Pla Bàsic
Inclòs en tots els allotjaments
En un primer bloc, us presentem un apartat de Preguntes Freqüents, introductòries i generalistes sobre la seguretat en internet, en el lloc web, en WordPress i què cal fer en cas d’atac o infecció.
En un segon bloc, les nostres propostes de Plans de Seguretat (bàsic, professional, corporatiu), tant aplicables als nostres allotjaments, com externs i on cada pla de seguretat, inclou les pròpies prestacions, afegides a les del pla anterior.
. Si teniu qualsevol dubte, conceptual o tècnic, gustosament us atendrem
::: Introducció generalista sobre seguretat a internet
CONTINGUTS
1. LA SEGURETAT AL MÓN DIGITAL
·······1.1 Quins són els riscos?
·······1.2 Protecció empresarial i de la clientela
·······1.3 Normes bàsiques i bones pràctiques
·······1.4 Política de protecció de dades (externa i interna)
·······1.5 Ciber Seguretat: Inversió o despesa?
2. PROTEGEIXI LA SEVA INFORMACIÓ (PERSONAL I IDENTITAT)
·······2.1 Còpies de seguretat
·······2.2 Encriptació. Com fer-la
·······2.3 Suplantació d’identitat (phishing)
·······2.4 Contrasenyes
3. PROTEGEIXI ELS ESTRIS DE LA SEVA FEINA
·······3.1 Anàlisi d’equips i pla de seguretat
·······3.2 Antivirus i antiprogramari maliciós
·······3.3 Operacions bancàries
·······3.4 Seguretat pels smartphones
4. PROTEGIU-VOS DINS D’INTERNET
·······4.1 Wi-Fi
·······4.2 Xarxa privada (VPN)
·······4.3 Router
·······4.4 Gestor de continguts (CMS)
·······4.5 Dades de comerç electrònic
·······4.6 Xarxes socials
·······4.7 Protocols d’actuació
·······5.1 Gran volum de dades: compartir i emmagatzemar
·······5.2 Vulneracions seguretat i privacitat
·······5.3 Denúncies
Actualment les riscos més freqüents exposats al nostre negoci/activitat són:
• Malware
Programari maliciós que invadeix, danya o desactiva equips, pot robar, xifrar, esborrar dades i alterar/segrestar funcions bàsiques del dispositiu, així com espiar-nos.
És un terme ampli que inclou:
·· Virus, un segment de línia de codi que altera el funcionament normal de l’ordinador, sense el permís o el coneixement de la persona usuària.
·· Troians, que simulen ser un programari legítim innocu que s’introdueix en un programa ja existent al sistema, per tal d’enganyar la persona usuària i obrir la porta a altres tipus de malware que infectin l’ordinador.
·· Spyware, que té com a objectiu espiar les persones usuàries i guardar les seves contrasenyes, dades de targetes de crèdit, dades personals i patrons de comportament en línia (exemple: registra les pulsacions del teclat de l’ordinador), per enviar aquesta informació al delinqüent.
·· Cucs, que ataquen xarxes senceres de dispositius saltant d’un ordinador a un altre amb l’objectiu de propagar i afectar el major nombre de dispositius possible. Creen còpies de si mateixos a l’ordinador afectat, que distribueixen posteriorment a través de diferents mitjans, com el correu electrònic, missatgeria instantània o continguts amb temes que criden l’atenció com ara sexe, personatges famosos, temes d’actualitat o programari pirata.
·· Ransomware, que segresta arxius, els xifra i exigeix diners a la víctima a canvi d’una clau de desxifrat, que sovint no funciona.
·· Adware, que inunda les pantalles de les víctimes d’anuncis no desitjats i crea vulnerabilitats de seguretat perquè es pugui introduir una altra classe de malware sense adonar-nos-en.
• Phishing
Tècnica molt estesa que es basa en la suplantació d’identitat d’una marca o entitat amb reputació, com pot ser algun organisme oficial o empresa coneguda o banc, per tal d’adquirir informació compromesa.
Habitualment, es presenta sota la forma de correu electrònic, però també a través de missatgeria (SMS, Whatsapp) i trucades de veu. En tots els casos, es demana que la persona usuària confirmi o doni dades generalment relacionades amb comptes bancaris, targetes de crèdit o números d’assegurança i, sovint, sota l’amenaça de cancel·lar els serveis en un temps determinat, si no es fa.
En general, les amenaces digitals són més freqüents i exitoses contra els més vulnerables, petits negocis, més fàcils d’infiltrar, rastrejar i amenaçar, que les grans corporacions.
Si patim algun ciberatac a la nostra empresa, podem perdre gran quantitat d’informació i documents si no tenim al dia les nostres còpies de seguretat i a banda, deixem totalment exposades tant les nostres dades com les de la nostra clientela. Tenim una responsabilitat tan ètica com legal de custodiar correctament aquestes dades.
Les següentes propostes, especialment dirigides a persones autònomes, petites i mitjanes empreses, així com la seva plantilla, són aplicables en qualsevol dels mitjans o dispositius digitals que involucren la nostra empresa, com:
• El BYOD (Bring Your Own Device), tots els dispositius a través del quals nosaltres o el nostre personal accedeix a informació de l’empresa: ordinadors, tauletes o telèfons mòbils, tan particulars com corporatius.
• Cloud computing i big data, l’emmagatzematge i gestió de dades, tant al núvol com en local.
• Internet de les coses, com ara els rellotges intel·ligents, la bitlletera electrònica…
• Aplicacions mòbils.
