El text complet de la llicència pot ser consultat a · 2018-10-05 · Sistema Operatiu....
Transcript of El text complet de la llicència pot ser consultat a · 2018-10-05 · Sistema Operatiu....
El text complet de la llicència pot ser consultat a:
http://creativecommons.org/licenses/by-nc-nd/3.0/
es/legalcode.ca.
El Centre de Seguretat de la Informació de Catalunya, CESI-
CAT, és l’organisme executor del Pla nacional d’impuls de la se-
guretat TIC aprovat pel Govern de la Generalitat de Catalunya el
17 de març de 2009. La missió d’aquest Pla és la de garantir una
societat de la informació catalana segura per a tots. Amb aques-
ta finalitat es crea el CESICAT, com a eina per a la generació
d’un teixit empresarial català d’aplicacions i serveis de seguretat
TIC que sigui un referent nacional i internacional.
El Pla nacional d’impuls de la seguretat TIC a Catalunya s’es-
tructura al voltant de quatre objectius estratègics principals:
• Execució de l’estratègia nacional de seguretat TIC establerta
pel Govern de la Generalitat de Catalunya.
• Suport a la protecció de les infraestructures crítiques TIC na-
cionals.
• Promoció d’un teixit empresarial català sòlid en seguretat TIC.
• Increment de la confiança i la protecció de la ciutadania cata-
lana en la societat de la informació.
Dins d’aquests objectius estratègics es constitueix la fundació
pública Centre de Seguretat de la Informació de Catalunya com
a entitat auxiliar i instrumental del Govern de la Generalitat de
Catalunya i dels ens que la componen, i amb la forma jurídica
de fundació del sector públic de l’Administració de la Generalitat.
Amb l’objectiu de proporcionar unes bones pràctiques i uns co-
neixements mínims en seguretat de la informació, el CESICAT
ofereix com a servei preventiu l’elaboració d’un conjunt de guies
de seguretat adreçades a les diferents comunitats.
El risc és alt quan utilitzem aquests dispositius per
guardar i traslladar la informació, però podem aplicar
un conjunt de mesures i recomanacions de seguretat
que ens permetran protegir les dades emmagatzema-
des.
D’altra banda també és aconsellable realitzar una anà-
lisi de riscos. Això pot ajudar a comprendre quin tipus
d’informació s’emmagatzema, quins individus que per-
tanyen a l’organització tenen accés a aquesta infor-
mació i les conseqüències de extreure-la sense el seu
consentiment. És important definir unes polítiques que
estableixin el tractament que donen els usuaris a les
dades que es poden considerar confidencials o críti-
ques per al correcte funcionament de la seva empresa
o negoci, això inclou decisions com ara quins usuaris
tenen accés a certa informació delicada i quines acci-
ons poden realitzar.
La importància actual de la informació tant en l’àmbit
personal com pel que fa a l’empresa obliga a tenir cura
de les solucions d’emmagatzematge, a més de tenir
clar quin és el dispositiu adequat. Per desar la infor-
mació de manera segura i protegida davant de tercers,
podem aplicar una solució addicional com ara encriptar
la informació.
Es poden diferenciar dos tipus de xifrat.
Xifrat per software
Hi ha aplicacions de xifrat de dades –moltes, gratuïtes–
que xifren les dades però no ofereixen un gran nivell de
seguretat, les claus del xifrat es guarden temporalment
en la memòria del dispositiu quan l’usuari accedeix a
la informació. És en aquest moment quan els atacants
poden tenir accés a les claus de xifrat.
Normalment, el xifrat per software és més lent per què
utilitza la memòria i el processador del dispositiu per
efectuar el procés de xifrat. A continuació es presenten
alguns exemples d’eines de xifrat per software:
• BitLocker: és una aplicació de xifrat de disc. Es pot
trobar en versions de Windows Vista, Windows 7 i Win-
dows Server 2008. Aquesta aplicació està pensada per
protegir les dades i impedir l’accés no autoritzat a qual-
sevol arxiu guardat a la unitat. A continuació descrivim
el procés de xifrat i configuració:
a. Habilitarem BitLocker al dispositiu USB desitjat. Per
fer això obrirem el “Tauler de Control” i anirem a “Siste-
ma i seguretat -> Xifrat d’unitat BitLocker”.
b. Sobre la unitat USB, escollim l’opció “Activar BitLoc-
ker”. Apareixerà una finestra indicant que s’està acti-
vant BitLocker.
c. Ens preguntarà com desitgem desbloquejar la unitat.
