Saltar al contingut principal

El teletreball a la Generalitat de Catalunya i el seu sector públic

Nombre de lectures: 0

Unitat 2. Ciberseguretat i protecció de dades

Introducció al mòdul de ciberseguretat en el teletreball

El teletreball és l’exercici de la prestació de serveis fora de les instal·lacions, des de la casa del treballador o la treballadora, o a través d’espais habilitats de la Generalitat de Catalunya per fer aquestes funcions.

L’oficina virtual, l’aposta per la mobilitat i altres formes d'organització del treball i prestació dels serveis, plantegen una sèrie de reptes a l’hora de generar una cultura adequada sobre ciberseguretat i protecció de dades, extensibles a tots els empleats.

En aquest sentit, teletreballar comporta el risc de treballar en llocs desprotegits, fora d’un perímetre de seguretat on les amenaces i els riscos són més evidents, que fa necessari que la persona teletreballadora adopti algunes mesures.

En la Instrucció 8/2020, de 24 de novembre, sobre l’ús de les tecnologies de la informació i la comunicació a l’Administració de la Generalitat de Catalunya, s'adapta i facilita la prestació de serveis en la modalitat de treball en remot, així com la possibilitat d’ús voluntari dels dispositius digitals propietat de l’empleat amb les condicions d’ús fixades per l’Administració. Aquestes comporten necessàriament la supressió de determinades restriccions en les regles d’us dels dispositius digitals, l’accés a les xarxes i la seguretat de la informació respecte de l’ús de les TIC en la modalitat presencial de prestació de serveis.

En aquest curs es preveuen dos escenaris de teletreball:

  1. Quan s'usa un dispositiu digital corporatiu, mitjançant les eines i els mitjans de treball que són propietat de l'organisme competent (per exemple, ordinadors corporatius amb connexió VPN o dispositius mòbils corporatius).
  2. Quan s'usa un dispositiu digital propi, mitjançant les eines i els mitjans de treball que són propietat seva (per exemple, (per exemple, l'ordinador portàtil, tauleta o dispositiu mòbil personals).
Accessos permesos amb Dispositiu digital corporatiu Dispositiu digital personal
Eines ofimàtiques corporatives en línia
Accés web correu corporatiu (ecorreu.gencat.cat)
Sistemes d’informació web Extranet
Tractament de dades confidencials o sensibles amb prèvia autorització
Sistemes d’informació web Intranet X
Aplicacions amb client pesant X
File corporatiu X

Els tres temes següents descriuen mesures de seguretat orientades a garantir la confidencialitat, la privacitat, la integritat, la disponibilitat, l'autenticitat i la traçabilitat de la informació, així com el compliment de la legislació vigent.

Per prestar serveis en el treball a distància s'haurà de complir la normativa de seguretat recollida a la Guia d’ús segur per al teletreball i treball en remot i la Instrucció d'ús de les TIC.

1. El lloc de treball



Encara que no sembli possible, un dels principals escenaris on s’identifiquen més riscos en la seguretat de les dades és al nostre lloc de treball (despatx, sala tècnica, taula de l’oficina, sala de reunions, etc.). La nostra taula és el lloc on més hores passem i on, en conseqüència, més oblits es produeixen de manera quotidiana.

Quan estem en un escenari de teletreball els riscos poden ser més importants i cal minimitzar-los amb unes proteccions addicionals. S'implementen nous sistemes que milloren la seguretat de la xarxa sense comprometre la usabilitat de les persones usuàries. Però es fa imprescindible la generalització de l'ús d'eines corporatives que incorporen elements essencials de seguretat.

Qui no s'ha deixat alguna vegada el portàtil desbloquejat quan marxa a fer un cafè? Per aquest motiu, hem de tenir cura mentre treballem (i també quan no treballem) i seguir les bones pràctiques que us mostrem a continuació.

1.1 Política de taules i pantalles netes

Quan vas al despatx d'una oficina bancària, sovint et trobes una pila de papers a sobre de la taula de la persona que t'atén. T'has preguntat alguna vegada si en aquella pila hi deu haver dades teves? Tothom les veuria com veus ara mateix les dades d'un expedient d'un tal senyor Garcia? Aquest mateix escenari es trasllada fàcilment al nostre lloc de treball, amb formularis de declaracions, actes de controls, pagaments o informes jurídics en pantalla o sobre la taula. En el teu cas, teletreballar comporta el risc de treballar en llocs desprotegits, és a dir, sense barreres de seguretat físiques i lògiques implantades a les instal·lacions. Fora d'aquest perímetre de seguretat, augmenten les amenaces i les vulnerabilitats, la qual cosa fa necessari d'adoptar mesures de seguretat addicionals segons la informació que es manega.

No pel fet de teletreballar has de deixar d'estar atent a quina documentació tens sobre la taula i quins documents vols imprimir. Moltes vegades, un document s'imprimeix per comoditat, però potser després acaba en una paperera on qualsevol persona el podrà agafar i llegir-hi dades patrimonials o de comissió d'infraccions, per exemple. Per aquest motiu, has d'evitar o limitar la impressió en paper.

També cal vigilar els portàtils i els mòbils, si ets en un espai compartit i, sobretot, si fas ús de llapis de memòria o disc durs externs. Si deixes algun dispositiu d'emmagatzemament a sobre de la taula durant un descans i ets en un espai on hi ha més gent, com una cafeteria, un hotel o un espai de cotreball (coworking), pensa que és susceptible de desaparèixer, ja que són atractius i fàcils d'agafar. Per aquest motiu, sempre que sigui possible, cal xifrar els dispositius extraïbles per tal de protegir la informació que contenen. I sobretot, quan no s'han de fer servir, deixar-los en un lloc tancat.

A més dels documents que se solen imprimir, l'espai de treball també es pot arribar a convertir en un arc de Sant Martí amb tots els colors de les notes adhesives enganxades. Una d'aquestes notes adhesives pot ser la contrasenya d'accés al correu que sempre s'oblida o el PIN de la targeta d'identificació electrònica d'empleat públic (la targeta T-CAT). No seria la primera vegada, i a les pel·lícules també ens ho han mostrat, que un usuari maliciós entra al nostre sistema utilitzant la contrasenya que tenim en una nota adhesiva.

Per tant, cal prendre les mesures adients per evitar que persones alienes puguin visualitzar o accedir a la informació del mitjà tecnològic, sense autorització.

Recorda també de custodiar, si en tens, la targeta T-CAT després d'usar-la.

Finalment, cal que consideris que, en el cas del teletreball, el lloc de treball es pot diversificar: una taula a casa, una sala de reunions, un espai compartit, un espai en un hotel, etc. Per tant, has de procurar d'aplicar les mesures de seguretat a tots els escenaris.




A dia d'avui, quants documents, notes adhesives i dispositius tens enganxats al teu portàtil, a sobre de la taula o a l'espai on treballes?




Recull de notícies que parlen de casos reals

  • Dixie d'Amelio té la contrasenya més fàcil del món (i li pirategen).🔗enllaç
  • Un periodista es cola en una videoconferència secreta de ministres de Defensa de la Unió Europea gràcies a una fotografia publicada a Twitter. 🔗enllaç


↑ Inici del bloc | ↑ Índex de la unitat

1.2 Mesures de seguretat en context "paper 0"

Segons la Llei orgànica de protecció de dades i garantia de drets digitals (LOPDGDD), la informació amb dades de caràcter personal (per exemple, que contenen expedients, currículums, historials mèdics, etc.) s'ha de mantenir custodiada sempre que no s'hi estigui treballant.