• Les múltiples identitats digitals en xarxes socials.
Normes bàsiques
• Instal·lar un programari de seguretat.
• Fer còpies de seguretat diàries de tots els documents.
• Mantenir el correu electrònic net i utilitzar filtres de correu brossa.
• Utilitzar contrasenyes complexes i canviar-les regularment.
• Mantenir al dia els sistemes operatius dels dispositius relacionats amb l’empresa amb les darreres actualitzacions, així com la pàgina web.
• Entendre i tenir present com actuen les nostres empreses interlocutores que tracten amb dades vulnerables. És més fàcil detectar una comunicació potencialment perillosa si sabem com es comporten determinades interlocutores, per exemple: correus, bancs, empreses de missatgeria, etc. Per exemple, sabem que el banc mai ens demanarà el codi PIN en un correu electrònic, si detectem faltes d’ortografia o logos antics o pixelats, és altament possible que aquella comunicació es tracti d’un frau. En cas de dubte, no obriu les comunicacions.
• Verificar l’origen de les comunicacions que rebem. • No accedir a llocs web o aplicacions amb informació delicada, com ara bancs, a través d’una xarxa Wi-Fi pública.
• Vulnerabilitats off-line: no escriure els codis PIN, cal firmar les targetes de crèdit i dèbit, revisar els comptes bancaris periòdicament, triturar els documents confidencials no necessaris.
• Crear una cultura de la seguretat amb les persones treballadores. Proporcionar criteris clars i normes per a la seguretat preventiva i protecció de dades en tots els processos de l’empresa, i impulsar formacions sobre el tema.
A partir del 25 de maig del 2018 es va instaurar a Europa una normativa de protecció de dades que afecta a totes les empreses. Aquesta llei exigeix documentar com actua la nostra empresa internament a l’hora de recollir, processar i emmagatzemar dades, així com quines mesures de seguretat prenem per prevenir fallides de seguretat. Aquesta llei parteix de la premissa que les dades personals que recollim de la nostra clientela representen a persones reals i, si es fa un ús indegut de les dades, pot tenir un impacte negatiu en les seves vides. Per tant fa responsable a les empreses de la seva seguretat en el tractament i custòdia. En cas d’incompliment, les sancions poden ser quantioses.
Amb la normativa europea de protecció de dades (GDPR), a partir del 25 de maig del 2018, estableix que totes les dades que recollim han de ser amb consentiment, informant de per què les farem servir i usant-les exclusivament per allò que hem comunicat que les farem servir. A més de tot això, hem d’emmagatzemar les dades per un temps limitat i, a l’hora de tractar-les, hem de garantir la seguretat en el procés.
La llei GDPR implica:
• Documentar com es compleix la RGPD
L’Autoritat Catalana de Protecció de Dades ha desenvolupat una aplicació per crear, mantenir i gestionar el registre de les activitats de tractament: https://apdcat.gencat.cat/ca/documentacio/programari/aplicacio-per-gestionar-el-registre-de-les-activitats-de-tractament/
• Anàlisi de riscos
Cal analitzar quin tipus de dades tenim, d’on les hem obtingut, el nombre de persones usuàries que involucren i la quantitat i varietat de dades que la nostra empresa està tractant. Després, cal classificar aquestes dades en funció de l’impacte que tindria per a les persones usuàries, si hi hagués una bretxa de seguretat i aquestes dades es veiessin exposades. L’Autoritat Catalana de Protecció de Dades ens ofereix: https://apdcat.gencat.cat/ca/documentacio/programari/aipd-programari/
• Mesures de seguretat a adoptar en funció del risc.
• Fallides de seguretat
En el cas que totes les mesures de seguretat hagin fallat, hem de notificar la bretxa de seguretat a l’Agència Espanyola de Protecció de Dades (AGPD) en un termini sempre inferior a 72 hores, que ens ofereix, la Guía para la gestión y notificación de brechas de seguridad
En general en l’àmbit de la ciber seguretat, costa entendre, si no s’ha patit un atac, el haver de pagar per quelcom que no ha succeit -no pasa en altres àmbits com en l’assegurança del cotxe, de la llar, de vida, etc-.
Compensa la inversió?
• El cost dels ciber-atacs sempre superen als de la inversió. El cost mig de les grans empreses és de 500.000 €, mentre que les PYMES malgrat el cost és inferior, solen desapareix al voltant de 6 mesos després de l’atac. Fins ara, 100.000 € és el cost mitjà que pot produir-se per a una PYME, en cas de ransomware.
• Proporcionalment al nombre d’atacs, la principal motivació es econòmica i el 48% de forats de seguretat involucren a PYMES.
• Per assolir una política completa i adient en ciber seguretat, és necessari recorrer a una empresa especialitzada i de reconegut prestigi. Les solucions que us podem aportar en el nostre cas, van adreçades a a PYMES i especialment a les que fan ús d’un web sota WordPress.
Un backup o còpia de seguretat es refereix al procés de còpia i emmagatzematge de dades de qualsevol dispositiu digital, ja sigui un ordinador, tauleta o mòbil. Són vitals per a la recuperació d’un desastre (ciberatac, errors de maquinari, col·lapse de disc, etc).
Com cal fer la còpia?
· Emmagatzemar les còpies de seguretat en llocs diferents
És recomanable disposar de còpies de seguretat tant en l’àmbit local, com en servidors en altres llocs o al núvol. Totes les opcions es poden fer de manera manual, a través d’USB o en memòries externes i programaris específics. Nosaltres un oferim còpies de l’entorn web (lloc web i correu) diàries fins a 30 dies.