Escollim “Utilitzar una contrasenya per desbloquejar
la unitat” i escrivim dues vegades la contrasenya de
desbloqueig. Cliquem “Següent”.
d. Quan el sistema ens pregunti com volem emmagat-
zemar la clau de recuperació, escollirem l’opció que
es guardi en un arxiu. A continuació n’indicarem la ruta
i seleccionarem “Següent”.
e. Finalment iniciarem el xifrat de la unitat.
Si volem llegir els dispositius encriptats per BitLocker
a Windows XP o Windows Vista, es pot utilitzar l’eina
de Microsoft “BitLocker To Go Reader”, enllaç de refe-
rència:
http://www.microsoft.com/downloads/en/details.
aspx?Fami ly ID=64851943-78c9-4cd4-8e8d-
f551f06f6b3d.
• TrueCrypt: Podem utilitzar diferents algorismes de
xifrat, podem aplicar el xifrat a una unitat o crear un vo-
lum de tipus fitxer dedicat. El seu funcionament es basa
en l’encriptació de les dades abans que es guardin al
dispositiu, i es desxifren just després d’extreure-les
sense intervenció de l’usuari. Una vegada està muntat
el volum de xifrat, i s’ha introduït la frase de pas, la uti-
lització és transparent per a l’usuari.
• DiskCryptor: es tracta d’una utilitat en codi obert
que ens permet encriptar dispositius de tipus disc dur,
memòria USB i CD/DVD. El xifrat es pot realitzar amb
més d’un algorisme. L’inconvenient d’aquesta eina és
la seva utilització. És necessari que l’usuari tingui base
tècnica.
Xifrat per hardwareEn aquest tipus de xifrat els dispositius disposen d’un
microxip on es genera i es guarden les claus de xifrat,
per tant, mai surten del dispositiu i així no poden ser
interceptades en una transmissió de dades.
El principal avantatge d’aquest tipus de xifrat és que és
molt senzill, els usuaris no s’han de preocupar d’instal-
lar cap programa addicional, i depenent del dispositiu
està suportat pels sistemes operatius més habituals
com ara Windows, Mac OSx i Linux.
A més del xifrat de les dades, cal saber i establir tècni-
cament qui pot accedir a la informació emmagatzema-
da en aquests dispositius.
Hi ha diverses tecnologies aplicables a aquest tipus de
dispositius que permeten autenticar un usuari que vol
accedir a la informació emmagatzemada:
• Contrasenya o PIN: Els usuaris s’autentifiquen escri-
vint la seva contrasenya. Aquest tipus d’autentificació
pot ser utilitzada tant per xifratge per software, com per
xifratge per hardware.
• Biometria: Sistema d’autentificació recomanable per
a l’accés a dispositius amb xifratge per hardware en
què l’usuari escaneja alguna característica única del
seu cos. El dispositiu de control biomètric més habitual
és el lector d’empremtes dactilars.
• Autentificació de dos factors (2FA): Utilitza una
contrasenya dinàmica generada per un dispositiu, a
més de la clau coneguda d’usuari. Per tal d’accedir a
les dades, necessiten l’aparell que la genera. Aquest
tipus de validació és recomanable per entorns de xifrat
per hardware.
• Targeta intel·ligent: És un altre tipus d’autentificació
de tipus doble factor (2FA). En aquest cas la unitat sol-
licita a l’usuari que insereixi una targeta identificativa
en una ranura, per després introduir un codi d’accés.
Aquestes targetes intel·ligents són molt resistents als
copiats i utilitzen una tecnologia similar a la de les tar-
getes SIM dels telèfons mòbils GSM.
Deshabilita l’escriptura de dispositius des del registre de WindowsEn algunes ocasions pot ser necessari que el dispositiu
extraïble tingui bloquejada la propietat d’escriptura.
Això ho podem solucionar, en el cas de sistemes ope-
ratius de tipus Windows, modificant-ne el registre, com
s’indica a continuació:
• Executar l’editor del registre de Windows (Inici > Exe-
cutar > “regedit”).
