Modificació inminent de l'ENS

Recent publicat l’esborrany del Projecte de Real Decret de modificació del RD 3/2010 en el qual es regula l’Esquema Nacional de Seguretat, que tot i haver tingut una revisió al 2015, aquesta estava ja força desfasada, des de Infordisa hem decidit fer una sèrie d’articles en el que analitzarem la nova llei en profunditat.

Logo de esquema nacional de seguridad

En aquest primer article parlarem sobre com la imminent modificació de la llei, per fi aclareix el com repartir els diferents Rols i Responsabilitats a l’Entitat, ja que és un dels temes que més dubtes genera alhora d’establir les bases del nostre SGSI (Sistema de Gestió de Seguretat de la Informació) en les entitats amb pocs recursos com Ajuntaments de menys de 20.000 habitants o als Consells Comarcals.

L’article 11 parla sobre la Diferenciació de Responsabilitats de seguretat:

Citem textualment:

Artículo 11. Diferenciación de responsabilidades.

1. En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.

2. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

3. La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.

Ara si, al punt 1 es fa referència al responsable del sistema, que a l’antiga llei RD 3/2010, no sortia a l’article 10: Seguridad como función diferenciada, on només parlava del Responsable de la Informació, Responsable del Servei i Responsable de la Seguretat. Al aparèixer en aquest article indica implícitament la obligatorietat de fer el nomenament corresponent, cosa que al no aparèixer a l’antiga versió de l’ENS, quedava a l’aire sobre si era obligatori designar-lo o no.

El punt 2, indica que la figura de responsable de seguretat estarà diferenciada del responsable de la prestació del servei (responsable del sistema). Això, a priori, pot semblar que “complica” les coses a les administracions petites i amb pocs recursos, on només hi sol haver una sola persona al capdavant de les tasques d’IT, on si assumeix totes dues responsabilitats, entraria en clar conflicte amb aquest article. No obstant, l’article 13, ens torna a aclarir situacions com aquesta. Citem de nou:

Artículo 13. Organización e implantación del proceso de seguridad

(…)

2. La política de seguridad, en aplicación del principio de diferenciación de responsabilidades a que se refiere el artículo 11 y según se detalla en la sección 3.1 del Anexo II de este real decreto, deberá identificar inequívocamente a los responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización, distinguiendo los siguientes roles:

a) El responsable de la información determinará los requisitos de la información tratada.
b) El responsable del servicio determinará los requisitos de los servicios prestados.
c) El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.

Fins aquí no indica res nou que no s’hagi desenvolupat a la guia CCN-STIC 801, però està bé que quedi ben especificat a la llei en un article. Seguim:

d) El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema, de la supervisión de la operación diaria del mismo pudiendo delegar en administradores u operadores bajo su responsabilidad.

Aquest punt aclareix que en cas de no poder disposar de recursos propis (personal) es podrà externalitzar aquesta responsabilitat a una empresa externa a través de contractació d’aquest servei, sent aquests els encarregats d’implementar la seguretat establerta (que prèviament haurà decidit el Responsable de Seguretat), i de la supervisió en l’operació diària. Cal matisar que donada la llei de contractació del sector públic, si es recorre a externalitzar aquesta figura, s’haurà de licitar el servei per la durada que es decideixi.

3. El responsable de la seguridad será distinto del responsable del sistema, salvo en aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que, de manera temporal, ambas funciones recaigan en la misma persona.

Un cop més, recalca que la figura del responsable de seguretat serà diferent a la del Responsable del Sistema, però aquest cop “flexibilitza” l’incompliment de l’article 11 que comentàvem abans, permetent que en situacions en entitats petites amb recursos limitats, de forma excepcional, justificada i de manera temporal (i recalquem temporal), aquestes figures poden recaure sobre la mateixa persona. És molt probable que l’Auditor que ens vingui a certificar el nostre SGSI, a la primera auditoria ens ho passi indicant que caldrà resoldre-ho abans de la propera auditoria externa (bianual).

4. Una instrucción técnica de seguridad regulará el Esquema de Certificación de Responsables de la Seguridad, que recogerá las condiciones y requisitos exigibles en esta figura.