En cas d’optar per contractar els serveis d’una empresa proveïdora, per tal d’ampliar la còpia a la pròpia instal·lació local (servidor i clients de l’organització), us recomanen el nostre partner expert en còpies en remot d’àmbit d’àmbit local (empresarial i a particulars), https://agoobackup.es, tant en cloud de google com de microsoft. Ofereixen auto-gestió remota dels servei en l’àrea de client.
· Seleccionar quina informació és rellevant o no
És probable que no calgui fer una còpia de tots i cadascun dels fitxers. En el nostre cas, fem còpies totals de tot allò que hi ha en el vostre allotjament (web, fitxers del lloc i correu).
· Automatitzar les còpies
El millor és confiar en algun dels programaris per establir la periodicitat o automatitzar les còpies de seguretat. Us oferim còpies automatitzades diàries (30 dies).
· Calendari
La periodicitat mínima general recomanada per fer còpies de seguretat seria un cop a la setmana. En el nostre cas portem a terme còpies diàries automatitzades, durant 30 dies.
· Encriptar les dades que considerem més rellevants
Cal una encriptació de les dades, especialment aquells arxius amb informació sensible, punt clau per complir amb la GDPR.
· Comprovar les còpies de seguretat
És vital comprovar de tant en tant que les còpies de seguretat que anem fent són correctes.
· Fer còpies de tots els dispositius
Recordar fer backups no només de l’ordinador, sinó també dels mòbils i tauletes, per tal de no perdre contactes, agenda, llistes de tasques, etc.
L’encriptació de dades és un procediment mitjançant el qual els arxius, o qualsevol tipus de document, es tornen completament il·legibles gràcies a un algoritme que desordena els seus components. Així, qualsevol persona que no disposi de les claus correctes no podrà accedir a la informació que conté.
Gran part de la informació que enviem per internet ja està encriptada, gràcies als protocols HTTPS, però què passa amb la informació que tenim emmagatzemada als nostres dispositius? És segura?
Pel que fa als ordinadors, una de les dades més sensibles que podem tenir a la nostra empresa són els noms d’usuaris i contrasenyes (credencials). És la nostra responsabilitat procedir a encriptar aquesta informació i la resta de dades que puguin ser compromeses en el cas de robatori o pèrdua. Alguns programaris poden ser: BitLocker per a entorns de Windows i FileVault per a entorns de Mac.
Cal apuntar que en els cas dels mòbils, les empreses proveïdores de sistemes operatius mòbils han desenvolupat diferents funcions de xifrat disponibles per a totes les persones usuàries. La informació important es guarda en format xifrat i es desxifra cada vegada que la persona usuària introdueix el PIN de desbloqueig. Així que, pel que fa a les dades que emmagatzemem als
nostres dispositius mòbils en principi, ho tenim bastant cobert.
Com podem encriptar les nostres dades?
La majoria de programaris per fer còpies de seguretat inclouen l’opció d’encriptació de les dades. Si hem decidit fer les còpies de seguretat de manera manual, podem emprar alguns softwares per encriptar les dades. En els sistemes operatius relativament actuals, inclouen programari d’encriptació (Windows: BitLocker i Mac: FileVault); si no en disposem, podem recórrer a altres
programaris com: AESCrypt, AxCrypt o 7-Zip.
El phishing és un frau de suplantació d’identitat que es fa per correu electrònic, missatgeria instantània, SMS o fins i tot trucada telefònica, on es demanen a les persones usuàries dades com ara targetes de crèdit, claus bancàries o altre tipus d’informació altament compromesa.
Per justificar la necessitat d’aquestes sol·licituds de dades, recorren a tot tipus d’arguments:
· Problemes de caràcter tècnic
· Deteccions recents de fraus
· Noves recomanacions de seguretat
· Canvis en la política de seguretat de l’entitat, etc
Tipus
· Per email: per capturar informació rellevant i/o descarregar mailware, normalment via enllaç.
· SMSishing: similar al d’email. Demana fer clic a un enllaç o trucada telefònica.
· De llança: Utilitza els mateixos mètodes que les estafes anteriors, però es dirigeix a una persona o entitat específica.
· Whaling: Semblant al phishing de llança, la cacera de balenes també es dirigeix a una persona o organització, amb molt per perdre, com ara amb un càrrec a la directiva, celebritats, personatges públics o persones vinculades a la política.
Com podem prevenir un atac de phishing?
• Comprovar des de quin correu electrònic s’envia en realitat: dades de l’emissor (email descriptiu és diferent de l’email que fa realment l’enviament).
• Assegurant-nos bé de quina empresa proveïdora hi ha al darrere, per entreveure si es tracta d’una imitació.
• Comprovar que la URL no redirigeixi a un altre lloc.
• Les entitats bancàries sempre diuen que no demanaran mai el PIN d’una targeta a una persona usuària.
• Revisa l’ortografia i la gramàtica, sovint els correus electrònics o missatges tenen incorreccions.
• Analitzar el missatge, per veure si fa servir tàctiques de la por o és massa bo per ser de veritat.
• Evitar clicar a enllaços dels quals no tinguem la seguretat que són autèntics.
Què hem de fer, si la nostra empresa és víctima d’un atac de phishing?
1. Canviar les claus d’accés de la informació més sensible o vulnerable el més aviat possible.
2. Revisar el correu electrònic i assegurar-nos que no tenim correus d’inicis de sessió en altres dispositius o elements nous a la paperera.
