplo:

Nombre.

Teléfono.

Edad.

Profesión.

Dirección de correo electrónico

No facilites nunca el correo electrónico corporativo cuando te registres en una

web, excepto cuando sea necesario para realizar tu actividad profesional (por

ejemplo, para inscribirte a un curso profesional o a una publicación relacionada

con tu actividad).

REDES SOCIALES

¿Por qué no puedo usar redes sociales y/o aplicaciones no corporativas en la

empresa?

La facilidad de compartir información en las redes sociales y/o herramientas

colaborativas que tenemos disponibles en internet (blogs, por ejemplo) convierte

estas aplicaciones en auténticas amenazas para la protección de la información

confidencial.

Una vez compartes la información en estas aplicaciones, dicha información se aloja

en servidores externos y el Grupo CaixaBank pierde la posibilidad de usar

mecanismos para protegerla.

¿Puedo comunicarme con clientes y con otros empleados a través de las redes

sociales o de aplicaciones no corporativas?

No debes usar este tipo de plataformas para comunicarte con tus clientes o con

otros empleados.



El Grupo CaixaBank pone a tu disposición herramientas corporativas seguras para

intercambiar información…

Con clientes: correo electrónico, Sendfile…

Con otros empleados: sistemas de mensajería instantánea como Skype/Lync.

8 claves de seguridad en redes sociales

1. Configura las opciones de privacidad de tu perfil (fotos, amigos,

ubicación, permisos…). Revísalas periódicamente ya que las condiciones

de privacidad de las redes cambian.

2. Utiliza tu correo electrónico personal, y no profesional, en redes de uso

personal. Facilitarás que tus contactos personales puedan localizarte en

ellas.

3. Usa contraseñas fáciles de recordar pero difíciles de adivinar. Buenas

contraseñas son las que combinan letras, números, mayúsculas, signos de

puntuación y otros símbolos. No uses la misma para todo.

4. Habilita la verificación en dos pasos y las alertas de inicio de sesión. Así

dificultas o impides que personas extrañas accedan a tu cuenta, incluso si

consiguen tu contraseña.

5. No aceptes invitaciones ni solicitudes de amistad de nadie sin verificar

antes su identidad. Comprueba que tus contactos son realmente quienes

dicen ser. No facilites datos personales a tus nuevos amigos virtuales.

6. Para iniciar una conversación debes saber con certeza con quién te estás

comunicando. Si no lo puedes verificar, sé prudente con la información

que ofreces (en especial tus datos personales).

7. No compartas datos personales o imágenes íntimas por chat. Esa

información podría estar al alcance de personas desconocidas.

8. En las redes sociales nada se olvida, nada se borra y todo deja rastro. No

compartas nada que no quieras que se haga público. Una vez que

publiques información en internet, perderás el control sobre ella.



ATAQUES DE INGENIERÍA SOCIAL

Hasta aquí los riesgos de internet como canal de ataque, pero las amenazas a la

seguridad van mucho más allá de la red. La ingeniería social es una de las técnicas

de ataque más utilizadas en la actualidad, sobre todo para obtener información

confidencial de los empleados de una empresa.

Así te ataca la ingeniería social, y así puedes defenderte…

¿QUÉ ES LA INGENIERÍA SOCIAL?

La ingeniería social es un tipo de ataque que consiste en engañar a un empleado

para conseguir la información que este posee o a la que tiene acceso,

precisamente por su condición de empleado.

Hay varias técnicas para manipular de forma inteligente a las personas, técnicas

que se basan en 4 principios básicos del comportamiento humano:

Un tipo de ataque habitual consiste en hacerse pasar por otra persona ante un

empleado para recabar información.

Suele realizarse por correo electrónico, pero también por teléfono, USB, mensajería

instantánea (WhatsApp) o incluso en persona.

Importante:

Todos podemos ser víctimas de un ataque de ingeniería social. Conocer el riesgo

es la mejor manera de prevenirlo.



¿QUÉ OBJETIVOS PERSIGUE LA INGENIERÍA SOCIAL?

Las ganancias financieras son la motivación principal de los ataques. Otros posibles

fines son las ventajas competitivas, la venganza y también:

Averiguar datos de usuarios y contraseñas.