Si en el lloc de treball on no es genera documentació en paper, cal treballar mínimament en paper o llapis de memòria, sempre s'ha de guardar als calaixos amb clau quan no s'utilitzi (sobretot si es tracta de dades sensibles o especialment protegides); evidentment, cal tenir cura si per algun motiu, com ara una reunió en àrees de col·laboració, reunió informal o fora del departament, es fa ús d'aquesta documentació o s'hi accedeix (física o en llapis de memòria).

En cas d'estar autoritzats degudament per treure-la del Departament, en teletreballar fora de les instal·lacions, majoritàriament des del domicili o en espais habilitats on hi ha altres persones, cal tenir-ne molta més cura: també haurem de disposar de sistemes per encadenar el portàtil a la taula i no deixar mai cap tipus de documentació a la vista.

No cal dir que a casa tampoc no s'han de deixar abandonats els mitjans de teletreball en llocs poc adequats, com ara la cuina o espais on la canalla pugui estar jugant.




Recull de notícies que parlen de casos reals

  • Investiguen si una assaltant al Capitoli va intentar vendre a Rússia l'ordinador de Pelosi. 🔗enllaç
  • Troben documents confidencials de l'Ajuntament en un abocador. 🔗enllaç


↑ Inici del bloc | ↑ Índex de la unitat

1.3 Gestió de comptes, permisos i credencials

En tant que personal teletreballador, el teu dispositiu tecnològic ha d'estar configurat amb un mètode d'autenticació robust per accedir a la sessió d'inici.

A l’hora d’utilitzar un ordinador o entrar en una aplicació, la dada més important és la teva contrasenya. Si algú amb males intencions et roba aquesta contrasenya, et podrà suplantar la identitat i accedir a tot arreu on tinguis permisos. Cal, doncs, que tinguis molt present que, com a personal teletreballador, ets responsable de fer un ús segur dels mitjans amb què treballes, tant si són corporatius com propis.

Per aquest motiu, t'expliquem una sèrie de mesures molt útils a l’hora d’utilitzar contrasenyes.

Un cop rebis la contrasenya del teu ordinador o de qualsevol aplicació per primer cop, sempre cal canviar-la per una de pròpia, que només tu coneguis. Aquesta contrasenya te l'ha donat un administrador i, en cas que vulgui accedir al teu ordinador o comprovar una incidència en una aplicació, ho haurà de fer amb el seu compte d'administrador, no pas amb el teu. Aquesta situació és igualment aplicable després de la reactivació d’una clau oblidada (típica situació que pot passar, per exemple, quan es torna de vacances).

Per tant, recorda que mai no s'han de compartir credencials d'accés amb ningú (ni enviar a ningú), ni tampoc la targeta T-Cat ni el PIN associat!

Així mateix, si no és una bona pràctica apuntar les contrasenyes en una nota adhesiva, tampoc no ho és fer-ho en llibretes o en qualsevol full de paper. De la mateixa manera, si deixes les contrasenyes en un fitxer de text dins de l’ordinador i un dia treballant en un espai compartit el deixes desbloquejat, qualsevol podrà accedir a aquest fitxer i robar-te totes les teves contrasenyes. Si no tens bona memòria o utilitzes moltes contrasenyes, hi ha eines que et poden ajudar en aquesta tasca.

Tampoc no és segur utilitzar l’opció de recordar contrasenyes dels navegadors, ja que, si un usuari maliciós entra al teu sistema, podrà accedir a totes les aplicacions web on facis servir aquestes credencials.

També és important seguir les recomanacions del nostre sistema de Gestió d'Identitats i Accés a Recursos corporatiu (GICAR), i canviar les contrasenyes periòdicament, tal com et demanen, així com aprofitar el sistema de complexitat.

Si utilitzes noms propis o paraules de diccionari, un atacant pot esbrinar la paraula de pas en menys d'un segon. Una mostra de les 20 més usades durant l'any 2020 i, per tant, les pitjors a usar són les següents:

Pots fer servir trucs o metodologies per generar contrasenyes, per exemple:

  • Utilitzar una frase o cita i abreujar amb la primera lletra de cada paraula: Que la força us acompanyi = qlfua.
  • Posar un caràcter especial o un número: qlfua#.
  • Posar l'abreviatura del servei on accediràs: qlfua#WP.

Recorda que no es poden reutilitzar identificadors i contrasenyes corporatives en l'entorn personal (correu, xarxes socials, etc.).

Arribats en aquest punt, et recordem l’enllaç al portal d'autogestió de contrasenyes, davant de qualsevol problema que puguis tenir amb les teves credencials corporatives. Tampoc hem d'enviar als administradors o responsables TIC les credencial d'accés, aquests ja disposen d’eines i mitjans per operar sense necessitat que els usuaris les donin a conèixer.

També has de tenir en compte que com a persona teletreballadora només pots disposar dels permisos mínims necessaris per accedir als sistemes d'informació per desenvolupar les teves funcions, per garantir en tot moment el principi de segregació de funcions. Aquest precepte és especialment crític en la gestió d’ajuts i subvencions, per la qual cosa cal delimitar bé els perfils que poden participar en la sol·licitud, la gestió, el control o el pagament d'aquests ajuts i subvencions.

Per tant, per evitar l'acumulació de privilegis que pugui contravenir el principi de segregació de funcions, és important comunicar les baixes i els canvis d'àrea als responsables dels sistemes i aplicacions del teu departament.

Ús de KeePass (Android i iPhone)

KeePass és un gestor de contrasenyes amb moltes funcionalitats que ofereixen seguretat quan utilitzem moltes contrasenyes en el dia a dia.

Teniu un petit tutorial de funcionament a keepass.es. Què són els gestors de contrasenyes? internetsegura.cat/faq-items/.




Recull de notícies que parlen de casos reals

  • Perquè no és bona idea desar les contrasenyes en el navegador i com evitar-ho a Chrome i Firefox.🔗enllaç
  • Un programador alemany li queden 2 oportunitats per esbrinar la contrasenya del seu disc dur.🔗enllaç


↑ Inici del bloc | ↑ Índex de la unitat

1.4 Bloqueig de l'estació de treball

Pot passar que, si has anat a esmorzar o al lavabo, quan tornis et trobis amb un canvi de fons d'escriptori o un correu que convida a una festa a casa teva. S'han donat casos que no han estat companys simpàtics qui ens han fet una broma, sinó una altra persona amb males intencions. Imagina tot allò que pot arribar a passar si ens trobem en un espai de treball obert com un centre de cotreball.

Si busques notícies a les xarxes socials, trobaràs més d'un cas de suplantació d'identitat a gmail o Instagram. Això pot passar fàcilment si, a més a més, emmagatzemes les credencials als navegadors. Què passaria si aquest accés il·legítim esdevingués una fuita d'informació, una infracció o un frau?

El dispositiu tecnològic corporatiu emprat per teletreballar no ha de quedar mai desatès, especialment si s'ha superat el procés d'identificació i autenticació per accedir a sistemes i/o aplicacions. Quan hagis de desatendre’l temporalment, cal que romangui bloquejat i encadenat (hi ha sistemes per poder-ho fer).

En el cas de fer ús d'un dispositiu digital propi es recomana actuar de la mateixa manera.