3. En els gestors de correu com ara Outlook o Gmail, hi ha una opció disponible a habilitar que es diu “Denunciar suplantació de la identitat”.
4. Bloquejar la nostra targeta bancària i comprovar amb l’entitat financera que no s’hagi realitzat cap càrrec fraudulent al nostre compte.
5. Denunciar el cas a les autoritats competents. En el cas de l’Estat espanyol, a l’Institut Nacional de Ciberseguretat (INCIBE).
La gestió correcta de contrasenyes en la política de seguretat es vital.
Propostes per fer-les el més invulnerables possible i utilitzar un gestor de contrasenyes per recordar-les:
• No fer servir la mateixa contrasenya en tots els serveis o eines.
• Que sigui d’una extensió mínima de 8 caràcters, però el recomanable seria de 12 caràcters.
• Que combini lletres i números, majúscules i minúscules, amb algun símbol.
• Evitar escriure-la o guardar-la a la cartera.
• Procurar fer contrasenyes basades en paraules sense connexió.
• Canviar-la cada sis mesos.
Cal que tinguem un control de tots (tauletes, mòbils, portàtils o USB) els elements tecnològics que accedeixen a les nostres dades digitals i que prenguem mesures per protegir-los.
Com puc protegir els dispositius tecnològics?
1. Fer una llista de tots els aparells emprats per totes les persones treballadores.
2. Anotar-ne el número d’identificació IMEI, per tal que l’operadora i els cossos de seguretat puguin localitzar-los i bloquejar-los en cas de robatori o pèrdues.
3. Definir unes polítiques d’ús i dur a termes accions formatives.
4. Emprar una contrasenya forta de més de quatre dígits.
5. Instal·lar barreres antimalware, la majoria d’antivirus per a ordinadors tenen format d’aplicació mòbil gratuïta.
6. Desactivar les notificacions, quan la pantalla està bloquejada, i les sincronitzacions amb altres servidors externs.
7. Tenir instal·lat el menor nombre d’aplicacions possible.
També convé definir un pla de ciberseguretat perquè tots els membres de l’empresa tinguin coneixement de com procedir a l’hora de protegir-se i en cas de vulneració.
El document del pla de ciberseguretat hauria de contemplar:
• Accés: de quina manera es protegeixen els controls d’accés en plataformes digitals, per exemple: com es gestionen les contrasenyes.
• Informació: classificació i manipulació de la informació.
• Seguretat: consells per a la seguretat física i ambiental.
• Ús: ús adequat d’actius, programes o empreses proveïdores.
• Transferències: com actuar en la transferència d’informació, per exemple, en el cas de discs durs o USB.
• Dispositius: consells en l’ús de dispositius mòbils, portàtils o tauletes a la feina.
• Restriccions: restriccions d’ús i instal·lació de programari.
• Backups: la política de còpies de seguretat que s’utilitza.
• Antimalware: protecció de programari maliciós.
• Vulneracions: gestió de vulnerabilitats, informació de riscos.
• Incidents: gestió d’incidents de ciberseguretat, informació dels passos a seguir en cas de vulneració.
• Continuïtat: pla de continuïtat del negoci que expliqui com es recuperaran les dades, en cas de crisi.
• Formació: formació i conscienciació en ciberseguretat.
El malware és el programari que intenta envair, danyar o desactivar ordinadors, sistemes informàtics, xarxes, tauletes i dispositius mòbils. Pot robar, xifrar o esborrar les nostres dades, alterar o segrestar funcions bàsiques dels nostres aparells tecnològics i espiar-nos.
La millor defensa és la prevenció, és a dir, no fer ús de pàgines web no segures, no fer clic a enllaços sospitosos -aconsegueix enganyar fins i tot a usuaris força experimentats-.
També és convenient: instal·lar un antivirus en tots els nostres dispositius, actualitzar tot el programari -especialment l’antivirus/antimalware- i instal·lar un firewall que protegeixi l’entrada i sortida de dades.
Tipus:
A hores d’ara, els que més podríem destacar són:
• Adware: dissenyat per mostrar anuncis a la pantalla, normalment en un navegador. Per instal·lar-lo, o bé es fa passar per legítim o bé s’adossa a un altre programa per enganyar a la persona usuària.
• Spyware: observa les activitats dels usuaris i usuàries en secret, sense permís i les comunica a la persona autora del programari.
• Virus: malware que s’adjunta a un altre programa i, quan s’executa, es replica modificant altres programes de l’ordinador, infectant-los.
• Cucs: similar als virus, que es repliquen per si sols, per tal de disseminar per altres ordinadors en una xarxa provocant, normalment, danys i destruint dades i arxius.
• Troià: força perillosos. Normalment es presenta com alguna cosa útil per enganyar a la persona usuària. Una vegada que entra en el sistema, les persones atacants que s’oculten darrere del troià obtenen accés no autoritzat al dispositiu infectat. Solen robar informació financera o instal·lar altres amenaces com virus i ransomware.
• Ransomware: bloqueja l’accés de la persona usuària al dispositiu o xifra els seus arxius i demana un rescat per retornar-los. Atac molt popular en la ciberdelinqüència, perquè exigeix un pagament ràpid i que us cop fet el pagament, en la majoria de casos, no desencripten res.
• MITM (Man-In-The-Middle): intercepten comunicacions o les alteren, amb l’objectiu d’instal·lar programari maliciós, generalment a través de la tècnica del phishing.
També trobem altres malwares com ara el rootkit, el keylogger, el cryptojacking o els exploits. Recordem que el malware està en constant evolució i cal estar al dia.