Aquest punt es força sorprenent, ja que indica per primer cop que la figura del Responsable de la Seguretat estarà Regulada mitjançant una ITS (Instrucció Tècnica de Seguretat), i és més que probable que igual que passa amb el DPD, aquesta figura haurà d’estar Certificada (CISO) per alguna entitat externa (ENAC, Ecouncil, IQNet, AENOR…), obligant així que aquesta figura, que te la responsabilitat de determinar els requisits de seguretat, supervisar la seguretat i en definitiva, “dirigir la batuta” del SGSI, estigui ben format i preparat per garantir la seguretat i benestar dels sistemes de la informació de l’entitat.

5. En el caso de servicios externalizados, salvo por causa justificada y documentada, la organización prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) de Seguridad de la información, que cuente con el apoyo de los órganos de dirección, y que canalice y supervise, tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solución que provea, como las comunicaciones relativas a la seguridad de la información, así como la gestión de los incidentes para el ámbito del servicio que provea.

Este POC de seguridad, será el propio Responsable de Seguridad de la organización contratada o formará parte de su área o tendrá comunicación directa con la misma. Todo ello sin perjuicio de que la responsabilidad última resida en la entidad del sector público destinataria de los citados servicios.

Aquest punt parla bastant per si sol, i és bo que s’hagi d’indicar quins seran els punts de contacte amb els responsables de seguretat dels serveis externalitzats i establir la metodologia de comunicació per garantir el compliment de la seguretat en els serveis prestats. També dona a entendre la possibilitat d’externalitzar la figura del responsable de seguretat, tot i que la responsabilitat última recaigui en la pròpia entitat. Si contextualitzem aquest dos punts amb altres lleis d’aquest 2021 com és la 43/2021 en el que entre altres coses estableix les funcions del Responsable de la Seguretat de la Informació en les empreses de serveis essencials, és probable que obtinguem pistes sobre com anirà aquesta Instrucció tècnica de Seguretat que fa referència el punt 4.

A Infordisa disposem de consultors i tècnics especialitzats, certificats i amb gran experiència per poder assumir tant la figura de Responsable de la Seguretat com la figura de Responsable del Sistema i alhora garantir l’article 11: Diferenciación de Responsabilidades. Podeu posar-vos en contacte amb nosaltres ja sigui a través del següent formulari o amb un dels nostres comercials d’INFORDISA per a obtenir mes informació sobre aquests serveis.

Necessites ajuda amb l’ENS?

    9 consells navegar segur

    9 consells per navegar segur

    Avui, 17 de maig, dia Internacional d’Internet, volem compartir amb tu alguns consells perquè la teva navegació sigui segura i poder evitar riscos.

     

    1

    Conscienciació

    Tots som víctimes potencials. Quan accedim a Internet, hem de prendre consciència dels riscos a què ens exposem. És fonamental ser acurat i previngut amb les pàgines que visitem i els arxius que descarreguem.

     

    2

    Certificat de seguretat

    Totes les transaccions s’han de fer amb certificat de seguretat HTTPS. Navegar i fer compres en llocs web que utilitzen aquests certificats, proporciona una capa més de protecció, ja que les dades es transmeten de manera xifrada.

    3

    Evitar el Phishing

    Que no et pesquin! Assegura’t que el link al qual accedeixes o que el remitent del correu són els que realment fingeixen ser. No introdueixis dades si tens cap dubte. I recorda que el teu banc mai et sol·licitarà dades via email.

     

    4

    Precaució amb els correus

    És una de les principals vies de recepció de malware i virus. Desconfia de missatges o arxius adjunts d’adreces desconegudes, o de correus que tu no hagis sol·licitat.

     

    5

    Un bon antivirus

    Un bon software de seguretat, i mantenir-lo sempre actualitzat, és una de les principals mesures que es poden prendre per evitar ser víctimes d’un ciberatac.

     

    6

    Seguretat en tots els teus dispositius

    Amb l’auge de l’Internet de les Coses (Iot), hem de fer extensible la seguretat a tots els dispositius connectats, rellotges, Smart TV, consoles, etc. Assegura’t, en adquirir el teu nou dispositiu, que està creat des de Security by Design, això et garantirà que incorpora mesures de protecció i que ha estat desenvolupat amb components segurs i correctament auditats.