Cal protegir l’accés al dispositiu mòbil activant un dels mecanismes de desbloqueig permesos, sempre que tècnicament sigui possible i preferentment amb aquest ordre: codi o contrasenya de desbloqueig, PIN de desbloqueig i empremta digital. No es recomana l’ús d’un patró de desbloqueig ja que aquest mecanisme té un nivell de seguretat mitjà, convertint-lo en el més susceptible d’accés per tercers no autoritzats.

Per aquest motiu, cada cop que t’aixequis de la cadira, sobretot si estàs treballant en un espai compartit, cal adquirir l'hàbit de prémer les tecles Win + L. No només es tracta de bromes, sinó de tenir precaució davant d'un potencial robatori d'informació, frau o infecció de virus.

Finalment, cal que apaguis l'ordinador quan donis per tancada la jornada laboral, encara que estiguis treballant a casa. Quan es reinicia el sistema operatiu, permetem que s'actualitzi el programari i es descarreguin les darreres proteccions de seguretat necessàries.

Cal abstenir-se d’utilitzar procediments i eines no corporatives i instal·lar programari alienes a l’entitat que permetin alterar les polítiques de configuració i ús dels dispositius digitals. Els dispositius digitals emprats tindran instal·lat un programari antivirus, eines de neteja de codi maliciós i una política activa de pegats que hauran d’estar permanentment actualitzats.



Recull de notícies que parlen de casos reals

  • Quin mètode de desbloqueig de mòbil és més segur?🔗enllaç
  • El que no has de fer mai si et roben el telèfon mòbil. 🔗enllaç


↑ Inici del bloc | ↑ Índex de la unitat

1.5 Mesures de seguretat en dispositius digitals propis

Les tecnologies de la informació i les comunicacions (TIC) són part indispensable del funcionament de l’Administració. La implantació de les TIC esdevé un element d’eficiència i modernitat que permet l’accés electrònic dels ciutadans als serveis públics per fer totes les seves gestions i tràmits, i afavoreix l'acostament de l’Administració als ciutadans.

S'haurà d’utilitzar l’entorn web de les eines de col·laboració corporatives quan hi accedeixi des d’un dispositiu personal.

Cal abstenir-se de fer ús de xarxes wifi públiques que no estiguin vinculades a la Generalitat de Catalunya, al sector públic o a les entitats locals o a xarxes no securitzades (com per exemple, xarxes wifi públiques de cibercafès, centres comercials, aeroports, hotels, etc.). Només està permesa si es disposa d'accés VPN.

S’han d’emprar les xarxes wifi securitzades de confiança que requereixin la introducció d'una contrasenya per establir connexió (per exemple, les xarxes domèstiques). Aquestes estan marcades amb un candau al costat del nom de la wifi.

Aquest tipus de xarxes wifi utilitzen com a mínim l’estàndard de seguretat WPA2 (amb usuari i contrasenya). Es recomana actualitzar aquesta contrasenya amb freqüència amb una clau robusta (el màxim de llarga).

Les credencials d’accés a l’estació de treball i a les aplicacions (identificador/contrasenya i certificat digital / número secret (PIN), certificats digitals, entre d’altres) són d’ús personal i intransferible.

Què hem de tenir en compte per protegir les dades?

vídeo 1

  • Evita emmagatzemar informació no relacionada amb les tasques i funcions que tens encomanades: en especial, la gravació de recursos multimèdia (vídeos, fotografies, música, etc.) als espais de xarxa corporatius.
  • Quant al programari, cal anar molt en compte amb els programes que s'instal·len en el dispositiu propi, sobretot si tenim usuaris que usen jocs o aplicacions no professionals, i cal evitar usar-los. Un exemple són els jocs (com ara Minecraft) que contenen programari maliciós (malware) en les versions de descàrrega o les extensions de navegador que s'han demostrat molt infeccioses:

  • Ets el responsable de la seguretat dels teus equips informàtics.
  • Utilitza l'adreça electrònica Gencat exclusivament en l’àmbit professional.
  • Mai no reenviïs missatges de contingut ofensiu o poc ètic, correu brossa, etc., que pugui malmetre la imatge de l’Administració.
  • Addicionalment, cal abstenir-se d'emmagatzemar informació en el disc local o en suports externs sense permís.



Compte! Que no et passi com a la Jordina.


↑ Inici del bloc | ↑ Índex de la unitat

1.6 Mesures de seguretat en dispositius digitals corporatius

Per tal d'evitar que persones alienes a la Generalitat de Catalunya puguin visualitzar informació del mitjà tecnològic o accedir-hi, sense autorització, només en els dispositius digitals corporatius, a banda de sistemes de bloqueig de dispositiu, es permetrà l'accés a través de VPN en determinats serveis (sistemes d'informació web intranet, aplicacions amb client pesant, servidor de fitxers corporatiu, etc.) si són necessaris per teletreballar i si esteu autoritzats.

Els dispositius digitals propis no es poden connectar als mitjans i equipaments corporatius i/o eines informàtiques mitjançant una VPN corporativa.

Addicionalment, cal abstenir-se de:

  • Emmagatzemar informació en el disc local o en suports externs sense permís.
  • Tractar informació del teu departament en equips o dispositius mòbils de propietat personal, excepte en el cas d'estar autoritzat per fer ús de mitjans tecnològics propis.

Per a funcions d’emmagatzematge, col·laboració, treball en equip, comunicacions, processament i aplicacions, entre d’altres, s'ha de fer ús dels espais digitals i eines que l’entitat posa a la seva disposició per processar dades de la Generalitat de Catalunya.

Aquestes es posen a disposició per tal de:

  1. Facilitar i millorar la comunicació, tant individualment com en grup.
  2. Promoure la mobilitat interna dins d’una seu o fora d’ella.
  3. Proveir de capacitats per treballar en equip ja sigui dins del seu àmbit o organisme, com transversal dins de la Generalitat i amb col·laboradors externs quan s’escaigui.
  4. Facilitar la interacció en remot amb persones o entitats externes a la Generalitat.

Davant l’ús de serveis al núvol, tot i que estiguin autoritzats, sempre pensa dues vegades la sensibilitat de la informació que hi emmagatzemes i a qui atorgues permisos per accedir-hi.

Espais de col·laboració

L'entorn Office 365 ofereix moltes eines i serveis que estan autoritzats i et permetran organitzar el teletreball. Amb Office 365 es pot:

  • Mantenir reunions a distància amb vídeo i xat
  • Planificar els objectius de treball
  • Organitzar i comunicar la compleció de les tasques assignades cada dia
  • Mantenir contacte amb la resta d'equip i compartir documentació editable d'un projecte
  • Tenir accés temporal a carpetes on desar la documentació.

Com compartir un document de manera segura amb l'emmagatzemament al núvol d'One Drive

vídeo 2

Espai e-Aprèn


Consulta consells sobre la temàtica de ciberseguretat dins el portal de continguts formatius d'eines de treball (accés amb credencials).


↑ Inici del bloc | ↑ Índex de la unitat

[FINAL DE BLOC] 💻 1. El lloc de treball


2. Precaucions pel que fa als riscos en l’ús de les eines TIC bàsiques



Quan s'utilitzen les eines TIC existeixen riscos en la seguretat dels sistemes que poden comprometre la informació o els equips d'una organització. En aquest cas, la persona usuària és l'última frontera de seguretat.

En aquest bloc s'explicaran els perills més comuns amb els quals es pot topar el personal d'una organització, i el camí per combatre i evitar aquests riscos, tot promovent la navegació segura a la xarxa.