Obtener documentación sobre alguna operación estratégica del Grupo

CaixaBank.

Conseguir correos de alguna persona vip (conocida) y simular que se pone en

contacto para comentar algún asunto sobre su patrimonio.

Acceder a información de evaluación de empleados.

Conseguir un informe técnico sobre infraestructura tecnológica importante.

Obtener documentación sobre fases de un proyecto con distintos proveedores.

Conseguir información presupuestaria relevante.

¿Sabías que…?

¡A por los empleados!

Los ataques de ingeniería social se dirigen a personas con conocimiento o

acceso a información de las empresas, o sea… ¡a los empleados!

La ingeniería social disimula muy bien: a veces, la información que se pide parece

inocua, o suplanta a la perfección la identidad de un cliente, un superior, un

compañero o la empresa.

¿QUÉ DEBO HACER EN CASO DE DETECTAR UN POSIBLE ATAQUE DE INGENIRÍA SOCIAL?

Importante:

No facilites ningún tipo de información, incluso aunque no te parezca

confidencial. En caso de detectar un posible ataque de ingeniería social,

comunica inmediatamente la situación a través del buzón “Consultas seguridad

informática” ([email protected]).

Recuerda:

Ante los ataques de ingeniería social, la mejor defensa es estar formados en

temas de seguridad y atentos a posibles engaños.

¡Desconfianza siempre activada!



Desconfianza siempre activada: ante cualquier duda, no hagas clic en enlaces,

no abras anexos ni des información personal ni profesional. No conectes USB

desconocidos. Si recibes un correo sospechoso, haz clic en el botón “Reportar

PHISHING”.

Cuidado con la información personal y profesional que publicas en internet:

presta atención a tu configuración de seguridad. Desactiva la opción de

geolocalización de tus publicaciones. Protege tu privacidad.

El mejor antivirus eres tú: los ataques de ingeniería social pueden eludir muchas

medidas de seguridad y engañar a todo tipo de usuarios. Con el antivirus no

basta para neutralizarlos, usa la prudencia y el sentido común.

CONTRATOS CON TERCEROS

Con frecuencia, el Grupo CaixaBank trabaja con terceros (proveedores,

colaboradores, empresas de trabajo temporal…) que prestan ciertos servicios

específicos. Para ello, necesitan acceder a información confidencial, y debemos

plasmar en un contrato las condiciones de ese acceso. Te informamos sobre los

requisitos de estos contratos.

Cuando el Grupo CaixaBank contrata a terceros (personas físicas o jurídicas) para

una prestación de servicios que comprenda acceso a información, la relación de

colaboración tiene que reflejarse en un contrato. Este contrato debe recoger

detalladamente las condiciones de acceso a dicha información y el tratamiento de

la misma, si lo hubiese.

El empleado responsable del servicio debe velar por que el proveedor únicamente

tenga acceso a la información estrictamente necesaria para la realización de su

trabajo. Es decir, el proveedor no puede utilizar la información a la que acceda para

cualquier otra finalidad diferente de la prevista por la propia empresa, finalidad que,

en cualquier caso, debe responder siempre a motivos profesionales.

Si eres el responsable de un contrato con terceros:

Advierte a estos terceros de que, si incumplen las normas de seguridad, su

contrato puede ser rescindido sin que tengan derecho a indemnización alguna,

y sin perjuicio del resarcimiento por daños y perjuicios que les pueda reclamar la

empresa.

Verifica que los empleados de las empresas que trabajen bajo ese contrato

hayan firmado el acuerdo de confidencialidad indicado en la cláusula de

confidencialidad del contrato.

Informa a estos terceros de que son responsables del posible mal uso que

puedan hacer sus empleados de la información a la que tengan acceso bajo

esta relación contractual.

Para garantizar la seguridad de la información del Grupo CaixaBank, debe

adjuntarse en los contratos con terceros un anexo específico de requerimientos de

seguridad en contratos con terceros, disponible en el portal de Seguridad de la



Información, accesible desde Menús > Directo a > Webs de Trabajo > Seguridad de

la Información.