     

    7

    Actualització del software

    Tant del Sistema Operatiu com de la resta d’aplicacions / programari. També cal estar al corrent de la discontinuïtat del suport d’aquest programari, amb la finalitat de buscar alternatives que ens garanteixin la seguretat.

    8

    Equips i wifis de confiança

    Les compres, les transaccions bancàries i la resta de temes importants, és millor realitzar-los sempre des de dispositius i xarxes de confiança.

     

    9

    Noves solucions de seguretat

    La ciberseguretat evoluciona constantment per donar resposta a les noves amenaces. Les organitzacions han de ser especialment proactives en la incorporació dels últims avenços en tema de seguretat. Hem d’incorporar contínuament les noves solucions.

     

    treball-COVID-infordisa

    Abans de la pandèmia només 2 de cada 10 treballadors tenien l’opció de teletreballar i només el 4% d’empreses disposaven de sistemes i infraestructura preparada per realitzar teletreball.

    Des del març a causa de la COVID va començar a implementar-se el teletreball de forma ràpida i amb molt poca organització, i moltes empreses no van pensar prou en la ciberseguretat. A causa d’això ha crescut la ciberdelicuencia exponencialment.

    Per això hem de garantir que les nostres dades estiguin segures estiguem a l’oficina o teletreballant. Ens hem de basar en filosofia “zero-trust” o tolerància zero, que significa que tot el que no tinguem al nostre control ho hem de tractar com una amenaça. I hem de pensar que la seguretat és com una ceba, que te moltes capes i que seran els obstacles dels nostres atacants, en cas que una falli n’hi haurà d’altres que evitaran que accedeixin a la nostra informació.

    A continuació, t’oferim 10 tips molt senzills per millorar la seguretat de les vostres dades en temps de teletreball.

    1. Seguretat perimetral Firewall. Que detecti i bloquegi comportament sospitós, i tenir-los sempre actualitzats i ben configurats.
    2. Antivirus. És important tenir-ne un i d’actualitzat. És interessant que el nostre equip de TI o el nostre proveïdor, monitoritzi l’estat amb eines de gestió centralitzada.
    3. Xifrat d’extrem a extrem Si ens connectem remotament a l’empresa, que sigui mitjançant una VPN amb un bon xifrat.
    4. No utilitzar eines gratuïtes com Any-Desk, TeamViewer, que ens obliga a mantenir 24/7 els nostres equips encesos, perquè els ciber-delinquents solen aprofitar les nits per a executar els atacs i no aixecar sospites
    5. Si tenim reunions o videotrucades ens hem d’assegurar que sigui segura i fer servir una eina de comunicació empresarial avançada com Microsoft Teams.
    6. És un bon moment per pensar amb les contrasenyes que utilitzes. Fer-les més complexes, que s’hagin de modificar amb més freqüència.
    7. Utilitza l’autentificació Multifactor (MFA) és un sistema de seguretat que requereix més d’una manera d’autentificació per assegurar que persones alienes tinguin accés.
    8. Posar permisos d’accés a les carpetes compartides dels nostres sistemes. L’usuari ha d’accedir només a les dades que realment necessita accedir per les seves tasques a l’empresa.
    9. Tenir els PCs actualitzats i a l’última versió disponible. Si veiem l’avís de Windows Update que hi ha una actualització per instal·lar, instal·leu-la!
    10. Si veus algun comportament estrany als teus dispositius notifica-ho immediatament al teu departament IT perquè puguin investigar que esta passant i així evitar danys.

     

    Esperem que us siguin d’ajuda aquests consells i els ajudin a millorar. Si desitja informació posi’s en contacte amb nosaltres:

    Vols més informació de com millorar la seguretat de la teva empresa?

     

    ens-iso-infordisa

    Recentment el BOE ha publicat el RD 43/2021 de seguretat de les xarxes i sistemes d’informació indicant així a les empreses essencials l’obligatorietat de tenir un Responsable de la Seguretat de la Informació (RSI), també coneguda com Chief Information Security Office (CISO), com a la persona experta en la protecció dels sistemes d’informació de les […]

    Calendar

    És impossible garantir la seguretat total de la informació, la qual cosa significa que les empreses han d’estar preparades per reaccionar davant un possible desastre que pugui paralitzar ala seva activitat. Avui en dia, rebre un atac informàtic i perdre totes les dades és quelcom comú que de ben segur hem viscut amb més o menys proximitat. La informació amb la que treballen les empreses és un actiu essencial per al seu negoci, i quedar-se sense aquest actiu pot impedir treballar de manera temporal o permanent.

