Creix amb Internet: Seguretat de la Informació per a Autònoms i Pimes
-
Upload
barcelona-activa -
Category
Business
-
view
215 -
download
3
description
Transcript of Creix amb Internet: Seguretat de la Informació per a Autònoms i Pimes
CREIX
AMB
INTERNET
Seguretat de la Informació per a Autònoms i Pimes Jordi Batlle ([email protected])
Seguretat de la Informació per a Autònoms i Pimes
•El valor de la informació que tenim a la nostra
empresa
•Amenaces
•Suplantació d’identitat
•Proteccions bàsiques
•Compte amb els SmartPhones
•Altres riscos
•LOPD per a microempreses
Seguretat de la Informació per a Autònoms i Pimes
El valor de la informació que tenim a la nostra
empresa •Quin valor té un ordinador en relació a les dades que emmagatzema?
•Què passaria en el cas que perdés les dades del meu ordinador d’empresa?
•Què passaria si les dades del meu ordinador arribessin a males mans?
•Quin valor li dono a les dades en relació al meu negoci?
Seguretat de la Informació per a Autònoms i Pimes
Quines dades hi ha al meu ordinador?
•Clients i proveïdors
•Correu electrònic
•Projectes
•Ofertes, documents del negoci
•Comptabilitat, documents fiscals
•Catàlegs, Fotografies
•…
Seguretat de la Informació per a Autònoms i Pimes
Però també...
•Paraules de pas (contrasenyes)
•Claus WIFI
•Targetes de crèdit
•Signatura electrònica
•Amb validesa legal !
•…
Seguretat de la Informació per a Autònoms i Pimes
Amenaces Físiques
•Robatori
•Tall de subministrament elèctric
•Sobrecàrrega elèctrica o llamps
•Cops, caigudes
•Aigua o líquids en general
Seguretat de la Informació per a Autònoms i Pimes
Amenaces Humanes
•La majoria d’amenaces vénen de dins de la organització
•Involuntàries
•Voluntàries
•Robatori de dades
•Esborrat de dades
•Inconsistència de dades
•Canvis en les dades
•Enginyeria social
•Som massa crèduls
•Correus sospitosos i altres tècniques
•De mica en mica s’omple la base de dades
Seguretat de la Informació per a Autònoms i Pimes
Amenaces per Virus
•Fuita de dades
•Captura d’usuaris i claus
•Captura d’àudio i vídeo
•Inhabilitació de l’ordinador
•Esborrat de dades
•Ús de l’ordinador per part de tercers
•Operacions fraudulentes
•Atacs massius
Seguretat de la Informació per a Autònoms i Pimes
Ull amb la WIFI
•Els xifrats WEP no són segurs
•WEP es pot interceptar en pocs minuts amb eines standard i
lliures
•Cal usar WPA2
•Els virus poden capturar les claus que es guarden al sistema
operatiu
•Accedir a la WIFI pot significar accés al nostre ordinador
•La compartició de fitxers molts cops és oberta
Seguretat de la Informació per a Autònoms i Pimes
Practica 1
•Anàlisi de riscos i amenaces
•Farem una llista de tipus de dades que tenim al nostre ordinador
•A cada tipus de dades li assignarem una criticitat i una llista
d’amenaces
•Posta en comú i debat sobre la probabilitat que una amenaça es
materialitzi
Seguretat de la Informació per a Autònoms i Pimes
Identitat de persona física, de marca o empresa
•La identitat a Internet és la nostra imatge
•Cal tenir-ne cura i fer-ne un seguiment periòdic
•Hem de prendre mesures per evitar-ne la suplantació
•Registrar la marca (www.oepm.es, 140€ o 120€ per internet)
•Registrar el domini d’Internet (al vostre proveïdor habitual)
•Fer l’alta dels serveis abans que un altre ens pugui agafar el nom
Us hi heu trobat?
Exemple, registrar una
marca
Seguretat de la Informació per a Autònoms i Pimes
Creació de comptes amb el nostre nom sense
consentiment
•A Internet tothom és lliure de crear els comptes que desitgi
•En la majoria dels casos no podem reclamar si no és que hi ha
difamació, generació de mala imatge o s’ha produït algun delicte
•Cada servei disposa d’un sistema diferent per a reclamar una identitat
•La millor protecció és tenir la marca registrada
Seguretat de la Informació per a Autònoms i Pimes
A Internet, ningú sap que ets un gos.