• Una vegada executat haurem d’anar a HKEY_LO-
CAL_MACHINE - SYSTEM – CURRENTCONTROL-
SET – Control – StorageDevicePolicies – writeProtect.
(*) La categoria “StorageDevicePolicies” pot ser que no
existeixi, si és així, s’ha de crear fent clic amb el botó
dret sobre la categoria “Control” per crear-la a dins amb
el nom “StorageDevicePolicies”. Una vegada tinguin la
categoria, crearan dintre un nou valor DWORD amb el
nom “WriteProtect”.
• Posaran el valor de “writeProtect” a (1). Això serveix
tant per bloquejar (1) com desbloquejar (0) l’opció de
l’escriptura d’un dispositiu extraïble. Per saber si el dis-
positiu està protegit pel mode de només lectura hau-
rem de:
- Fer clic al botó dret sobre la carpeta seleccio-
nada i seleccionar “Propietats”
- Mirar si la casella “Només lectura” està selec-
cionada.
És important que per a portar a terme aquest tipus d’ac-
ció, tinguem un coneixement tècnic de base. Modificar
incorrectament el registre de Windows pot malmetre el
Sistema Operatiu.
Deshabilita l’opció d’execució automàticaUn percentatge gran del desenvolupament de codi
maliciós utilitza les característiques d’autoexecució
del sistema operatiu Windows per infectar el sistema.
Aquesta funcionalitat executa l’arxiu “autorun.inf” a CD,
DVD o memòries USB.
A continuació, explicarem com desactivar aquesta pro-
pietat.
Aquest mètode deshabilita permanentment i totalment
la capacitat d’autoexecució d’autorun.inf. Es tracta
d‘eliminar les subclaus en el registre de configuració
de Windows. El procediment a seguir és el següent:
1. Executar l’editor del registre de Windows (Inici >
Executar> “regedit”)
2. Buscar la clau de registre següent:
HKEY_CURRENT_USER\Software\Microsoft\Win-
dows\CurrentVersion\Explorer\MountPoints2
3. Clicar amb el botó dret del ratolí damunt de “Mount-
Points2”, i prémer l’opció “Permisos”.
4. Denegar el control total per a tots els usuaris incloent
SYSTEM, nom del PC, etc.
D’aquesta manera, encara que hi hagi un virus en un
dispositiu extraïble, el virus no serà executat. Així do-
narà temps a l’antivirus d’escanejar el dispositiu extraï-
ble i desinfectar-lo, si cal.
És important que per portar a terme aquest tipus d’ac-
ció, tinguem un coneixement tècnic de base. Modificar
incorrectament el registre de Windows pot malmetre el
sistema operatiu.
Recomanacions aplicables per a programari maliciósUn dels perills d’utilitzar un dispositiu extraïble és la in-
fecció dels equips per malware (programari maliciós).
El malware és un tipus de software que té com a objec-
tiu infiltrar-se o danyar un equip sense el c
Els dispositius mòbils (portàtils, agendes electròni-
ques, tauletes, etc.), així com els suports extraïbles
(llapis USB, discs durs portàtils...) tenen un risc més
alt de ser vulnerables, a causa de la seva facilitat d’ús,
alta mobilitat, capacitat d’emmagatzematge i políti-
ques permissives per part de les organitzacions, en
el cas que permetin el flux d’informació guardada als
suports sense aplicar cap mena de control. Preguntes
com ara si un empleat pot emmagatzemar informació
en un llapis USB, si es controla la informació emma-
gatzemada en portàtils i agendes electròniques, o si
estan controlades les unitats gravadores de CD dels
equips, tenen difícil resposta si la informació no està
classificada i no s’han definit instruccions per als usu-
aris, política de seguretat d’empresa.
Les actuacions per aconseguir un control sobre l’ús de
dispositius mòbils i suports extraïbles a l’empresa in-
clouen la realització d’una classificació de la informació
que inclogui la identificació dels suports i la informació
que s’hi emmagatzema. Per aconseguir-ho es poden
realitzar les tasques següents:
• Inventariar tots els suports existents i assignar un res-
ponsable a cada un.
• Etiquetar de manera visible cada suport, segons les
normes recollides a la guia de classificació de la infor-
mació.