En l’internet banking, les dades que es tracten són particularment sensibles i objecte de molts ciberatacs.
Alguns consells per utilitzar-les de manera segura són:
• No revelar mai les nostres claus.
• No donar ni fotografiar les dades bancàries o números de targetes de crèdit per WhatsApp, Telegram o correu.
• Accedir des de xarxes i terminals segurs.
• No guardar dades confidencials.
• Teclejar sempre la pàgina web del banc.
• Comprovar que la pàgina té un cadenat.
• Controlar els comptes de manera regular.
• Tancar la sessió.
• Desactivar l’accés de Bluetooth.
• Utilitzar l’aplicació mòbil del banc, sovint més segura que la de la pàgina web.
• Anar amb precaució amb el phishing.
Normativa:
El 14 de setembre de 2019 va entrar en vigor una llei europea (PSD2) que concerneix els pagaments digitals. Els usuaria hauran d’emprar diferents accessos per confirmar les seves accions a través de la banca online, com poden ser el DNI, la clau d’accés o un codi de confirmació enviat per SMS.
En contra del que habitualment es creu, els telèfons intel·ligents són especialment vulnerables als ciberatacs, potser fins i tot més que els ordinadors. Així doncs, cal prendre mesures de seguretat com ara descarregar-se aplicacions oficials, gestionar bé els permisos, vigilar l’accés a xarxes Wi-Fi públiques, instal·lar un antivirus, mantenir el sistema operatiu actualitzat o fer còpies de seguretat sovint, entre d’altres.
Els atacs habituals solen ser anàlogament als dels ordinadors, troians (a la banca mòbil: tot i que l’aplicació del banc és més segura que la pàgina web, igualment s’han detectat casos i tamble a la banda dels SMS), ransomware, spyware (fonamentalment extracció de dades) i darrerament, stalkerware (espionatge complet i registre en un servidor de tota l’activitat del mòbil) i el juicejacking (l’ús de ports USB per carregar la bateria dels dispositius mòbils en llocs públics).
Atacs a través de la xarxa Wi-Fi
Tenir la Wi-Fi oberta o d’accés fàcil implica, tenir la nostra connexió a internet compartida amb qualsevol i ens exposa a diferents riscos:
• Reducció de l’amplada de banda.
• Robatori de la informació transmesa.
• Connexió directa amb els nostres dispositius i a la informació que contenen.
• Responsabilitat davant d’accions il·lícites
Accions per protegir la nostra Wi-Fi:
• Canviar la contrasenya per defecte.
• Assignar un sistema de seguretat més avançat, com ara el WPA2.
• Modificar la contrasenya per canviar la configuració del router.
• Activar la restricció a MAC per connectar els dispositius que escollim a la nostra xarxa.
• Apagar el router, si no l’hem de fer servir en diversos dies.
• Mesurar la propagació del senyal perquè estigui dins dels límits de la nostra oficina.
• Rastrejar quins dispositius estan connectats a la nostra xarxa.
• Evitar l’ús de xarxes Wi-Fi públiques.
Una xarxa VPN és una xarxa en la que no és necessària la connexió física dels dispositius (mòbils, tauletes, ordinadors…), que es pot portar a terme mitjançant internet i on les nostres dades viatgen de manera aïllada (tunel), aportant seguretat (encriptació, habitualment de 256 bits), disponibilitat geogràfica i privacitat (un servei de VPN no hauria de guardar registres de les connexions, de manera que el registre de connexions del nostre operador només mostrés connexions als servidors de VPN, no als punts finals als quals es realitza la connexió).
Què ha de tenir una VPN per considerar-se segura?
L’encriptació no sempre és suficient, hi ha una sèrie de funcionalitats que ens calen per reforçar la seguretat:
• KillSwitch
Mecanisme pel qual la comunicació s’interromp, si es perd la comunicació amb l’altre extrem de la VPN. Si no s’inclou aquesta funcionalitat a la nostra VPN, el sistema operatiu pot continuar enviant paquets d’informació a través de connexió normal, en lloc
d’enviar-los a través de la VPN.
• Pèrdues de DNS (DNS leaks)
Algunes VPN no proporcionen mecanismes de seguretat davant de fuites de DNS: quan hi ha una vulnerabilitat en el túnel de xifrat de VPN implicant que les consultes o operacions que fem estan exposades a ser vigilades. Les peticions de DNS es realitzen
per fora de la VPN, posant en risc la nostra informació i accessos.
• Pèrdues de WebRTC
Algunes VPN no proporcionen mecanismes de prevenció de fuites de WebRTC (tecnologia que permet comunicació en temps real) i ens podem trobar que, malgrat comptar amb una bona VPN en el nostre sistema, les nostres videoconferències s’emetin per un canal no protegit.
• Registres
Les lleis de molts països obliguen a empreses operadores i proveïdores de serveis de VPN a demanar registres que estiguin disponibles a petició. Si realment volem tenir una privacitat total, necessitarem utilitzar un servei de VPN que resideixi en
una regió que no obligui a demanar registres de persones usuàries.
Hi ha moltes empreses que ofereixen serveis de VPN. Tot i que n’hi ha de gratuïtes, les més segures i completes són les versions de pagament. Algunes empreses són NordVPN, ExpressVPN o PureVPN, amb un rang de preus de 3 a 5€ al mes.
Algunes maneres d’augmentar la seguretat del nostre router són:
• Actualitzar el firmware del router.
• Desactivar l’accés remot.
• Configurar el router WLAN per cable, la primera vegada que el connectem a l’ordinador i quan en fem actualitzacions o manteniment.