Seguretat de la Informació per a Autònoms i Pimes
Robatori de comptes
•Comptes de correu electrònic o xarxes socials
•Caldrà demostrar que som els veritables propietaris del compte
•La millor estratègia és una bona protecció, per exemple amb una bona
contrasenya
•Numero de telèfon mòbil, correu electrònic alternatiu, preguntes de
seguretat...
•Ull amb les opcions “recordar contrasenyes”
•Exemple: esborrar contrasenyes i desactivar recordar contrasenyes
•Internet Explorer
•Mozilla Firefox
My account has been hacked !
Seguretat de la Informació per a Autònoms i Pimes
Suplantació de pàgines web
•Tenim la marca o nom comercial registrats?
•Tenim el domini registrat?
•Pàgines molt treballades que són en molts casos difícilment distingibles de
l’original
•Normalment, correus electrònics que ens demanen que hem de canviar
claus o similars
•Poden fer referència a un problema de seguretat
•Un banc mai demana les claus per correu electrònic
•En cas de dubte, sempre contactar primer amb l’entitat per informar-nos
Seguretat de la Informació per a Autònoms i Pimes
Pesca electrònica (phishing)
•Afecta majoritàriament a webs bancàries
•Pàgines molt treballades que són en molts casos difícilment distingibles de
l’original
•Normalment, correus electrònics que ens demanen que hem de canviar
claus o similars
•Poden fer referència a un problema de seguretat
•Un banc mai demana les claus per correu electrònic
•En cas de dubte, sempre contactar primer amb l’entitat per informar-nos
Seguretat de la Informació per a Autònoms i Pimes
Com denunciar una suplantació
•Cada proveïdor te el seu protocol de denúncia per poder recuperar o esborrar
el perfil suplantat
•En cas de danys morals, d’imatge o d’altres, denunciar-ho al cos de Mossos
d’Esquadra
•Sense denúncia no hi pot haver investigació
•Això també ens protegeix de possibles càrrecs si es produeix un delicte des del
perfil suplantat
La mentida més repetida:
He llegit i accepto els termes i les condicions d’ús
Seguretat de la Informació per a Autònoms i Pimes
Alguns exemples
•Gmail
•Hotmail
Seguretat de la Informació per a Autònoms i Pimes
Proteccions bàsiques
•Les contrasenyes
•Els correus sospitosos i els fitxers adjunts
•Còpies de seguretat (locals, al núvol)
•Els pegats del sistema i les actualitzacions de les aplicacions
•Antivirus
•Xifrat de dades
•Destruir les dades dels suports que ja no usem
Seguretat de la Informació per a Autònoms i Pimes
Les contrasenyes, paraules de pas o
passwords •Les 5 pitjors contrasenyes, estudi del 2011
•password, 123456, 12345678, qwerty, abc123
•Mínim 8 dígits
•Cal barrejar majúscules, minúscules, nombres i algun símbol.
•Canviar la contrasenya periòdicament
• O quan sigui necessari
•Ull amb “recordar contrasenyes”
•Exemple, crear contrasenyes
Aquest podria ser un exemple de contrasenya forta: Aps1@d0f
Seguretat de la Informació per a Autònoms i Pimes
Els correus sospitosos i els fitxers adjunts
•Cal esborrar els correus sospitosos sense obrir-los
•Remitent desconegut
•Idioma no habitual
•Títol en blanc o amb redactat sospitós
•Si decidim obrir-lo
•Ull amb les faltes d’ortografia o expressions extranyes
•Molta precaució amb els enllaços i els fitxers adjunts
•Els duros a quatre pessetes no existeixen
Cal usar el sentit comú, l’antivirus ens pot ajudar però no és infalible !
Seguretat de la Informació per a Autònoms i Pimes
Les còpies de seguretat
•Cal fer còpies per garantir la perdurabilitat de les dades i la estabilitat del
negoci
•Còpies manuals
•Còpies automàtiques
•En suport local
•Al núvol
•Es recomana desar les còpies en un lloc segur fora del local on és
l’empresa
•Es recomana fer rotació de còpies per solventar errors que puguin sorgir
“massa tard”
•Exemple: creació d’una carpeta dropbox
Seguretat de la Informació per a Autònoms i Pimes
Els pegats i les actualitzacions
•Ens ajuden a “tapar” els forats de seguretat trobats fins al moment
•Del sistema
•Actualitzacions automàtiques
•De les aplicacions
•Java, Acrobat reader, Office, Flash...