2.1 Enginyeria social

L'enginyeria social és un mètode que consisteix a eludir els sistemes de seguretat amb enganys. El concepte enginyeria social es refereix a una sèrie de tècniques que s'utilitzen per tal d'obtenir, a través de l’engany, informació privada sobre el nostre entorn, i així poder fer atacs més sofisticats, com ara accedir als nostres sistemes o fer un robatori d'informació.

Un exemple de les tècniques d'enginyeria social que més s'utilitzen és la d'un presumpte treballador del banc que, bé telefònicament o mitjançant un correu electrònic, evidentment fraudulent, et demana dades sobre el teu compte bancari, sobre targetes de crèdit, contrasenyes, etc. Cal saber que el banc mai no es posarà en contacte amb nosaltres per demanar-nos aquest tipus de dades via correu o telèfon; així que, davant el dubte, no donis mai cap dada, i pregunta directament a l'oficina del banc on vas habitualment.

A través del correu electrònic o de les xarxes socials ens solen arribar molts atacs d'aquest tipus, com per exemple missatges que ens arriben amb un fitxer adjunt o ens indiquen que cal fer clic en un enllaç. El que pretenen és infectar l'ordinador amb algun tipus de programari maliciós per robar informació.

Els ciberdelinqüents cerquen informació sobre la teva vida personal o els teus dispositius a través de les dades públiques presents a Internet o amb enganys previs, per sobrepassar la seguretat dels sistemes i, d’aquesta manera:

  1. Robar dades personals (credencials d’accés a correus personals, xarxes socials, dades de targetes de crèdit, missatgeria electrònica, etc.).
  2. Robar informació confidencial que continguin els dispositius i que pugui ser rellevant per a l’Administració.
  3. Guanyar l'accés als sistemes d’informació corporatius a través de les teves claus d’accés.
  4. Infectar l'equip amb codi maliciós, la qual cosa podria provocar la pèrdua d’informació o, fins i tot, que espiessin tot el que fas sense que te n’adonessis.

Els enganys es poden produir fent ús de les noves tecnologies: webs falsos, correus de suplantació, missatges de WhatsApp, SMS, etc.

En el cas següent es mostra com els ciberdelinqüents fan ús de l'enginyeria social i suplanten un pretès servei de Microsoft a la Generalitat de Catalunya, que en realitat no existeix.



Recull de notícies que parlen de casos reals

  • Fals suport tècnic de Microsoft. 🔗enllaç
  • La directiva de la EMT imputada pel 'frau del CEO' nega que entrés en el compte un dia festiu d'agost. 🔗enllaç


↑ Inici del bloc | ↑ Índex de la unitat

2.2 Pesca de credencials, pesca per SMS i pesca per veu

La pesca de credencials (phishing) és una pràctica exercida a través d'Internet que consisteix a suplantar la identitat electrònica d'una organització determinada amb l'objectiu de convèncer algú perquè reveli informació confidencial com ara contrasenyes, dades de targetes de crèdit, de la Seguretat Social o números de comptes bancaris, que posteriorment seran utilitzats amb finalitats fraudulentes.

La pesca de credencials és un tipus d’atac molt utilitzat pels ciberdelinqüents. Els missatges de pesca de credencials semblen provenir d'organitzacions legítimes, com un departament de l'Administració o el teu banc. No obstant això, en realitat es tracta d'imitacions. Els correus electrònics sol·liciten amablement que actualitzis, validis o confirmis la informació d'un compte, i sovint suggereixen que hi ha un problema. Llavors et redirigeixen a una pàgina web falsa per tal de facilitar informació sobre el teu compte, la qual cosa pot provocar el robatori de la teva identitat.


Alerta de pesca de credencials!
Per saber-ne una mica més

Imagina que t'arriba aquest correu electrònic:

El correu és sofisticat, està escrit en català i fa referència al procés d'actualització del correu de la Generalitat.

En principi, sembla un correu poc sospitós. Si fessis clic on t’indiquen, et redirigiria cap a un web on t'hauries d’identificar amb les teves credencials d’accés del correu.

Això ja és més sospitós, però pots arribar a interpretar aquest fet com una capa més en la seguretat del sistema. ERROR! Així doncs, continues endavant amb el procés i t'indiquen que s'ha actualitzat el teu compte de correu satisfactòriament.

Una setmana més tard, es fan públiques dades confidencials publicades a la xarxa en les quals apareixen correus electrònics "pretesament" teus que comprometen el Departament. El que, en principi, va ser un procediment rutinari de manteniment, en realitat era un atac de pesca de credencials molt elaborat, i ara et trobes en un bon embolic.

Per aquest motiu és molt important verificar que l'adreça electrònica és de confiança i no sembla sospitosa. En aquest cas era evident que no era així (mailto:xxx@cerdanyola.cat), ni amb la signatura corporativa de correu corresponent.

Al començament del 2019 es va detectar una campanya d'enviament de correus electrònics fraudulents en què se suplantava l'Agència Tributària. El correu electrònic fals informava el contribuent que li corresponia un pretès reemborsament econòmic, i li proporcionava un enllaç a un web amb un formulari que tenia com a objectiu obtenir la seva informació personal i bancària.

El correu detectat que suplantava la identitat de l'Agència Tributària s'identificava amb l'assumpte "Missatge nou || [Codi numèric]". En aquest correu es comunicava a la persona destinatària que li corresponia un reemborsament de 350,16 euros.

Un altre punt que has de tenir en compte és que el correu electrònic no és l'única eina vulnerable a la pesca de credencials. L'ús habitual del mòbil també ha portat a modalitats vinculats a l'ús de missatgeria instantània, SMS o, fins i tot, ús de la veu en les trucades.

En cas d’haver introduït les credencials per error en el formulari, no pateixis, canvia immediatament la contrasenya compromesa en el portal d’autogestió de contrasenyes, així com en altres sistemes en què fessis servir la mateixa paraula de pas. I, finalment, notifica l’incident al Servei d'Atenció a l'Usuari (SAU).

Què hem de tenir en compte per no caure en enganys?

vídeo 3

  • No contestis en cap cas aquests correus.
  • Precaució en seguir enllaços de correus, encara que siguin de contactes coneguts.
  • Precaució a l’hora de rebre arxius adjunts de correus; encara que siguin de contactes coneguts, no els obris si no els esperes.
  • No omplis en cap cas formularis de webs sospitosos que demanin la introducció de credencials.
  • En cas de dubte, posa’t en contacte amb el Servei d'Atenció a l'Usuari (SAU) i notifica què t'has trobat.

* Pesca de credencials que suplantava la Generalitat de Catalunya i demanava credencials d'accés de l'adreça electrònica corporativa.

Necessites entrenar-te per detectar phishing? Revisa aquests exemples recents


Que no et donin gat per llebre

vídeo 4




Recull de notícies que parlen de casos reals

  • Quatre detinguts per una ciberestafa de 34.000 euros a una empresa. 🔗enllaç
  • Claus per detectar sms que suplanten el BBVA. 🔗enllaç


↑ Inici del bloc | ↑ Índex de la unitat

2.3 Programari de segrest

El programari de segrest (ransomware) és un tipus de programari maliciós, el qual, si infecta el teu ordinador, li donaria al ciberdelinqüent la capacitat, des d'una ubicació remota, de bloquejar, segrestar i/o xifrar els arxius de l'equip. Aleshores, el ciberdelinqüent podria exigir-te un rescat a canvi, per exemple, de la recuperació de tot allò que s'ha segrestat.