    Davant d’una eventual pèrdua de dades per atac o per accident, cal que contemplem els següents aspectes que permetran assegurar la continuïtat de la nostra activitat i de l’empresa:

    Pla de continuïtat de negoci

    El pla de continuïtat de negoci és un recull de pautes que indiquen com actuar davant d’un possible desastre. Aquest pla es presenta com una política de seguretat que ha de definir un seguit de punts clau:

    • Identificar els actius crítics. Cal que tinguem reconeguts aquells actius que son condicionants per a la continuïtat del negoci. No és igual de crítica la documentació comercial en PDF que la base de dades del nostre sistema ERP.
    • Definir responsabilitats. Ha de quedar molt clar qui s’ha de fer càrrec de la situació en cas de desastre, per tant és important marcar rols i responsabilitats dels actors en aquesta situació.
    • Realitzar una anàlisi de riscs. Per tal de classificar els actius, determinarem quines dependències tenen, quant temps podem estar sense aquest actiu, i quin temps mínim de recuperació seria acceptable.
    • Definir política de comunicació. Davant un desastre, pot ser molt important la comunicació als afectats o a les autoritats pertinents, per tant cal definir el missatge que s’ha de transmetre i com fer-ho.
    • Marcar la periodicitat de revisió. Aquest pla no pot quedar-se obsolet, per aquest motiu ha de tenir una data de caducitat que asseguri que periòdicament es revisa i se’n comprova la validesa.
    • Escollir l’estratègia de continuïtat. Quina serà l’estratègia més adequada per a la nostra empresa? Haurem de valorar si podem plantejar solucions de backup estàndard o caldrà dissenyar sistemes Disaster Recovery (DR)

    Backup

    El backup és un sistema que te com a objectiu emmagatzemar de tota la informació i el seu històric, de manera continuada, i ser capaç de poder-lo restaurar en qualsevol moment sense afectar a la integritat de les dades. Com a sistema pot suposar un temps alt de recuperació, però és imprescindible per recuperar la normalitat.

    Seguint estratègies com el backup 3-2-1, qualsevol empresa pot obtenir les màximes garanties amb els mínims recursos. Aquesta estratègia respon a les següents claus:

    3: Disposar de 3 còpies de cada arxiu (l’original i dues còpies)

    2: Utilitzar 2 suports de còpies diferent, per plantejar diferents escenaris de desastre

    1: Ubicar 1 de les còpies fora del centre principal, per evitar desastres físics com incendis o inundacions.

    És un sistema amb un cost baix però amb un temps de restauració més alt.

    Disaster Recovery (DR)

    Un sistema DR o Disaster Recovery va molt més enllà d’un sistema de backup. El que busca és garantir les dades i també els processos, fent-los disponibles amb una menor finestra temporal.

    El sistema Disaster Recovery planifica el sistema necessari per tal que en un cas de desastre, existeixi una alternativa disponible de manera immediata que afecti molt menys la continuïtat del negoci. Permet no dependre de temps de recuperació o restauració, i proposa derivar l’activitat a un sistema alternatiu que, encara que sigui de manera temporal, es presenti com a sistema principal. D’aquesta manera el temps de recuperació del sistema afectat no perjudica la continuïtat de l’activitat.

    Es tracta d’un sistema amb un cost més alt però amb un temps de restauració mínim.

    Si vol valorar quin és el plantejament de continuïtat de negoci que més s’ajusta a les seves necessitats, el nostre equip de professionals aportarà una visió crítica i conclourà la millor estratègia per a la seva empresa.

    entorn-segur-infordisa

    Ja hem parlat de la conscienciació de l’usuari i com aquest pot ajudar a prevenir desastres, tot i això cal que a nivell tècnic l’empresa disposi de les mesures de seguretat oportunes per garantir un entorn laboral segur. Aquestes mesures passen per la utilització d’eines de seguretat perimetral que protegeixin activament l’entorn i xarxa de l’empresa.