És important realitzar les actualitzacions, dediquem-li el temps necessari
Seguretat de la Informació per a Autònoms i Pimes
L’antivirus
•Eina imprescindible de prevenció i d’aturada d’infeccions
•Cal tenir-ne un i mantenir-lo actualitzat
•Poden ser de pagament o gratuïts
•Avast, NOD32, Norton/Symantec, Mcafee...
És millor tenir un mal antivirus que no tenir-ne cap
Seguretat de la Informació per a Autònoms i Pimes
El tallafocs
•Controla les connexions del nostre ordinador amb l’exterior
•De fora cap a dins
•Atacs provinents d’altres ordinadors de la xarxa
•De dins cap a fora
•Els virus volen connectar-se amb el seu servidor central
•Amb el tallafocs poden veure i controlar aquestes connexions
Seguretat de la Informació per a Autònoms i Pimes
El xifrat de les dades
•Per a dades importants o confidencials
•Quan son al nostre ordinador, per evitar consultes en cas de robatori
•Quan les duem en un dispositiu tipus pen-drive amb risc de perdre-les
•Programari gratuït, p.e. TrueCrypt
Seguretat de la Informació per a Autònoms i Pimes
Destruir les dades dels suports que ja no usem
•Assegurem-nos que tot el contingut ha estat esborrat
•Quan llencem o donem un ordinador
•Quan deixem o donem pen-drive, ens podem trobar amb sorpreses
•Mètode senzill: formatar els suports o destruir-los en cas del CDs, DVDs, ...
Seguretat de la Informació per a Autònoms i Pimes
Practica 2
•Eines de programari lliure
•Antivirus
•Còpies de seguretat
•Xifrat de dades
•Crear un volum xifrat amb TrueCrypt
Seguretat de la Informació per a Autònoms i Pimes
Compte amb els SmartPhones
•Dades més usuals que portem al mòbil
•Bloqueig del terminal
•Còpia de les dades
Seguretat de la Informació per a Autònoms i Pimes
Dades que portem al mòbil
•Agenda de telèfons i adreces
•Calendari
•Fotos i vídeos
•Música
Seguretat de la Informació per a Autònoms i Pimes
Bloqueig del terminal
•Amb el PIN no n’hi ha prou
•Sistemes amb teclat
•Sistemes amb dibiux
Ens hi va la confidencialitat de les nostres dades !
Seguretat de la Informació per a Autònoms i Pimes
Còpia de les dades
•Dades al núvol
•Dades internes
•Targetes de memòria
•Exemples: Android i iPhone
Seguretat de la Informació per a Autònoms i Pimes
Practica 3
•Elaboració d’un micro-pla de seguretat
•Sobre les dades de l’anàlisi de riscos
•Definir quines mesures prendrem, el seu calendari d’implementació i
freqüència de repetició si s’escau (política de seguretat)
•Posta en comú i debat sobre les polítiques adoptades per cadascun dels
assistents
Seguretat de la Informació per a Autònoms i Pimes
Altres riscos
•Sancions relacionades amb la LSSICE i LISI
•Dades del propietari a la web
•Correus electrònics amb publicitat “publi”
•Regulació de les targetes de crèdit
•Normativa PCI
Seguretat de la Informació per a Autònoms i Pimes
LOPD per a microempreses
•Què he de tenir en compte
•Quins recursos li he de dedicar
•Esquema bàsic per a una microempresa
Seguretat de la Informació per a Autònoms i Pimes
LOPD
La llei de protecció de dades crea un mecanisme de control dels ciutadans
sobre els usos i finalitats d’ús de les seves dades personals.
Es basa en l’article 18.4 de la constitució espanyola:
“La ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus
derechos”
Seguretat de la Informació per a Autònoms i Pimes
Conceptes clau de la LOPD
Recollida de
les dades:
Deure
d’informació
Tractament de
les dades:
Principi de
finalitat
Cessió de les
dades:
Principi de
consentiment
Encarregat
del
tractament:
contracte
article 12
Seguretat de la Informació per a Autònoms i Pimes
Fitxers i tractaments
•Concepte de fitxer o tractament
•Conjunt de dades que s’usen per a una finalitat
•Fitxer automatitzat o manual, el paper també és important
•Manipulació de dades per a una finalitat
Seguretat de la Informació per a Autònoms i Pimes
Què són dades personals?
•Definició del reglament
•Datos de carácter personal: Cualquier información numérica, alfabética, gráfica,
fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas
identificadas o identificables.
•La llei no afecta a les dades de persones jurídiques o d’autònoms quan actuen
com a empresa.
Seguretat de la Informació per a Autònoms i Pimes
Nivells de seguretat LOPD
•Nivell Baix
•Aplicable a tots els fitxers o tractaments que contenen dades personlas.