La via d’entrada del programari de segrest al teu ordinador pot ser un adjunt o enllaç dins un correu electrònic o mitjançant el teu navegador (si visites un web infectat amb aquest tipus de programari maliciós). També pot accedir al teu portàtil a través de la xarxa.

En els darrers anys es detecten campanyes de correus electrònics que suplanten a la “Administración Tributaria”. Aquest correu electrònic té l'assumpte “Comprobante Fiscal” i conté un enllaç de descàrrega que baixa un codi maliciós al dispositiu al fer clic.

L'advertiment, “el mensaje del correo insta al usuario a pulsar sobre el enlace, indicándole que se anexa un comprobante fiscal digital relacionado con una documentación pendiente de presentar”.

Si feies un clic descarregaves un arxiu amb un programari de segrest que xifrava tota la informació del sistema i exigia un pagament amb bitcoins per desxifrar les dades o els sistemes afectats.

N’hi ha que, un cop infecten la primera màquina, es propaguen a la resta d’equipaments connectats a la xarxa, sense cap intervenció per part dels usuaris, i exploten vulnerabilitats conegudes del programari.

El programari de segrest és un codi maliciós molt perillós, ja que pot acabar xifrant o segrestant les carpetes compartides de xarxa.

Com evitaries que això succeís?

  • Comprovant que la procedència del correu electrònic sigui de confiança.
  • Abstenir-se de respondre, obrir arxius adjunts i seguir o reenviar enllaços de correus d’origen sospitós.
  • No habilitant les macros de Microsoft Office per evitar que arxius Word o Excel amb macros malicioses xifrin els equips.
  • Emmagatzemar la informació a les carpetes de xarxa per garantir l’existència de còpies de seguretat.
  • El dispositiu tecnològic emprat per teletreballar haurà de tenir instal·lat programari antivirus, eines de neteja de programari maliciós / programari espia (spyware), i una política activa de pegats d’actualització.
  • Actualitzant les versions de programari de mòbils i tauletes corporatives periòdicament.
Habilitar les macros quan apareix la barra de missatges
La imatge que apareix a la barra de missatges quan hi ha macros a l'arxiu de Word o Excel rebut en un correu és un advertiment de seguretat. Quan habilitem el contingut donem confiança a l'arxiu.

Així mateix, si els dispositius (mòbils, tauletes, ordinador) són propis:

  • Mantenir els antivirus actualitzats de manera automàtica i programar escanejos periòdics.
  • Fer regularment còpies de seguretat en diversos dispositius, tenint-ne en compte algun d'emmagatzemament extern que no estigui connectat a Internet i amb USB de manera contínua.




Recull de notícies que parlen de casos reals

  • Ransomware, l’altra pandèmia.🔗enllaç
  • Hackers russos ataquen el sistema informàtic de l'hospital Moisès Broggi🔗enllaç


↑ Inici del bloc | ↑ Índex de la unitat

2.4 Correu brossa

Parlem de correu brossa (spam) quan s'abusa dels sistemes de missatgeria electrònica i s’envien missatges massius no sol·licitats de manera indiscriminada. La teva adreça electrònica, com la de la majoria, té un sistema de filtratge que impedeix que aquest tipus de correus ensorri la teva bústia, però en algunes ocasions aquest filtre no funciona de manera adequada i és important saber identificar el correu brossa. Els que fan correu brossa solen comprar bases de dades amb milers d'adreces electròniques per enviar publicitats i altres tipus de missatges, generalment enganyosos i molt molestos per als destinataris.

En essència, els correus brossa s’identifiquen amb facilitat, ja que són els correus desconeguts que intenten cridar l'atenció amb promocions, notícies extravagants o incentius.

Exemple de correu brossa

Factors que has de tenir en compte:

  • El correu brossa s'utilitza sovint per distribuir codi maliciós.
  • Pots acabar eliminant correus electrònics importants confonent-los amb correu brossa.
  • El correu brossa malbarata el teu temps. Si no tinguessis protecció anti-correu brossa, hauries de comprovar quin correu electrònic és correu brossa i després eliminar-lo.
  • Has de notificar al SAU si detectes que el filtre de correu brossa no funciona correctament. D'aquesta manera evitaràs que tornin a aparèixer els correus que has detectat.

A vegades, el correu brossa s’utilitza com a eina de màrqueting en un intent de promocionar un esdeveniment. Aquest tipus d’ús dona molt mala imatge a l’organització, i per tant cal evitar-ne la difusió. Igualment, has d’evitar ser víctima de les cadenes de missatges, ja que s'incentiva l’ús del correu brossa i se satura tots els contactes amb informació inservible o maliciosa des d’un usuari de confiança.

Missatges SMS on us arriba un codi de Whatsapp i no l’heu sol·licitat, pot ser per error o perquè algú està intentant apoderar-se del vostre compte. És important que estem atents i sospitem de SMS i missatges no esperats.
Augmenten les estafes per robatori de comptes

↑ Inici del bloc | ↑ Índex de la unitat

Primer de tot, els navegadors web hauran d’estar actualitzats i configurats amb la darrera versió i pegats de programari, excepte en els casos que els aplicatius de l’entitat requereixin una versió específica per al seu correcte funcionament.

Quan naveguis per la xarxa és important que ho facis de manera segura per evitar comprometre el teu equip amb els perills que hi ha a la xarxa. Alguns dels consells que hauries de seguir per navegar de manera segura són:

Quan naveguis per la xarxa has de procurar que les pàgines web tinguin xifrat HTTPS, per evitar que un ciberdelinqüent pugui interceptar i interpretar la informació. El protocol HTTPS és visible a l’inici de l'URL del web.

  • En el cas de fer ús de dispositius tecnològics corporatius, cal assegurar la desconnexió obligatòria amb el servidor de l’Administració de la Generalitat de Catalunya mitjançant processos que eliminin la possibilitat de reutilització de la sessió tancada un cop s’hagi finalitzat.
  • Desactivar les característiques de recordar contrasenyes del navegador en els mitjans corporatius (i recomanable en els propis).
  • Activar l’opció d’esborrat automàtic de la informació registrada: històric de navegació, memòria cau, galetes, contrasenyes, sessions autenticades, etc. També és recomanable si ets usuari d'un dispositiu propi.
  • En el cas dels dispositius tecnològics propis emprats per teletreballar, sempre que sigui possible utilitza el mode de "navegació privada", ja que aquest tipus de navegació no deixa traçabilitat.
  • És recomanable estar al dia de les actualitzacions d'antivirus als dispositius tecnològics propis.
  • Procurar fer cas del que l’antivirus adverteix, ja que avisa quan detecta que un web és maliciós o de poca confiança. D'altra banda, has de vigilar de no ser enganyat pels avisos falsos que intenten suplantar aquesta eina de suport.
  • A l’hora de compartir dades a la xarxa o comprar en línia, has d’assegurar-te que el web complexi els requisits següents: que tingui xifrat de dades HTTPS, que disposi d'una política de privacitat i que contingui algun segell de confiança que verifiqui un nivell adequat de seguretat al web.
El tràfic i/o esdeveniments generats pels dispositius digitals connectats a la xarxa de la Generalitat de Catalunya podran ser monitorats d’acord amb les polítiques corporatives amb l’objectiu de fer front a les amenaces de ciberseguretat.