    Definim com a seguretat perimetral totes les eines i tècniques de protecció informàtica que tenen l’objectiu d’esdevenir una línia de defensa del nostre sistema informàtic. Aquestes eines no només ens protegeixen d’aquells atacs intencionats que volen entrar a la nostra infraestructura, sinó que també acompanyen a l’usuari per protegir la seva activitat.

     

    Algunes de les principals eines de seguretat perimetral informàtica son:

    Tallafocs o firewalls

    Els tallafocs son eines de seguretat bàsiques en qualsevol entorn empresarial i que mitjançant una política d’accessos determinen què pot i què no pot accedir a la xarxa. En termes generals aquests dispositius poden aplicar mesures:

    • A nivell de xarxa filtrant IP concretes
    • A nivell de passarel·la controlant aplicacions específiques
    • A nivell personal aplicant-se als mateixos dispositius dels usuaris

    Detecció i prevenció d’intrusos

    Els sistemes de detecció (IDS) i prevenció (IPS) d’intrusos s’utilitzen per monitoritzar i controlar els accessos als equips de la xarxa de l’empresa. La seva principal missió és identificar un possible atac, registrar-ne els esdeveniments, bloquejar l’atac i notificar-ne als administradors o responsables de seguretat.

    Es tracta de sistemes que contínuament monitoritzen el tràfic entrant i el comparen amb bases de dades actualitzades d’atacs ja coneguts, per tal d’identificar-ne activitats sospitoses i notificar-ho per a la seva eliminació. Son elements sovint integrats als mateixos tallafocs per dotar-los de millors funcionalitats.

    Honeypots

    Els honeypots son sistemes de hardware o software pensats com a trampes per atraure els atacants i poder identificar així el seu comportament. Aquests sistemes simulen equips vulnerables que s’esposen sense cap risc per a l’empresa i recullen informació que servirà per prevenir atacs futurs a sistemes més importants.

    Aquests honeypots han evolucionat molt els últims anys i actualment s’implementen en forma de honeynets o xarxes de honeypots que simulen sistemes complets que permeten recopilar així més i millor informació sobre els atacs.

    Control d’accessos i identitat

    Es tracta de productes destinats a dotar a l’empresa de mecanismes que permetin gestionar els usuaris i les seves dades d’identificació, associar-hi rols, permisos i polítiques de seguretat, i controlar-ne així els accessos als recursos. És bàsic disposar d’un servidor de domini que gestioni amb èxit aquesta informació, però sempre és interessant complementar-los de més tècniques per aportin gestió dels accessos a la xarxa corporativa per part d’usuaris interns i externs, o eines Sign-On que unifiquin els accessos a diferents sistemes i aplicacions amb un mecanisme d’identificació comú.

    prevencio-informàtica-infordisa

    En un entorn com l’actual, on totes les empreses estan digitalitzades o en procés de fer-ho, la tecnologia és protagonista indiscutible. Els treballadors utilitzen de manera natural i diària infinitat d’eines digitals amb les que mouen informació i dades arreu del planeta en qüestió de segons. Si a més hi sumem el fet que en plena pandèmia per COVID molts d’aquests treballadors realitzen les seves tasques de manera remota fent teletreball, l’ús d’aquestes eines és encara superior. Responem correu, descarreguem informació, accedim a portals web, comprem online i compartim tot tipus d’informació sense cap limitació.

    Aquesta gran obertura al món que ens fa més competitius, també ens exposa a riscos fins ara desconeguts. Uns riscos que muten diàriament i s’adapten als interessos d’aquells que volen treure profit de la nostra informació. Un simple correu electrònic maliciós, pot desencadenar un segrest de dades total. Un falta de comprovació pot generar una fuga econòmica descontrolada i irrecuperable. Un descuit al lloc de treball pot provocar el robatori d’informació rellevant i confidencial. Son molts els riscos als que estem sotmesos, i no sempre poden evitar-se amb eines de seguretat informàtica.