•Nivell Mitjà
•Dades financeres
•Dades que permeten definir un perfil (currículums)
•Nivell Alt
•Dades especialment protegides
•Salut, afiliació sindical, origen racial, ideologia, ...
Seguretat de la Informació per a Autònoms i Pimes
Declaració de fitxers i tractaments
•Pas previ al tractament de les dades
•Les pimes registren els seus fitxers a l’agència espanyola de protecció de
dades
•La declaració conté per a cada fitxer
•Nom del fitxer o tractament
•Finalitat
•Nivell de seguretat
•Responsable
•Estructura
•Col.lectiu de qui es recullen les dades
•Mètode de recollida de les dades
Seguretat de la Informació per a Autònoms i Pimes
Questions importants
•Finalitat
•Informació
•Consentiment
•Cessió de dades
•Ull amb el consentiment
•Exercici de Drets
•Accés
•Rectificació
•Cancelació
•Oposició
Seguretat de la Informació per a Autònoms i Pimes
L’encarregat del tractament
•És la figura del tractament externalitzat de les dades
•Gestoria
•Agència de publicitat
•Les nostres dades són tractades per algú que no som nosaltres
mateixos
•Però amb la mateixa finalitat
•I amb un contracte de servei (article 12) que inclogui les clàusules LOPD
Seguretat de la Informació per a Autònoms i Pimes
Serveis sense accés a dades
•Necessaris però sense necessitat d’accedir a les dades
•Neteja
•Manteniment
•Contracte de confidencialitat i prohibició explícita d’accés a les dades
personals
Seguretat de la Informació per a Autònoms i Pimes
Mesures de seguretat (I)
•Nivell Baix
•Formació
•Identificació d’usuaris
•Control d’accessos
•Caducitat de les paraules de pas (max. 1 any)
•Registre d’incidències
•Gestió de suports (identificació, sortida, trasllat,
eliminació)
•Copies de seguretat setmanals com a mínim
•Procediment de recuperació de les copies
Seguretat de la Informació per a Autònoms i Pimes
Mesures de seguretat (II)
•Nivell Mitjà
•Responsable de seguretat
•Auditoria obligatòria cada 2 anys com a mínim i quan hi ha canvis
significatius
•Control d’accés físic
•Nivell Alt
•Registre d’accessos
•Encriptació de suports quan surten de les instalacions
•Una còpia de seguretat i manual de recuperació fora de les instalacions
Seguretat de la Informació per a Autònoms i Pimes
El document de seguretat (I)
•En què consisteix?
•Posar per escrit el que hem decidit implantar per al compliment de la
LOPD
•Mesures tècniques i organitzatives
•Registre de l’activitat per al que fa a les dades personals
•Quines dades es tracten externament i quin contracte en fa referència
•És un document viu !!!
Seguretat de la Informació per a Autònoms i Pimes
El document de seguretat (II)
•Contingut
•Estructura de fitxers i descripció dels sistemes
•Definició de responsabilitats, drets i deures
•Procediments (exercici de drets, gestió d’incidències...)
•Procediment de còpia i recuperació de les dades, gestió de suports
•Procediment de “mobilitat de la informació” i destrucció de suports (informàtics o
en paper)
•Polítiques (usuaris, paraules de pas...)
•Formularis (autoritzacions, registres...)
... i s’ha de revisar quan hi ha canvis !
Seguretat de la Informació per a Autònoms i Pimes
Sancions aplicables (I)
•Infracció lleu
•Entre 600 i 6000 euros
•No informar de la recollida de dades
•No tenir els fitxers registrats
•No atendre l’exercici de drets
•Infracció greu
•Entre 6000 i 60000 euros
•Recollida de dades sense consentiment exprés
•Obstaculització de l’exercici de drets
•Vulneració del deure de secret
•No implantar les mesures de seguretat establertes per el
reglament
Seguretat de la Informació per a Autònoms i Pimes
Sancions aplicables (II)
•Infracció molt greu
•Entre 60000 i 600000 euros
•Recollida de dades de forma enganyosa
•La comunicació o cessió de dades fora dels casos en que és
permès
Ull amb les cessions de dades, cal consentiment !
Seguretat de la Informació per a Autònoms i Pimes
Practica 4
•LOPD
•Identificació i declaració de fitxers
•Drets
•Mesures de seguretat bàsiques
•Parlem del document de seguretat
Seguretat de la Informació per a Autònoms i Pimes
Les enquestes !
Barcelona Activa, Febrer 2012