Evitar pàgines web de poca confiança:

  • Has de procurar no fer difusió de notícies no contrastades. Internet és ple de notícies falses i difondre-les podria provocar la desinformació del personal de l’organització.
  • No descarregar extensions no autoritzades als navegadors web. Podrien contenir codi maliciós o vulnerabilitats de seguretat.
  • Evitar ser enganyat per anuncis emergents (pop-up) maliciosos. Aquests anuncis atrauen l’atenció de l’usuari amb rètols com el que pots veure a continuació:

  • Has d’evitar les comunicacions d'igual a igual (peer-to-peer, sigla P2P) no controlades, com les aplicacions de descàrrega uTorrent o eMule, les quals són una font de codi maliciós i arxius sospitosos.
  • No descarregar aplicacions mòbils falses o corruptes adquirides fora dels mercats oficials d’aplicacions (repositoris que no siguin de confiança o botigues no oficials). Per detectar si una aplicació és de confiança, baixada de Play Store o d'App Store, cal verificar el creador de l’aplicació i si hi ha un mínim de valoracions de descàrregues fetes.
  • Vigilar la suplantació d’identitat en grans webs. Sempre has de revisar que l’URL sigui l’adequat. Els ciberdelinqüents compren dominis d'Internet similars als de webs reconeguts per fer pesca o difondre programari maliciós a les persones que teclegen malament l'adreça.



Compte! Que no et passi com a en Joan.




Recull de notícies que parlen de casos reals

  • WhatsApp, en el punt de mira dels ciberdelinqüents.🔗enllaç
  • Elimina aquestes extensions de Chrome i Edge.🔗enllaç


↑ Inici del bloc | ↑ Índex de la unitat

2.6 Comunicar els incidents

  • Per tal de prevenir incidents de pesca de credencials, si es troba un missatge sospitós, o en cas de dubte, evitar accedir i compartir la informació que contingui i cal comunicar-ho.
  • Si fent ús de dispositius tecnològics corporatius detectes un incident de ciberseguretat, cal bloquejar o desconnectar de la xarxa intranet o extranet els aparells utilitzats per teletreballar, si aquests representen una amenaça per a l'Administració de la Generalitat de Catalunya.
  • Si experimentes qualsevol incident relacionat amb la seguretat de la informació, és molt important que ho notifiquis al SAU.
  • Comunicar-ho és molt important pel que fa a la continuïtat de l'organització i evitar que incidents similars es repeteixin entre els vostres companys.

Notifica les incidències al SAU
D'acord amb el procediment de gestió d'incidents, s'han de notificar les incidències que afectin la informació a:
sau.tic@pautic.gencat.cat

https://pautic.gencat.cat.

Al telèfon 900 828 282 (servei de 24 hores, 7 dies a la setmana).



↑ Inici del bloc | ↑ Índex de la unitat

[FINAL DE BLOC] ⚠️ 2. Precaucions pel que fa als riscos en l’ús de les eines TIC bàsiques



3. Gestionar dades personals, garantir la continuïtat i evitar pèrdues d'informació



La informació és un actiu vital per a qualsevol organització. El fet de desvetllar informació confidencial o interna a altres parts (per exemple, competidors, col·laboradors, etc.) pot esdevenir catastròfic per als objectius de l'organització. A més a més, la pèrdua d'informació (com podrien ser les dades personals) comporta danys a la imatge i a la credibilitat de l'administració. És necessari repassar els conceptes de la protecció de dades personals i la normativa aplicable en gestió de dades als departaments de la Generalitat de Catalunya. A més a més, difondre bones pràctiques en la gestió de dades personals a la feina.

3.1 Dades personals i mesures de ciberseguretat

Qualsevol informació relativa que t’identifiqui o que et faci identificable és una dada de caràcter personal. Encara que no tinguem el nom i cognoms d'una persona, disposem d'informació suficient per poder arribar a identificar-la.

Les dades personals engloben dades identificatives:

  • de característiques personals
  • de circumstàncies socials
  • acadèmiques i professionals
  • d'ocupació
  • econòmiques i financeres.

I també inclouen dades més sensibles com ara:

  • Dades d'especial protecció: dades de salut, opinions polítiques, afiliació sindical, violència de gènere, vida i orientació sexual, etc.
  • Dades biomètriques, obtingudes d'un tractament tècnic: imatges facials de reconeixement, dactilars, etc.
  • Dades genètiques, que són úniques per a cada persona.

Has de ser responsable de la seguretat de les dades personals que tractes i seguir els procediments establerts per donar compliment a la normativa segons els tractaments de dades establerts. Cal abstenir-se de tractar dades de caràcter sensible a través dels mitjans tecnològics propis emprats per teletreballar.

Només es poden tractar dades de caràcter confidencial o sensible amb prèvia autorització de l'organisme competent.

El tractament de dades, segons el RGPD, és l'operació o el conjunt d’operacions que duem a terme sobre les dades personals, com ara quan les consultem, registrem o comuniquem.

Si fins fa poc temps la legislació establia un catàleg de mesures de ciberseguretat que s'havien d'aplicar en virtut de la naturalesa i les finalitats de les dades, el RGPD i l'aplicació de la nova LOPDGDD obliga a fer una valoració dels riscos dels tractaments de dades i, en virtut d'aquesta, a través d'un enfocament basat en la proporcionalitat, adoptar les mesures de ciberseguretat adients.

Segons l'àmbit d'aplicació, aquestes mesures de ciberseguretat poden ser:
  • d'organització
  • de gestió
  • de protecció.

Revisa privacitat

vídeo 5




Recull de notícies que parlen de casos reals

  • Una vulnerabilitat de TikTok exposa dades de mil·lions d'usuaris de tot el món. 🔗enllaç
  • Accidents que posen en perill les dades corporatives durant el teletreball.🔗enllaç


↑ Inici del bloc | ↑ Índex de la unitat

3.2 On cal evitar compartir les dades

De vegades, no te n’adones i comparteixes informació involuntàriament amb persones o en zones inadequades, i aquesta informació es pot veure compromesa.

Per exemple, cal evitar parlar de feina quan quedes per esmorzar o dinar amb companys, o en espais com ara un ascensor: alguna persona podria aprofitar aquesta fuita d’informació no intencionada.

D'altra banda, també cal mantenir el secret professional com a membre d’una institució pública i, per tant, evitar parlar d’assumptes concrets de treball amb els amics. Algun amic, sense mala intenció, podria ajudar a algun tercer gràcies a la informació que li has proporcionat xerrant, per exemple, al gimnàs.

Tampoc no hauries d’emmagatzemar dades en programari no autoritzat, com pot ser el cas de Dropbox (no és un proveïdor de núvol autoritzat): quan comparteixes informació a través d'aquest servei, perds la traçabilitat de les dades i mai no pots estar segur de com es tracten.

A l’hora de compartir informació amb persones internes o externes al teu departament, ho has de fer amb les eines que aquest et proporciona, ja que, igual que en el cas anterior, es perd la traçabilitat de la informació i poses en perill les dades.

No has d’utilitzar adreces electròniques que no siguin de l’organització per enviar dades confidencials. Si el correu electrònic no et deixa enviar dades a certs contactes externs a l’organització, és per algun motiu de seguretat establert pel Departament i no l’has d’infringir. Si has de compartir dades amb un contacte bloquejat, has de parlar amb el responsable de la informació perquè t’autoritzi a fer-ho.


↑ Inici del bloc | ↑ Índex de la unitat

3.3 Les categories especials de dades

Les dades personals tenen moltes categories que cal considerar:

  • identificatives
  • de característiques personals
  • de circumstàncies socials
  • acadèmiques i professionals
  • d'ocupació
  • econòmiques i financeres.
Les dades que estan protegides especialment,
i que ara s'anomenen "categories especials de dades", són:
  1. dades especialment protegides
  2. dades biomètriques
  3. dades genètiques.