    Eines com els tallafocs poden evitar accessos indesitjats a la nostra informació, tot i això, aquestes son eines pensades com a portes digitals que impedeixin l’accés a qui no se li permet. Però què passa quan un usuari de l’empresa obre la porta involuntàriament? Què passa quan un usuari, per falta de reconeixement d’un risc, es converteix en el desencadenant del problema?

    Segons les estadístiques, un 60% dels atacs a les empreses son a conseqüència de comportaments no intencionats dels seus usuaris. Això significa que un usuari no format és un risc enorme per a la integritat i seguretat de la informació de l’empresa.

    Un usuari no format pot suposar que aquest caigui a una de les infinites trampes que ens envolten contínuament. Un simple correu electrònic fent-se passar per un directiu, o una pàgina web imitant-ne una altra, pots desencadenar una pèrdua econòmica molt important.

    La Prevenció de Riscos Informàtics (PRI) o Conscienciació, busca educar i formar a l’usuari sobre les tècniques més utilitzades pels atacants, i les bones pràctiques que garanteixen identificar les trampes per evitar-les satisfactòriament.

    En aquest article, volem aportar uns consells bàsics per garantir un ús segur de les tecnologies en l’empresa.

    Comprovació de la validesa del correu electrònic

    Existeixen infinitat de correus electrònics maliciosos. La major part, son filtrats per sistemes antispam, d’altres acaben accedint al sistema però son evidents enganys, però alguns d’aquests estan molt ben pensats i utilitzen estratègies no tan populars que poden confondre l’usuari.

    És vital que qualsevol missatge que no esperem, que demana accions importants o que implica transaccions econòmiques, sigui validat i se’n comprovi l’origen. Comprovar el remitent del correu és bàsic per donar-li validesa. Els atacants poden enviar utilitzant noms d’altres persones i sovint en el moment de respondre estarem enviant a un correu electrònic. Comprovar-ne les capçaleres també és una bona acció per assegurar-ne la validesa. Eines com Messageheader de Google ens ajuden a validar-ne el contingut.

    Altres detalls del cos del missatge poden revelar males intencions. Arxius adjunts amb extension .exe, .vbs, .docm o .xlsm poden simular arxius Office legítims però en realitat amaguen malware perillós. Analitzar-lo amb l’antivirus és la millor opció.

    Revisar la redacció del missatge, analitzant si és lògica o està ben escrita, i comprovar que la firma del correu existeix i és la normal en aquest remitent, ajudarà també a donar per bo el missatge.

    Protegir el lloc de treball

    Pot semblar irrellevant però tenir un lloc de treball en condicions és un dels principals requisits per garantir la informació de l’empresa. Alguns de les principals pràctiques a tenir en compte son:

    • Mantenir ordenat el lloc de treball: ja no només per higiene sinó també per seguretat. No hem de deixar mai papers innecessaris, dispositius USB descontrolats ni contrasenyes a la vista
    • Sessió bloquejada: pot semblar irrellevant però aixecar-nos momentàniament del nostre lloc de treball sense bloquejar la sessió pot exposar innecessàriament les dades a les que tenim accés. No costa res prémer Win+L i bloquejar la sessió.
    • Software actualitzat: totes les aplicacions del nostre equip tenen actualitzacions de seguretat que reaccionen i prevenen possibles nous atacs. Mantenir el software al dia és la millor manera que les nostres aplicacions ens ajudin a mantenir segura la informació.
    • Antivirus: els softwares antivirus no només reaccionen davant de software maliciós que pot entrar al nostre equip, sinó que també ens ajudarà a detectar webs fraudulentes i evitarà contagis per ransomware.

    Contrasenyes complexes

    Tots tenim un gran volum de contrasenyes que a més no para d’augmentar. Una bona política de generació i manteniment d’aquestes és clau per mantenir segurs els sistemes de l’empresa. Les contrasenyes no s’han de compartir, han de ser úniques i han de ser robustes (mínim 8 caràcters, amb majúscules, minúscules, números i símbols). Aquestes 3 claus fan que possiblement necessitem ajuda per gestionar-les i per tant els gestors de contrasenyes seran de gran ajuda. Eines com els mateixos gestors dels navegadors web o plataformes com 1Password entre altres son ideals per tenir sota control tota aquesta informació.