• Canviar la contrasenya que el router té per defecte.
• Canviar l’SSID (nom o identificador que té el router) o ocultar-lo.
• Canviar els canals d’accés, si comprovem que altres routers veïns circulen pel mateix canal que nosaltres.
• Aprofitar la banda de 5 GHz, ja que és més estable i té menys interferències.
• Accés concret a persones convidades: crear una subxarxa amb la seva pròpia SSID i la seva pròpia contrasenya, sense accés a la nostra xarxa principal.
La majoria de vulnerabilitats a les quals ens exposem a la nostra pàgina web venen a través dels plugins, mòduls o temes que no són part del codi font del gestor de continguts.
Riscos i atacs habituals:
• Injecció de SQL: infiltració de codi intrús que aprofita un error del programari per realitzar consultes de bases de dades.
• Cross SiteScripting (XSS): permet executar un codi d’scripting, com ara VBScript o JavaScript en un lloc web.
• Atacs de força bruta: intent d’accedir a les nostres credencials per poder manipular la nostra pàgina web. Es basen en provar milions de combinacions de noms d’usuària i contrasenya fins a trobar els correctes.
• Clickjacking: enganyar a un usuari per a que faci clic en algun element (com ara un botó) que no és el que sembla. Aquest engany pot revelar informació confidencial o permetre que altres persones prenguin el control del nostre ordinador. Per exemple, una persona usuària fa clic a un enllaç a veure un vídeo i en realitat fa clic a comprar un producte en una pàgina
web aliena a la que està visitant.
• Cross SiteRequestForgery (CSRF): atac que força al navegador web de la víctima, validat en algun servei (com ara correu o internet banking) a enviar una petició a una aplicació web vulnerable. L’objectiu específic són les sol·licituds de canvi d’estat, no el robatori de dades.
Bones pràctiques per evitar vulneracions:
• Activar les actualitzacions automàtiques del CMS i els plugins.
• Usar una contrasenya forta i segura.
• Descarregar continguts només de webs oficials.
• Introduir CAPTCHAS als nostres formularis.
• Buscar un CMS amb comunitat forta per tenir suport, en cas de vulneració de la seguretat.
• Contractar un hosting segur.
• Disposar d’un certificat SSL.
Els comerços electrònics són víctimes habituals d’atacs potencials, especialment en períodes de campanyes (nadal, black friday, rebaixes).
Riscos als que ens exposem:
• Targetes de crèdit robades
Quan una persona compra un producte a la nostra botiga online amb una targeta de crèdit robada, ja que molt possiblement el banc reclamarà aquest pagament. Aquest tipus de frau resulta especialment perillós en
aquells comerços electrònics que tracten amb productes digitals i que s’han de lliurar a la clientela de manera immediata, ja que és possible que ja haguem lliurat el producte.
• Una vulnerabilitat a la pàgina web
Per exemple, que algú canviï el preu dels productes per adquirir-los a un preu més baix. A efectes legals, és molt difícil provar que l’atac es va realitzar de manera intencionada (i no com a fruit d’un error) i, en la majoria de les vegades, el comerç haurà d’assumir el cost, sense opció a poder reclamar.
• Robatori d’informació
La sostracció de dades
Emmagatzemades a la pàgina web, com ara informació bancària de la nostra clientela, contrasenyes, dades d’accés…
• Phishing
Que ens suplantin la identitat i utilitzin el nostre nom per aconseguir informació de la nostra clientela.
• Atacs DDoS o denegació de servei
La persona atacant utilitzarà una botnet (xarxa d’ordinadors infectats i que estan sota el seu control) per llançar milers de peticions de connexió per segon al nostre comerç electrònic. El resultat serà que el servidor no podrà fer front a totes les peticions i el nostre negoci estarà inaccessible durant l’atac.
Bones pràctiques per protegir el nostre comerç electrònic:
1. Triar una plataforma de comerç electrònic segura.
2. Implementar certificats SSL.
3. Oferir formes de pagament segures, com ara les passarel·les de pagament que tenen els bancs.
4. No emmagatzemar dades sensibles, només les estrictament necessàries i per un temps determinat.
5. Instal·lar alertes d’activitats sospitoses al sistema i revisar contínuament la pàgina web.
Així mateix, les xarxes socials també poden ser font de riscos de ciberatacs.
Alguns consells per prevenir-los són:
• Correu alternatiu per registrar-se.
• Emprar contrasenyes segures.
• Vigilar l’intercanvi d’informació confidencial.
• No fer clic a enllaços de missatges de persones usuàries sospitoses.
• Compte amb les aplicacions que es descarreguen.
• Controlar els permisos d’administració atorgats amb les persones que hi treballen en les nostres xarxes socials.
• Tancar sempre la sessió, quan haguem acabat..
És important que tinguem traçat un protocol d’actuació (contingència) per facilitar la implementació de mesures reactives, en cas d’atac, en la major brevetat possible.
D’entrada, comencem traçant un pla bàsic i anar-lo completant a mesura que la quantitat de dades que gestionem o la complexitat de l’empresa vagi augmentant.
Punts bàsics d’actuació:
• Definició dels paràmetres d’una crisi de seguretat
Hem de definir el risc, per al nostre cas i en funció del que marca la llei, les dades i els sistemes crítics. És a dir, cal que determinem quin tipus de dades tractem i qui hi té accés, així com quins són els elements més crítics de ser vulnerables i on estan ubicats (còpies de seguretat, accés a les sales de servidors, la localització de les contrasenyes, etc.).