De quines dades estem parlant?

Dades identificatives Nom, cognoms, adreça postal, DNI, passaport, telèfon fix, telèfon mòbil, adreça electrònica, signatura, etc.
De característiques personals Estat civil, dades de família, data de naixement, edat, nacionalitat, llengua materna, pertinença a clubs i associacions, etc.
De circumstàncies socials Dades d'habitatge, situació familiar, propietats, aficions, estils de vida, pertinença a clubs i associacions, etc.
Acadèmiques i professionals Formació, titulacions acadèmiques, historial acadèmic, experiència professional, pertinença a col·legis o associacions professionals, etc.
D'ocupació

Professió, llocs de treball, dades no econòmiques de nòmina, etc.
Econòmiques i financeres Ingressos, rendes, inversions, béns patrimonials, crèdits, préstecs, jubilació, plans de pensions, dades econòmiques de nòmina, assegurances, hipoteques, subsidis, targetes de crèdit, etc.

Dades especialment protegides Dades sensibles o especialment protegides, com l'origen racial o ètnic, dades de salut, opinions polítiques, afiliació sindical, sobre religió o creences filosòfiques, sobre vida i orientació sexual, violència de gènere, etc.
Dades  biomètriques  Obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física, que permeten o confirmen la identificació única de la persona (imatges facials, dades dactiloscòpiques, etc.).
Dades genètiques Relatives a les característiques genètiques heretades o adquirides d'una persona física, que proporcionen una informació única sobre la fisiologia o la salut d'aquesta persona, obtingudes en particular de l'anàlisi d'una mostra biològica d'aquesta persona.



Recull de notícies que parlen de casos reals

  • L'Audiencia Nacional fixa la protecció de les dades del dopatge dels esportistes. 🔗enllaç
  • Sis mil·lions de multa a CaixaBank pel tractament il·lícit de les dades dels seus clients. 🔗enllaç


↑ Inici del bloc | ↑ Índex de la unitat

3.4 Com xifrar les dades

És important utilitzar el xifratge (encriptació) de dades quan enviem informació sensible o confidencial per correu electrònic, ja que podrien interceptar-la o podríem enviar informació confidencial a alguna persona no autoritzada sense adonar-nos-en. Per tant, s'ha de xifrar la informació i comunicar personalment a la persona involucrada, a través d'un mitjà diferent al de l'enviament de les dades, la contrasenya per desxifrar la informació.

1. Comprimir arxius amb contrasenya d’accés

Usa opcions de xifratge de 7Z, WinRAR o WinZIP quan hagis d'enviar per correu o per moure informació a través de llapis de memòria USB expressament autoritzats.



Com fer-ho?

  1. Selecciona un fitxer a xifrar (.doc, .xls, etc.).
  2. Opció: Afegir a 7Z > Afegir al fitxer > Tria Format de l'arxiu > Xifratge.
  3. > Introduïu la contrasenya i torneu a introduir la contrasenya per a la verificació.
  4. Especifica una contrasenya d’obertura segura (com més llarga, més segura).
  5. Es crea un arxiu nou empaquetat i xifrat que ja pots annexar al correu.
  6. Requereix que enviïs prèviament la contrasenya de xifratge i desxifratge a les persones que hauran de poder accedir a la informació. Aquest enviament, l'has de fer per un mitjà no informàtic (telèfon, SMS, en mà, per correu en sobre tancat i lacrat, etc.).
  7. Per recordar la contrasenya usa un gestor de contrasenyes, per exemple, KeePass Password Safe.
  8. Transferència segura per garantir la traçabilitat dels accessos a les dades de nivell alt (vigila les extraccions de dades de les aplicacions).

Tens un petit tutorial de com funciona a 7zip-es.updatestar.com.

2. Xifrar els documents de Microsoft Office amb les eines que et facilita

Les versions més recents de l'Office de Windows permeten el xifratge d'informació en el document mateix.



Com fer-ho?

  1. Opció: Fitxer > Informació > Protegeix el document > Xifra-ho amb contrasenya.
  2. Introdueix la contrasenya a la pantalla i torna a introduir-la per a la verificació.
  3. Especifica una contrasenya d’obertura segura (vegeu l'apartat "Contrasenyes") a la pantalla següent. Verifica la contrasenya.
  4. Requereix que enviïs prèviament la contrasenya de xifratge i desxifratge a les persones que hauran de poder accedir a la informació. Aquest enviament, l’has de fer per un mitjà no informàtic (telèfon, SMS, en mà, per correu en sobre tancat i lacrat, etc.).


↑ Inici del bloc | ↑ Índex de la unitat

3.5 Notificació d’incidències

Un incident és qualsevol situació en la qual les eines mitjançant les quals es poden fer els processos de negoci (activitat habitual diària) es veuen degradades o, fins i tot, sense possibilitat d’operació.

Alguns exemples:
  • Pèrdua de dispositiu, en cas de pèrdua o robatori.
  • Pèrdua de credencials.
  • Virus.

Un dels aspectes clau per garantir l’èxit de la gestió i la solució dels incidents és la rapidesa amb què es detecten i es notifiquen les incidències. Per això cal conèixer, en primera instància, quan s'experimenta una incidència, saber amb qui cal posar-se en contacte i per quin canal.

En cas d’incident de ciberseguretat s’ha de desconnectar de la xarxa el mitjà tecnològic i notificar-ho a través del Procediment de notificació d’incidents de ciberseguretat. En cas de pèrdua o robatori d'un dispositiu digital d'ús habitual, a més, s’ha de presentar una denúncia davant dels cossos de seguretat i, si es tracta d'un dispositiu digital corporatiu lliurar-ne una còpia a l’organisme competent.

Un cop l’afectat hagi presentat la comunicació i/o denúncia, els responsables TIC i/o l’Agència de Ciberseguretat de Catalunya podran prendre les mesures adients per protegir la informació dels dispositius digitals (per exemple, l'esborrat de les dades dels dispositius).

Recorda: davant de qualsevol sospita d’incident de ciberseguretat,
no ho dubtis, notifica-ho!

Tingues en compte que al SAU-Remedy totes les peticions s’han de demanar a partir de tres categories generals:

  • Avaria o mal funcionament: per reportar incidències.
  • Necessito saber: per fer consultes.
  • Necessito demanar: per fer sol·licituds.

Als canals del SAU:
Per correu electrònic sau.tic@pautic.gencat.cat
Pel web https://pautic.gencat.cat/
Per telèfon: 900 828 282.

Cal seguir les instruccions del Catalonia-CERT de l’Agència de Ciberseguretat de Catalunya en cas de detecció d’incidents de ciberseguretat.


↑ Inici del bloc | ↑ Índex de la unitat

3.6 On trobar la informació

La informació es pot reflectir en diversos formats, que has de poder tractar, classificar, arxivar i emmagatzemar, seguint les mesures de seguretat adients, segons la confidencialitat de la informació continguda.

T'has d'abstenir de tractar i emmagatzemar informació de la Generalitat de Catalunya en el disc local o en suports externs a través dels mitjans tecnològics emprats per teletreballar. Només pots emmagatzemar la informació en els espais habilitats per l'organisme competent (a dins de les aplicacions o a les carpetes de xarxa establertes).

Així mateix, has de tenir ben present que tampoc no pots fer còpies de seguretat en local de la informació de l’organisme competent en els mitjans tecnològics emprats per teletreballar.