    Còpies de seguretat

    Més val tard que mai. Això és aplicable també a la seguretat informàtica. Si tot i les mesures de control i prevenció de l’usuari els atacants aconsegueixen penetrar a la nostra organització, les còpies de seguretat seran l’última mesura per recuperar la normalitat. Si totes les barreres fallen, hem de tenir la capacitat de recuperar la normalitat i sobretot, recuperar la informació. Per aquest motiu, una bona política de còpies de seguretat ens pot salvar d’un enorme problema que podria acabar amb la continuïtat de l’empresa.

    L’estratègia de còpia més interessant i equilibrada és la coneguda com a estratègia 3-2-1. Les seves claus son:

    3: Mantenir 3 còpies de cada arxiu, l’arxiu original i dues còpies

    2: Utilitzar 2 suports de còpia diferents per protegir la informació de diferents riscos

    1: Ubicar una de les còpies fora de l’empresa, ja sigui al cloud o en una altra ubicació

    Aquest plantejament és capaç de donar resposta i solució a infinitat de possibilitats i per tant és l’estratègia més completa i simple possible.

    Si vols seguir aprofundint més sobre com aportar formació als usuaris i garantir el correcte ús de les eines de l’empresa, disposem de propostes de conscienciació que centren els esforços en transmetre a l’usuari tota aquella informació que l’ajudarà a anticipar-se i prevenir qualsevol atac.

     

     

     

    La formació és sempre la millor de les estratègies.

    Aplicacio ens

    El procés d’aplicació de l’ENS, s’aplica amb un total de sis fases i es basa en un cicle de millora continua.

    L’ENS es basa en un cicle de millora continua

    L’ENS a grans trets consisteix en la implantació d’un SGSI (Sistema de Gestió de la Seguretat de la Informació / en anglès System Management Information System), el qual haurà de complir una sèrie de requisits per a ser certificat segons la llei 11/2007 article 42.2 on és defineix l’Esquema Nacional de Seguretat.

    Ens sgsi

    Model PDCA de l’ENS​

    Utilitzem el model estàndard Plan, Do, Check, Act, per garantir la correcte aplicació de l’ENS. Veiem les fases del model PDCA aplicades a l’ENS:

    Pdca ens

    Fases del Pla d’Adequació a l’ENS

    A Infordisa, plantegem el pla d’adequació de l’ENS a partir de 6 fases per tal de garantir l’èxit en la implantació. El proçés d’implantació finalitza amb el Pla de Millora del propi Pla d’Adequació, pel que un cop finalitzat el Pla d’Adequació, aquest, sempre es troba en continua evolució i actualització.

    Fases ens

      Més informació?

      Accepto la política de privacitat

      He de xifrar la informació sensible cat

      Quan parlem d’actius d’empresa, tendim a considerar únicament com a tals els béns tangibles, com per exemple mobiliari, maquinària, els servidors, etc. Però no hem d’oblidar que també són actius, en aquest cas intangibles, la cartera de clients, les nostres tarifes, la propietat intel·lectual o fins i tot la identitat de l’empresa. Tota aquesta informació personal, financera, legal, d’I+D, comercial i estratègica, juntament amb el software per a manejar-la, són el nostre principal actiu. Sense ella no podríem prestar els nostres serveis ni vendre el nostre producte. Per això és necessari preservar la seva integritat, confidencialitat i seguretat.

      Per a poder portar a la pràctica aquesta protecció, haurem de posar en marxa una sèrie de polítiques de seguretat per a, entre altres coses, localitzar i classificar la informació crítica, controlar qui té accés a la informació i a quina informació, protegir els nostres sistemes i també permetre’ns utilitzar els mecanismes necessaris per a poder xifrar aquella informació especialment sensible o confidencial, com per exemple: còpies de seguretat que anem a emmagatzemar en el núvol, dades personals sensibles, plans estratègics, etc.

      Entre la informació que necessitarem xifrar es troba:

      • La informació emmagatzemada (discos, ordinadors, portàtils, dispositius mòbils, memòries externes):
        • backups  que anem a pujar al núvol;
        • dades personals sensibles, si treballem per exemple amb dades de salut; i
        • informació confidencial com a plans estratègics.
      • Les comunicacions o informació en trànsit, com a correus electrònics o transaccions a través de la web.