El empleado que realice esta contratación tendrá la responsabilidad de anexar los

diferentes requerimientos que se aplican a cada servicio contratado. Por ejemplo,

un contrato para un servicio de destrucción de soportes ha de cumplir unos

requerimientos de seguridad en algunos casos diferentes de los que se aplican en

un contrato de, por ejemplo, desarrollo de software.

Cualquier persona que intervenga en el tratamiento de la información de los

diferentes sistemas de información del Grupo CaixaBank está obligada a mantener

el secreto profesional sobre dicha información, en cumplimiento de la relación de

contratación.

Los modelos de contrato están elaborados por Asesoría Jurídica y están accesibles

desde: Portal Asesoría Jurídica > Contratación > Modelos de contratos con

proveedores.

Para saber más…

Si deseas obtener más información sobre la contratación y el portal de

Proveedores, puedes consultar la Norma 87: Modelo de gestión presupuestaria:

presupuesto, compras y contratación de servicios, pago de facturas.

INCIDENCIAS DE SEGURIDAD

¿Qué se considera incidencia de seguridad? ¿Qué debes hacer si detectas alguna?

A continuación, te explicamos cómo identificar y reportar este tipo de incidencias.

COMUNICACIÓN DE LA INCIDENCIA DE SEGURIDAD

Cada empleado debe reportar todas las posibles incidencias que puedan

comportar riesgos en la seguridad de la información.

Para el registro de la incidencia, es necesario informar, como mínimo, de:

La fecha y la hora aproximada en la que se produjo la incidencia.

El nombre de la persona que comunica la incidencia.

La descripción detallada de la incidencia.

A ser posible, añadir/adjuntar evidencias de la incidencia (capturas de pantalla,

mensajes…).



Importante:

Ante una posible incidencia de seguridad, envía un correo al buzón “Consultas

seguridad informática” ([email protected]).

EJEMPLOS DE INCIDENCIAS DE SEGURIDAD

A continuación, te mostramos algunos ejemplos de incidencias de seguridad que

deben ser reportadas al buzón “Consultas seguridad informática”

([email protected]):

Sospecha de malware (virus informático, gusanos, troyanos, ransomware, etc.).

Funcionamiento anómalo del software de seguridad corporativo (antivirus, etc.).

Acceso no autorizado a la información, por posibles causas como: suplantación

del usuario, vulnerabilidad de la aplicación, ciberataque, etc.

Uso indebido de los permisos de acceso, de manera intencionada.

Acceso no autorizado a la información por incumplimiento de políticas de

seguridad como: mesas limpias; no bloquear la estación de trabajo; dejar

información confidencial abandonada en impresoras o encima de las mesas de

los colaboradores fuera de las horas laborables.

Filtración de información (intencionada o accidental).

Envío por error de documentación con información confidencial a destinatarios

incorrectos.

Robo/Pérdida de equipos, dispositivos o soportes (incluidos documentos en

papel).

Uso indebido de los recursos de los sistemas de información (por ejemplo, por

violación de las medidas de seguridad, mal uso o abuso del correo electrónico,

etc.). En este caso, puedes informar a quien corresponda mediante los circuitos

que encontrarás a tu disposición en el Código de Conducta Telemático.



Si tienes dudas, conecta con seguridad

InfoProtect es la marca asociada a cualquier contenido de concienciación

relacionado con la seguridad de la información. Estos son nuestros canales

informativos:

Web InfoProtect: acceso por Actualidad > Temático > InfoProtect. Entre otras

cosas, encontrarás los materiales de sesiones presenciales como “Hackeando

personas” (dípticos, vídeos cortos), artículos y buenas prácticas.

Security News: el newsletter quincenal de InfoProtect. Te avisa de las últimas

amenazas y te indica cómo protegerte de ellas. Si todavía no lo recibes,

suscríbete escribiendo a [email protected].

Newsletter InfoProtect de la app “AL DÍA”: todos estamos suscritos a ella.

Noticias breves con alertas y consejos de actualidad.

Buzón InfoProtect: siempre disponible para tus ideas y consultas sobre la

cultura de seguridad: [email protected].

501-10356-101 Venta y asesoramiento...NORMATIVA Tema 12. Seguridad de la Información Tea Cegos,...

Documents

Transcript of 501-10356-101 Venta y asesoramiento...NORMATIVA Tema 12. Seguridad de la Información Tea Cegos,...