Creix amb Internet: Seguretat de la Informació per a Autònoms i Pimes

CREIX

AMB

INTERNET

Seguretat de la Informació per a Autònoms i Pimes Jordi Batlle ([email protected])

Seguretat de la Informació per a Autònoms i Pimes

•El valor de la informació que tenim a la nostra

empresa

•Amenaces

•Suplantació d’identitat

•Proteccions bàsiques

•Compte amb els SmartPhones

•Altres riscos

•LOPD per a microempreses


El valor de la informació que tenim a la nostra

empresa •Quin valor té un ordinador en relació a les dades que emmagatzema?

•Què passaria en el cas que perdés les dades del meu ordinador d’empresa?

•Què passaria si les dades del meu ordinador arribessin a males mans?

•Quin valor li dono a les dades en relació al meu negoci?


Quines dades hi ha al meu ordinador?

•Clients i proveïdors

•Correu electrònic

•Projectes

•Ofertes, documents del negoci

•Comptabilitat, documents fiscals

•Catàlegs, Fotografies

•…


Però també...

•Paraules de pas (contrasenyes)

•Claus WIFI

•Targetes de crèdit

•Signatura electrònica

•Amb validesa legal !

•…


Amenaces Físiques

•Robatori

•Tall de subministrament elèctric

•Sobrecàrrega elèctrica o llamps

•Cops, caigudes

•Aigua o líquids en general


Amenaces Humanes

•La majoria d’amenaces vénen de dins de la organització

•Involuntàries

•Voluntàries

•Robatori de dades

•Esborrat de dades

•Inconsistència de dades

•Canvis en les dades

•Enginyeria social

•Som massa crèduls

•Correus sospitosos i altres tècniques

•De mica en mica s’omple la base de dades


Amenaces per Virus

•Fuita de dades

•Captura d’usuaris i claus

•Captura d’àudio i vídeo

•Inhabilitació de l’ordinador

•Esborrat de dades

•Ús de l’ordinador per part de tercers

•Operacions fraudulentes

•Atacs massius


Ull amb la WIFI

•Els xifrats WEP no són segurs

•WEP es pot interceptar en pocs minuts amb eines standard i

lliures

•Cal usar WPA2

•Els virus poden capturar les claus que es guarden al sistema

operatiu

•Accedir a la WIFI pot significar accés al nostre ordinador

•La compartició de fitxers molts cops és oberta


Practica 1

•Anàlisi de riscos i amenaces

•Farem una llista de tipus de dades que tenim al nostre ordinador

•A cada tipus de dades li assignarem una criticitat i una llista

d’amenaces

•Posta en comú i debat sobre la probabilitat que una amenaça es

materialitzi


Identitat de persona física, de marca o empresa

•La identitat a Internet és la nostra imatge

•Cal tenir-ne cura i fer-ne un seguiment periòdic

•Hem de prendre mesures per evitar-ne la suplantació

•Registrar la marca (www.oepm.es, 140€ o 120€ per internet)

•Registrar el domini d’Internet (al vostre proveïdor habitual)

•Fer l’alta dels serveis abans que un altre ens pugui agafar el nom

Us hi heu trobat?

Exemple, registrar una

marca

http://www.oepm.es/


Creació de comptes amb el nostre nom sense

consentiment

•A Internet tothom és lliure de crear els comptes que desitgi

•En la majoria dels casos no podem reclamar si no és que hi ha

difamació, generació de mala imatge o s’ha produït algun delicte

•Cada servei disposa d’un sistema diferent per a reclamar una identitat

•La millor protecció és tenir la marca registrada


A Internet, ningú sap que ets un gos.


Robatori de comptes

•Comptes de correu electrònic o xarxes socials

•Caldrà demostrar que som els veritables propietaris del compte

•La millor estratègia és una bona protecció, per exemple amb una bona

contrasenya

•Numero de telèfon mòbil, correu electrònic alternatiu, preguntes de

seguretat...

•Ull amb les opcions “recordar contrasenyes”

•Exemple: esborrar contrasenyes i desactivar recordar contrasenyes

•Internet Explorer

•Mozilla Firefox

My account has been hacked !


Suplantació de pàgines web

•Tenim la marca o nom comercial registrats?

•Tenim el domini registrat?

•Pàgines molt treballades que són en molts casos difícilment distingibles de

l’original

•Normalment, correus electrònics que ens demanen que hem de canviar

claus o similars

•Poden fer referència a un problema de seguretat

•Un banc mai demana les claus per correu electrònic

•En cas de dubte, sempre contactar primer amb l’entitat per informar-nos


Pesca electrònica (phishing)

•Afecta majoritàriament a webs bancàries

•Pàgines molt treballades que són en molts casos difícilment distingibles de

l’original

•Normalment, correus electrònics que ens demanen que hem de canviar

claus o similars

•Poden fer referència a un problema de seguretat

•Un banc mai demana les claus per correu electrònic

•En cas de dubte, sempre contactar primer amb l’entitat per informar-nos


Com denunciar una suplantació

•Cada proveïdor te el seu protocol de denúncia per poder recuperar o esborrar

el perfil suplantat

•En cas de danys morals, d’imatge o d’altres, denunciar-ho al cos de Mossos

d’Esquadra

•Sense denúncia no hi pot haver investigació

•Això també ens protegeix de possibles càrrecs si es produeix un delicte des del

perfil suplantat

La mentida més repetida:

He llegit i accepto els termes i les condicions d’ús


Alguns exemples

•Facebook

•Gmail

•Hotmail

•Twitter


Proteccions bàsiques

•Les contrasenyes

•Els correus sospitosos i els fitxers adjunts

•Còpies de seguretat (locals, al núvol)

•Els pegats del sistema i les actualitzacions de les aplicacions

•Antivirus

•Xifrat de dades

•Destruir les dades dels suports que ja no usem


Les contrasenyes, paraules de pas o

passwords •Les 5 pitjors contrasenyes, estudi del 2011

•password, 123456, 12345678, qwerty, abc123

•Mínim 8 dígits

•Cal barrejar majúscules, minúscules, nombres i algun símbol.

•Canviar la contrasenya periòdicament

• O quan sigui necessari

•Ull amb “recordar contrasenyes”

•Exemple, crear contrasenyes

Aquest podria ser un exemple de contrasenya forta: Aps1@d0f


Els correus sospitosos i els fitxers adjunts

•Cal esborrar els correus sospitosos sense obrir-los

•Remitent desconegut

•Idioma no habitual

•Títol en blanc o amb redactat sospitós

•Si decidim obrir-lo

•Ull amb les faltes d’ortografia o expressions extranyes

•Molta precaució amb els enllaços i els fitxers adjunts

•Els duros a quatre pessetes no existeixen

Cal usar el sentit comú, l’antivirus ens pot ajudar però no és infalible !


Les còpies de seguretat

•Cal fer còpies per garantir la perdurabilitat de les dades i la estabilitat del

negoci

•Còpies manuals

•Còpies automàtiques

•En suport local

•Al núvol

•Es recomana desar les còpies en un lloc segur fora del local on és

l’empresa

•Es recomana fer rotació de còpies per solventar errors que puguin sorgir

“massa tard”

•Exemple: creació d’una carpeta dropbox


Els pegats i les actualitzacions

•Ens ajuden a “tapar” els forats de seguretat trobats fins al moment

•Del sistema

•Actualitzacions automàtiques

•De les aplicacions

•Java, Acrobat reader, Office, Flash...

És important realitzar les actualitzacions, dediquem-li el temps necessari


L’antivirus

•Eina imprescindible de prevenció i d’aturada d’infeccions

•Cal tenir-ne un i mantenir-lo actualitzat

•Poden ser de pagament o gratuïts

•Avast, NOD32, Norton/Symantec, Mcafee...

És millor tenir un mal antivirus que no tenir-ne cap


El tallafocs

•Controla les connexions del nostre ordinador amb l’exterior

•De fora cap a dins

•Atacs provinents d’altres ordinadors de la xarxa

•De dins cap a fora

•Els virus volen connectar-se amb el seu servidor central

•Amb el tallafocs poden veure i controlar aquestes connexions


El xifrat de les dades

•Per a dades importants o confidencials

•Quan son al nostre ordinador, per evitar consultes en cas de robatori

•Quan les duem en un dispositiu tipus pen-drive amb risc de perdre-les

•Programari gratuït, p.e. TrueCrypt


Destruir les dades dels suports que ja no usem

•Assegurem-nos que tot el contingut ha estat esborrat

•Quan llencem o donem un ordinador

•Quan deixem o donem pen-drive, ens podem trobar amb sorpreses

•Mètode senzill: formatar els suports o destruir-los en cas del CDs, DVDs, ...


Practica 2

•Eines de programari lliure

•Antivirus

•Còpies de seguretat

•Xifrat de dades

•Crear un volum xifrat amb TrueCrypt


Compte amb els SmartPhones

•Dades més usuals que portem al mòbil

•Bloqueig del terminal

•Còpia de les dades


Dades que portem al mòbil

•Agenda de telèfons i adreces

•Calendari

•Fotos i vídeos

•Música


Bloqueig del terminal

•Amb el PIN no n’hi ha prou

•Sistemes amb teclat

•Sistemes amb dibiux

Ens hi va la confidencialitat de les nostres dades !


Còpia de les dades

•Dades al núvol

•Dades internes

•Targetes de memòria

•Exemples: Android i iPhone


Practica 3

•Elaboració d’un micro-pla de seguretat

•Sobre les dades de l’anàlisi de riscos

•Definir quines mesures prendrem, el seu calendari d’implementació i

freqüència de repetició si s’escau (política de seguretat)

•Posta en comú i debat sobre les polítiques adoptades per cadascun dels

assistents


Altres riscos

•Sancions relacionades amb la LSSICE i LISI

•Dades del propietari a la web

•Correus electrònics amb publicitat “publi”

•Regulació de les targetes de crèdit

•Normativa PCI


LOPD per a microempreses

•Què he de tenir en compte

•Quins recursos li he de dedicar

•Esquema bàsic per a una microempresa


LOPD

La llei de protecció de dades crea un mecanisme de control dels ciutadans

sobre els usos i finalitats d’ús de les seves dades personals.