      Quina és la finalitat del xifrat?

      El xifrat té com a finalitat amagar la informació mitjançant tècniques criptogràfiques per a així evitar que les dades siguin llegibles per a aquells que no coneguin la clau de desxifrat. Aquest tipus de tècniques són una solució eficaç per a l’emmagatzematge i transmissió d’informació sensible, especialment a través de suports i dispositius mòbils, ja que:

      • permeten controlar l’accés a la informació;
      • limiten la difusió no autoritzada en cas de pèrdua o robatori d’aquests suports.

      Per altre costat, no hem de deixar de costat altre tipus d’aspectes complementaris, com els següents:

      • la clau de desxifrat haurà de ser prou robusta perquè impedeixi accessos no autoritzats a la informació que es protegeix;
      • si perds la clau, no podràs accedir a la informació;
      • davant una fallada del dispositiu d’emmagatzematge físic, seria molt complicat recuperar la informació, es trobi xifrada o no.

      En algunes ocasions, per a l’intercanvi de documents caldrà utilitzar una infraestructura de claus públiques de xifrat (PKI per les seves sigles en anglès Public Key Infrastructure), proporcionades per Autoritats de Certificació (AC o CA, segons les sigles de Certification Authority). Per exemple, per a l’enviament de documents com a factures o notificacions a les AAPP, caldrà utilitzar la signatura electrònica.

      Vols estar al dia de totes les amenaces i evitar el desastre? Subscriu-te a la llista de conscienciació Infordisa




      Les eines criptogràfiques

      Para cifrar la información, utilizaremos herramientas criptográficas. Su objetivo es convertir los datos en ilegibles para todos aquellos que no dispongan de la calve de descifrado. Al cifrar se garantiza la integridad de lo cifrado y su confidencialidad. Es decir, se podrá comprobar que la información no ha sido alterada y que nadie que no conozca la clave ha podido verla. Además, hay técnicas que permiten firmar electrónicamente tanto documentos como correos electrónicos, por ejemplo facturas, contratos, o los que contienen información personal o de clientes, etc. Esto garantizará además su autenticidad y no repudio, es decir, que procede de quien lo firmó y que no puede decir que no lo envió. 

      Elegir la herramienta correcta de cifrado dependerá de una serie de variables, como son las siguientes:

      • si queremos una herramienta transparente para el usuario o no;
      • si el descifrado de la información debe realizarse en cualquier lugar;
      • el perfil de usuario que va a utilizar la herramienta de cifrado.

      Hem de tenir en compte que per a xifrar informació no sempre serà necessari utilitzar eines específiques, ja que alguns programes d’ús generalitzat, com els paquets ofimàtics o els compressors de fitxers, ja les incorporen.

      D’altra banda, tant per al xifrat de la informació com per a l’ús de la signatura electrònica, és necessari realitzar prèviament una anàlisi exhaustiva que permeti identificar quina informació serà susceptible de xifrat i quin requerirà de signatura electrònica.

      Hem de recordar-nos també de protegir la informació en trànsit i utilitzar protocols segurs en les nostres comunicacions amb l’exterior de la nostra xarxa, ja sigui amb els nostres empleats, com amb clients, proveïdors o usuaris dels nostres serveis. Per a això, en la nostra web, a més de comptar amb mecanismes d’autenticació si tenim usuaris que es connectin a ella, contractarem un certificat web que serà de validació estesa si des d’ella es poden fer transaccions econòmiques. Per a accessos des de fora de la xarxa als nostres servidors nostres teletreballadors i altres col·laboradors poden fer ús d’una VPN (per les seves sigles en anglès Virtual Private Network, en espanyol Xarxa Privada Virtual), quan sigui necessari.

      La informació és el principal actiu de qualsevol organització. Garantir la seva integritat i confidencialitat és una prioritat quan parlem de ciberseguretat. Aquella que consideris més sensible o confidencial haurà d’estar xifrada amb eines criptogràfiques. Que ningú aliè accedeixi a les dades que s’emmagatzemen o circulen entre els diferents dispositius que conformen la teva xarxa, protegeix la teva empresa i protegeix la teva informació.

      Si vols llegir l’article complet de Incibe, pots fer-ho a  aquí.