  • Format digital: qualsevol document que tractis amb l’estació de treball, correu electrònic, dades que consultis o introdueixis en aplicacions corporatives, documents escanejats, etc.
  • Format no digital: qualsevol document en suport paper com ara factures, informes, llibres, tríptics, carnets, dossiers, cartes, notificacions, formularis, etc.

La informació digital cal que sigui tractada, editada i emmagatzemada a les carpetes de xarxa, al gestor de continguts i a les aplicacions que el teu departament posa a la teva disposició.

Si el teu mitjà tecnològic és corporatiu, t'has d'assegurar que els discs durs estan dotats dels mecanismes de xifratge corresponents.


↑ Inici del bloc | ↑ Índex de la unitat

3.7 Com protegir la informació digitalitzada

Quan vols protegir la informació no digitalitzada, cal que tinguis en compte tant l’emmagatzemament de la informació com la manera en què aquesta és transmesa.

Tant en la transmissió d’informació com en l’emmagatzemament, sempre cal que utilitzis les aplicacions i eines corporatives, que estan dissenyades tenint en compte els aspectes de seguretat adients.

És important que no utilitzis correus personals per transmetre informació confidencial i que sempre intentis emmagatzemar-la en alguna ubicació a la xarxa corporativa (per exemple, servidor de fitxers corporatiu, aplicacions corporatives, etc.), en lloc d’emmagatzemar-la al teu equip (disc dur de l’ordinador) o en un suport extraïble (DVD, memòria USB, disc dur extern, etc.).

Només es pot emmagatzemar la informació en els espais habilitats per l’organisme competent.
Atenció amb les dades confidencials

Has enviat algun document amb dades confidencials?

Per exemple tens un fitxer d'un diagnòstic mèdic que cal confirmar i cal enviar-lo per correu. Per enviar documents amb informació sensible, assegura’t que estiguin protegits amb contrasenya. Només el destinatari que tu triïs en tindrà accés. Envia'ls la contrasenya per un canal diferent (per exemple, un SMS o una trucada)



Compte! Que no et passi com a en Pere.


↑ Inici del bloc | ↑ Índex de la unitat

3.8 Recuperació de la informació. Còpies de seguretat

La informació digital que contenen els sistemes informàtics és sensible a ser modificada, esborrada o corrompuda per error humà, o de manera malintencionada. D'aquesta manera, les aplicacions corporatives o les persones que hagin d'utilitzar aquesta informació sensible no la podran fer servir.

Per tal d’evitar costos en la recuperació de la informació digital (de vegades, fins i tot, és impossible), cal fer còpies per emmagatzemar-la periòdicament en algun sistema diferent, que no estigui exposat a les mateixes amenaces de manera simultània. Aquestes còpies s'anomenen "còpies de seguretat" (backup, en anglès).

Les còpies de seguretat es fan de tota la informació continguda en carpetes de la xarxa corporativa (o en espais d'emmagatzemament habilitats en l'Office 365 que permeten sincronització, versions de documentació anterior, mantenir durant un temps els arxius esborrats, etc.). Per això és important abstenir-se de guardar en aquests espais continguts personals que no tenen relació amb la funció professional.

A més, cal abstenir-se de fer còpies de seguretat en local de la informació de l’organisme competent en els dispositius tecnològics emprats per teletreballar.

En cas d’haver de recuperar informació per pèrdua d’integritat, corrupció o per haver estat xifrada per un virus, cal demanar al SAU una recuperació de dades amb data anterior a la pèrdua i, un cop recuperada, fer els canvis necessaris per poder deixar novament la informació totalment actualitzada.



↑ Inici del bloc| ↑ Índex de la unitat

3.9 Ús de suports USB i dispositius digitals propis

L’ús de dispositius d’emmagatzematge extern queda limitat a les a dades que tinguin caràcter públic. El seu ús en la resta de casos serà excepcional, quan no es pugui utilitzar l’equipament assignat a l’empleat o bé accedir als espais o serveis corporatius, i en tot cas d’acord amb les instruccions de ciberseguretat vigents.

Si cal protegir aquesta informació emmagatzemada (de manera temporal o permanent), cal que el llapis de memòria se xifri amb un mètode suficientment robust, perquè sigui resistent a atacs de força bruta o intents d’accés no autoritzat.

Existeixen eines alternatives com ara Veracrypt (en aquest enllaç hi ha un petit tutorial de com usar-lo).

Aquests mètodes de xifratge estan disponibles per a les persones usuàries de l’Administració. En cas que sigui necessari, cal que la persona interessada es posi en contacte amb el responsable TIC del Departament o el SAU.

A l'últim, dispositius digitals propis, requereixen manteniment, configuració i actualització si volem accedir de manera segura a les eines de treball.

Cal seguir algunes recomanacions per als mòbils:

  • Actualització del sistema operatiu i de les aplicacions a les últimes versions.
  • Establir el bloqueig automàtic en un minut. Es recomana també treure les notificacions d'aplicacions del primer pla.
  • Ús d'un PIN de desbloqueig credencial per accedir al dispositiu.
  • Vigilar els permisos que s'atorguen a les aplicacions instal·lades.
  • En cas de tenir dispositiu mòbil corporatiu, no s'ha d'alterar la configuració predefinida d'acord amb els estàndards tècnics i requeriments de negoci, així com la configuració d’arrencada.
  • Cal evitar realitzar comunicacions d’informació, sobretot aquelles que continguin dades de caràcter personal i aquelles classificades com a confidencials o sensibles, a través del dispositiu mòbil, llevat que aquestes estiguin configurades amb mecanismes que garanteixin el xifrat de les comunicacions.

Els responsables TIC i de ciberseguretat us poden requerir modificar la configuració del dispositiu digital per garantir la seguretat i la privadesa, així com per facilitar l’accés als recursos corporatius. Les condicions d’ús dels dispositius digitals propis es fixen per la Generalitat de Catalunya mitjançant els serveis de gestió TIC i de ciberseguretat i requereixen de la teva acceptació expressa per teletreballar.

Parlem de… dispositius al dia

vídeo 6

Normativa aplicable

Anar al web del Departament > Menú Departament > Apartat Protecció de dades. Per exemple,Protecció de dades del Departament de Justícia.


↑ Inici del bloc | ↑ Índex de la unitat [FINAL DE BLOC]

Torna a munt
× Tanqueu els crèdits
Autoria i llicència
  • Autors: Escola d'Administració Pública de Catalunya, Agència de Ciberseguretat de Catalunya i Servei de Prevenció, Salut Laboral i Polítiques Socials de la Generalitat de Catalunya.
  • Coordinació tècnica i pedagògica: Escola d'Administració Pública de Catalunya.
  • Les il·lustracions de la unitat 3 han estat elaborades per Roger Velàzquez Ballobar, de DBòlit, SCCL.

L'Escola d'Administració Pública de Catalunya, amb la voluntat de contribuir a la lliure difusió del coneixement i seguint el que estableix la Recomanació de la Comissió Europea sobre gestió de la propietat intel·lectual, difon aquests materials sota una llicència creative commons by-nc-sa, cosa que n'autoritza l'ús:

  • citant-ne font i autoria;
  • amb finalitats no comercials;
  • per fer-ne obres derivades que compleixin les condicions anteriors i es difonguin amb el mateix tipus de llicència

Llicència de Creative Commons
Aquesta obra està subjecta a una llicència de Reconeixement-NoComercial-CompartirIgual 4.0 Internacional de Creative Commons