• Escalat d’accions i responsabilitats
Cal garantir que les persones adequades tinguin les eines necessàries per actuar en cas de crisi, com ara els telèfons i correus de
contacte de persones o empreses clau per a la gestió d’una crisi (l’empresa informàtica que gestiona les còpies de seguretat, l’empresa gestora de la pàgina web o del hosting, o l’Institut Nacional de Ciberseguretat, per exemple), així com accés àgil a les
contrasenyes o autenticacions necessàries.
• Implicacions legals en cas de crisi de seguretat
En funció de les dades que manipulem, un incident de seguretat està subjecte a diferents requisits legals, pel que fa a obligacions i terminis per exercir-los. Hem de tenir clar, doncs, quina de les nostres empreses proveïdores o personal està potencialment implicat en una situació de crisi.
• Organigrama d’acció les primeres 24-48 hores
Hem de tenir clares les tasques, funcions i comunicacions que els i les membres de l’equip han de dur a terme en un termini concret. Com, per exemple, revisar comptes bancaris, xarxes socials, gestors de correu electrònic, la pàgina web i el comerç electrònic, canviar contrasenyes a tot arreu, restablir la informació vulnerada a través d’una còpia de seguretat o avisar a INCIBE.
Cada empresa ha de desenvolupar el seu en funció de les dades que es manegen i les dimensions.
En general el protocol d’actuació ha de contemplar els següents sis passos:
1.- Preparació: Capacitar el personal per gestionar possibles incidents.
2. Identificació: Determinar si l’esdeveniment és realment un incident de seguretat.
3. Contenció: Limitar el dany de l’incident i aïllar els sistemes afectats per evitar danys afegits.
4. Erradicació: Trobar la causa de l’incident i eliminar-la.
5. Recuperació: Permetre que els sistemes afectats tornin a l’entorn de producció i garantir que no queda cap amenaça.
6. Documentar: fer un informe del cas i analitzar com ha succeït perquè el personal pugui aprendre d’això i millori els esforços de resposta futurs.
Les plataformes d’emmagatzematge (Dropbox, Google Drive o Microsoft One Drive) i transmissió de dades (WeTransfer, Hightail o Wesendit) també poden ser font de problemes en la seguretat i privacitat de les dades de la nostra empresa.
Emmagatzament:
Dropbox: convé activar unes opcions, que no ho estan per defecte: “Verificació en 2 pasos”, revisar amb detall “Comprovació de seguretat” i activar totes les “Notificacions”. En Dropbox per a negocis, de pagament, tenen algunes opcions de seguretat més exigents.
Google Drive: activar la verificació en 2 pasos.
One Drive: activar la verificació en 2 pasos i ús de “Personal Vault”, que protegeix amb una clau extra les carpetes que seleccionem dins del nostre compte.
Aquestes plataformes tenen un sistema d’encriptació de les dades baix, podem fer servir programes gratuïts com ara Cryptomator.
Compartir:
Wetransfer: Lloc assenyalat com a força insegur i que ha patit nombrosos atacs. Es recomana l’ús de serveis alternatius com, plataforma de Mozilla Firefox, Hightail o Wesendit.
Altres vies d’atac per les quals la nostra empresa pot ser atacada poden ser:
• Els navegadors web, ja que cal anar amb compte amb la instal·lació d’extensions.
• El personal, perquè gran part de les vulneracions venen de males praxis en l’equip de treball, i cal fomentar la formació.
• Ús de dispositius externs, que convé formatar-los abans d’inserir-los en el nostre ordinador.
Per altra banda, per protegir la privacitat dels nostres contactes, si hem d’enviar un correu electrònic a diferents persones destinatàries, les hem de posar en CCO o còpia oculta o fer els enviaments a través de programes de gestió de correus electrònics com ara Mailchimp, SendInBlue o MailRelay..
Depenent del tipus d’atac i del seu abast, els protocols d’actuació, en cas de vulneració de les dades de la nostra empresa o de la privacitat, són diversos.
Cal notificar-ho, ales autoritats, a les persones afectades i denunciar-ho a les plataformes gestores de les xarxes socials (twitter, facebook, instagram, etc) o correu electrònic (gmail, outlook, etc).
En el cas que la vulneració posi en risc els drets i llibertats d’alguna persona, han de notificar a l’autoritat de control sense demora i, com a molt tard, 72 hores després que haguem tingut constància de l’atac. Si la vulneració de la seguretat de les dades suposa un alt risc per a les persones afectades aquestes també han de ser informades de manera immediata.
::: Mínima introducció sobre seguretat en el món web (wordpress)
CONTINGUTS
2. TIPUS D’ATACS HABITUALS SOBRE WORDPRESS
4. MÍNIMES PRÀCTIQUES NECESSÀRIES
La seguretat és el tema tecnològic en aquests dies, perquè els llocs web han estat piratejats i la tendència és creixent. Però hi ha moltes coses que podeu fer per protegir el seu lloc web.
Farem alguns breus comentaris sobre seguretat i WordPress, tractant alguns conceptes generals per ajudar-te a mantenir el lloc segur:
IDEES PRELIMINARS
4.1 Protecció
En primer lloc, cal bloquejar el lloc i mantenir-lo segur:
· Impedir la intromissió en l’àmbit que ens és propi (servidor, bases de dades, web, correu, transferència de fitxers). Concretament en WordPress, substituint les portes d’accés habituals per altres amb diferent ubicació i validació reforçada.
· Amagar informació d’interès pel delinqüent (servidor, bases de dades, WordPress en quasevol dels seus àmbits).