• Prohibir la creació i l’ús de suports no autoritzats que
no deixin registre a l’inventari de l’organització.
• Valorar la restricció de l’accés a unitats d’emmagatze-
matge extern i si és realment necessari per al dia a dia,
i només permetre l’ús d’aquest tipus d’accés als equips
informàtics que realment ho necessitin, i que només
puguin ser utilitzats per persones autoritzades, que hi
accedeixin via contrasenya.
• Establir instruccions d’ús de cada tipus de dispositiu
mòbil o suport extraïble, incloent-hi els usuaris autorit-
zats, les entrades i sortides de l’organització i la noti-
ficació de les incidències que es puguin presentar en
matèria de seguretat de la informació.
• Registres de logs de la informació copiada i de la per-
sona o màquina on s’ha fet la còpia.
La implantació de normes d’ús de suports extraïbles
està reflectida a la norma ISO 17799, al punt següent:
• Hi ha d’haver procediments que descriguin les mesu-
res de seguretat per a l’ús de suports extraïbles (punts
10.7.1 ISO 17799:2005).
L’empresa decideix que facilitarà al responsable del
departament comptable un llapis de memòria USB,
perquè faci les còpies de seguretat de la comptabili-
tat de l’organització. L’empresa pot decidir, a més, en
aquest punt:
• No definir cap norma d’utilització de dispositius ex-
traïbles:
En el cas que l’empresa no hagi definit cap norma d’uti-
lització d’aquest llapis de memòria, el responsable de
l’ús del llapis, un cop ha fet la còpia de seguretat, veu
que li sobra espai al suport i decideix connectar el lla-
pis al PC de casa per guardar-hi unes fotos personals
i música que es descarrega d’Internet per escoltar-la
després a l’oficina. Els possibles riscos de seguretat
per a l’organització són els següents:
- Pèrdua d’integritat de les dades.
- Possible esborrat de la informació.
- Infecció per malware.
- Fuita d’informació.
• Definir normes d’utilització de dispositius extraïbles:
L’empresa defineix normes d’ús d’aquest llapis (esta-
bleix una “política de seguretat”), i l’etiqueta com a su-
port limitat a allotjar informació restringida. A més, ho
reflecteix a l’inventari de suports i, finalment, el lliura a
l’usuari responsable.
Es defineixen les normes d’ús del suport, que inclo-
uen mesures disciplinàries en cas d’incompliment, i es
lliurem per escrit al responsable del departament de
comptabilitat.
Les normes també inclouen l’avís que, periòdicament,
sense avís, es pot sol·licitar al responsable del suport
que el lliuri per comprovar que es compleixen correc-
tament
Totes les mesures queden reflectides formalment mit-
jançant un escrit signat. Així, ens assegurem que el
responsable del llapis de memòria compleix totes les
normes de seguretat establertes per l’empresa.
Uso de unidades portátiles cifradas para proteger los datos almacenados. HP.
http://h30565.www3.hp.com/t5/Destacado/Uso-de-unidades-port%C3%A1tiles-cifradas-para-proteger-los-
datos/ba-p/3263?profile.language=es
Prevent data to the fusing removable devices. Get Safe Online.
http://www.getsafeonline.org/nqcontent.cfm?a_id=1103
Los dispositivos extraíbles son un eslabón débil. Security Advisor.
http://www.sadvisor.com/articulos/articulos_masinfo.php?id=40&secc=articulos&cr=&path=0.280
Consejos de seguridad para equipos portátiles y soportes extraíbles. Portal de seguridad CLM.
http://protegete.jccm.es/protegete/opencms/Administracion/Seguridad/Consejos/portatiles.html
Bloquea el malware que se propaga por dispositivos extraíbles con USB Immunizer. Malwarecity.
http://www.malwarecity.es/blog/bloquea-el-malware-que-se-propaga-por-dispositivos-extrables-con-usb-
immunizer-92.html
Guía práctica: Cifrar una unidad USB. Mencar Global Consulting.
http://www.mencargc.es/Newsletters/Num2/CifrarUSB
Cómo encriptar y asegurar datos sensibles. PC Actual.
http://www.pcactual.com/articulo/zona_practica/paso_a_paso/4374/como_encriptar_asegurar_datos_sensi-
bles.html