Es basa en l’article 18.4 de la constitució espanyola:

“La ley limitará el uso de la informática para garantizar el honor y la

intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus

derechos”


Conceptes clau de la LOPD

Recollida de

les dades:

Deure

d’informació

Tractament de

les dades:

Principi de

finalitat

Cessió de les

dades:

Principi de

consentiment

Encarregat

del

tractament:

contracte

article 12


Fitxers i tractaments

•Concepte de fitxer o tractament

•Conjunt de dades que s’usen per a una finalitat

•Fitxer automatitzat o manual, el paper també és important

•Manipulació de dades per a una finalitat


Què són dades personals?

•Definició del reglament

•Datos de carácter personal: Cualquier información numérica, alfabética, gráfica,

fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas

identificadas o identificables.

•La llei no afecta a les dades de persones jurídiques o d’autònoms quan actuen

com a empresa.


Nivells de seguretat LOPD

•Nivell Baix

•Aplicable a tots els fitxers o tractaments que contenen dades personlas.

•Nivell Mitjà

•Dades financeres

•Dades que permeten definir un perfil (currículums)

•Nivell Alt

•Dades especialment protegides

•Salut, afiliació sindical, origen racial, ideologia, ...


Declaració de fitxers i tractaments

•Pas previ al tractament de les dades

•Les pimes registren els seus fitxers a l’agència espanyola de protecció de

dades

•La declaració conté per a cada fitxer

•Nom del fitxer o tractament

•Finalitat

•Nivell de seguretat

•Responsable

•Estructura

•Col.lectiu de qui es recullen les dades

•Mètode de recollida de les dades


Questions importants

•Finalitat

•Informació

•Consentiment

•Cessió de dades

•Ull amb el consentiment

•Exercici de Drets

•Accés

•Rectificació

•Cancelació

•Oposició


L’encarregat del tractament

•És la figura del tractament externalitzat de les dades

•Gestoria

•Agència de publicitat

•Les nostres dades són tractades per algú que no som nosaltres

mateixos

•Però amb la mateixa finalitat

•I amb un contracte de servei (article 12) que inclogui les clàusules LOPD


Serveis sense accés a dades

•Necessaris però sense necessitat d’accedir a les dades

•Neteja

•Manteniment

•Contracte de confidencialitat i prohibició explícita d’accés a les dades

personals


Mesures de seguretat (I)

•Nivell Baix

•Formació

•Identificació d’usuaris

•Control d’accessos

•Caducitat de les paraules de pas (max. 1 any)

•Registre d’incidències

•Gestió de suports (identificació, sortida, trasllat,

eliminació)

•Copies de seguretat setmanals com a mínim

•Procediment de recuperació de les copies


Mesures de seguretat (II)

•Nivell Mitjà

•Responsable de seguretat

•Auditoria obligatòria cada 2 anys com a mínim i quan hi ha canvis

significatius

•Control d’accés físic

•Nivell Alt

•Registre d’accessos

•Encriptació de suports quan surten de les instalacions

•Una còpia de seguretat i manual de recuperació fora de les instalacions


El document de seguretat (I)

•En què consisteix?

•Posar per escrit el que hem decidit implantar per al compliment de la

LOPD

•Mesures tècniques i organitzatives

•Registre de l’activitat per al que fa a les dades personals

•Quines dades es tracten externament i quin contracte en fa referència

•És un document viu !!!


El document de seguretat (II)

•Contingut

•Estructura de fitxers i descripció dels sistemes

•Definició de responsabilitats, drets i deures

•Procediments (exercici de drets, gestió d’incidències...)

•Procediment de còpia i recuperació de les dades, gestió de suports

•Procediment de “mobilitat de la informació” i destrucció de suports (informàtics o

en paper)

•Polítiques (usuaris, paraules de pas...)

•Formularis (autoritzacions, registres...)

... i s’ha de revisar quan hi ha canvis !


Sancions aplicables (I)

•Infracció lleu

•Entre 600 i 6000 euros

•No informar de la recollida de dades

•No tenir els fitxers registrats

•No atendre l’exercici de drets

•Infracció greu


•Recollida de dades sense consentiment exprés

•Obstaculització de l’exercici de drets

•Vulneració del deure de secret

•No implantar les mesures de seguretat establertes per el

reglament


Sancions aplicables (II)

•Infracció molt greu


•Recollida de dades de forma enganyosa

•La comunicació o cessió de dades fora dels casos en que és

permès

Ull amb les cessions de dades, cal consentiment !


Practica 4

•LOPD

•Identificació i declaració de fitxers

•Drets

•Mesures de seguretat bàsiques

•Parlem del document de seguretat


Les enquestes !

Barcelona Activa, Febrer 2012

Creix amb Internet: Seguretat de la Informació per a Autònoms i Pimes

Business

Transcript of Creix amb Internet: Seguretat de la Informació per a Autònoms i Pimes