· Protecció de l’entorn (blindatge sobre canvis en fitxers i carpetes del sistema, del servidor, configuració segura de tots els àmbits de WordPress).
4.2 Detecció
Per molt bona que sigui la seva protecció, els delinqüents podrien trobar una manera de fer mal al seu lloc. I cal saber quan s’està produint un atac. L’atac no sempre serà un atac frontal complet que fa que sigui dolorosament evident que el seu lloc ha estat piratejat. De vegades, els robots insereixen un munt de codi ocult al vostre lloc, sense símptomes aparents. Mai no ho sabràs sense la detecció, per la qual cosa és necessària una monitorització constant a la cerca de codi maliciós.
4.3 En cas d’atac i/o infecció
· Resposta immediata
Cancel·lació de les sessions i ips involucrades, desinfecció i eliminació de portes d’entrada per evitar la re-infecció.
· Recuperació, si s’escau
Finalment, necessita un pla per tornar a posar en marxa el seu lloc després d’haver estat malmès. Les millors estratègies de protecció i detecció encara es poden frustrar i cal estar preparat. Una bona còpia de seguretat és vital, també a banda de les acciones de seguretat existent.
Cal una política de còpies, automatitzada i comprovada per tal d’estar preparats per a qualsevol situació.
TIPUS D’ATACS HABITUALS SOBRE WORDPRESS
Fins hores d’ara, hi han força possibles atacs al seu lloc, ja que hi han molts possibles punts d’accés, ja siguin pel mateix WordPress, però també pel servidor, els usuaris, comentaris, codis de script (petits programes que executen ordres), etc.
Alguns dels més habituals poden ser aquests:
CAPES DE SEGURETAT
La seguretat dels llocs web dels nostres clients és la nostra prioritat en els nostres serveis d’allotjament web, tant a nivell de servidor, com d’allotjament individual i a nivell d’aplicació.
La seguretat no és una acció en concret, sinó múltiples en una sèrie de capes que afegeixes al seu lloc web -especialment en WordPress-.
Per exemple:
Cap d’aquestes polítiques aplicades a les diferents capes, per si soles farà que el seu lloc sigui segur. No obstant això, totes juntes poden fer que el seu lloc estigui prou protegit perquè els delinqüents es vagin a per una altra web amb menys seguretat.
MÍNIMES PRÀCTIQUES NECESSÀRIES
ÀMBITS D’ACTUACIÓ són:
En general, als::: Com sabeu si teniu el web piratejat o infectat?
Simptomes directes:
Comportaments obvis entre d’altres, en l’operatòria de l’entorn productiu:
No es mostren simptomes directes…:
Aquest és un context especialment conflictiu perquè permet al delinqüent piratejar a més llarg plaç, habitualment per:
Conclusió
Cal previndre: sempre és menester fer ús d’accions de seguretat constants i actualitzades, en forma de monitorització a diferents nivells -en cas contrari, podem estar infectats i no saber-ho- i al mateix temps, portant a terme respostes immediates al davant d’una sospita o crisi manifesta.
::: Tinc el web piratejat o infectat: Què faig?
Si no teniu capacitat/familiaritat d’administració sobre els serveis d’internet:
Si teniu capacitat/familiaritat d’administració sobre els serveis d’internet:
::: Post-Hackeig: Què cal fer?
Per tal de procurar que no torni a passar, aquestes recomanacions:
::: Quin accés necessitem per accedir al seu lloc web i/o al servidor?
Necessitarem les vostres credencials per accedir directament -no per aplicatius de connexió remota (anydesk, teamviewer, etc)- via FTP / SFTP o SSH, així com un accés al tauler d’administració de WordPress. També si hi ha un tauler d’administració de servidors (cPanel / WHM, Plesk, Webmin, etc.), poder accedir-hi per investigar.
::: No tinc el web amb vosaltres: En que consisteix la supervisió post-neteja?
Pels clients externs, que no teniu allotjat el vostre web en la nostra infraestructura, després de netejar el vostre web -WordPress o no-, el supervisarem 24/7 durant 30 dies per assegurar-nos que s’han solucionat tots els problemes i que no s’ha produït cap re-infecció durant aquest període.
Inclòs en tots els allotjaments
Apliquem una robusta política de seguretat a diferents nivells: encriptació del tràfic web, forçar https, còpies de seguretat (30 dies), firewall, inteligència artificial, actualitzacions i pegats proactius de seguretat:
Subscripció Anual: 400 € (inclou les prestacions del pla bàsic)
Hi han determinats ajustaments de paràmetres de la instal·lació i accions a portar a terme, de caire general i aplicables en:
Àmbits d’actuació WP:
Àmbits d’actuació generals:
Subscripció Anual: 800 € (inclou les prestacions del pla professional)
Impedeix atacs via:
Potent motor de desinfecció ràpida i escaneig:
Apliquem accions de desinfecció i defensa preventiva per rebutjar atacs, a través de la implementació i depuració de programari i polítiques de seguretat en:
:: MONITORITZACIÓ I DETECCIÓ
Incorporem un nou sistema d’escaneig que detecta i adverteix de la presència de malware. Aquest sistema permet fer escanejos de l’allotjament web a demanda i realitzar escanejos complets per detectar malware i etiquetatge en llistes negres de dominis.
La base de dades de malware s’actualitza constantment, permetent la detecció de les darreres amenaces.
Trets:
:: PROTECCIÓ (infraestructura i programari especialitzat)
:: RESPOSTES EN CAS D’INFECCIÓ