Guia d'ús Del Correu Electronic

  • Published on
    06-Apr-2018

  • View
    219

  • Download
    0

Embed Size (px)

Transcript

  • 8/3/2019 Guia d's Del Correu Electronic

    1/22

    GUIA DS DEL CORREU ELECTRNIC

  • 8/3/2019 Guia d's Del Correu Electronic

    2/22

    Introducci

    Audincia

    Abast

    Aspectes legals i normatius

    Descripci general

    Qu s i en qu consisteix?

    Finalitat

    Casos destudi

    Per qu es rep un gran volum

    de correu brossa (spam)

    Descripci

    Amenaces

    Per qu cal una contrasenya

    daccs al correu electrnic.

    Descripci

    Amenaces

    Com gestionar correus electrnics

    amb seguretat.

    Descripci

    Amenaces

    Recomanacions

    Recomanacions per tal de minimitzar la presn-

    cia de correu brossa a les bsties professionals

    dels usuaris

    Recomanacions per tal de minimitzar lamenaa

    de perdre el control de la bstia de correu elec-

    trnic dels usuaris

    Recomanacions per protegir la condenciali-

    tat de la informaci intercanviada per correu

    electrnic.

    Conclusions

    Glossari de termes

    Referncies i enllaos web.

    Eines

    Eines de xifratge

    Eines anti-spam

    Recursos de suport on-line

    5

    5

    5

    6

    7

    7

    8

    9

    9

    9

    10

    10

    10

    11

    11

    11

    12

    13

    13

    15

    16

    18

    19

    20

    20

    20

    21

    ndex

  • 8/3/2019 Guia d's Del Correu Electronic

    3/22

    El Centre de Seguretat de la Informaci de Catalunya,

    CESICAT, s lorganisme executor del Pla nacional

    dimpuls de la seguretat TIC aprovat pel govern de la

    Generalitat de Catalunya el 17 de mar de 2009. La

    missi daquest pla s la de garantir una Societat de

    la Informaci Segura Catalana per a tots. Amb aques-

    ta nalitat, es crea el CESICAT com a eina per a la

    generaci dun teixit empresarial catal daplicacions i

    serveis de seguretat TIC que sigui referent nacional i

    internacional.

    El Pla nacional dimpuls de la seguretat TIC a Catalu-

    nya sestructura al voltant de quatre objectius estrat-

    gics principals que seran desenvolupats pel CESICAT:

    Executar lestratgia nacional de seguretat TIC es-

    tablerta pel Govern de la Generalitat de Catalunya

    Donar suport a la protecci de les infraestructures

    crtiques TIC nacionals

    Promocionar un teixit empresarial catal slid en

    seguretat TIC

    Incrementar la conana i protecci de la ciutada-

    nia catalana en la societat de la informaci.

    La forma jurdica del CESICAT s la de fundaci del

    sector pblic de ladministraci de la Generalitat.

    Amb lobjectiu de proporcionar unes bones prctiques

    i uns coneixements mnims en seguretat de la infor-

    maci, el CESICAT ofereix com a servei preventiu un

    conjunt de guies de seguretat adreades a ciutadans,

    empreses, administracions pbliques i universitats.

    www.cesicat.cat

    Qui fem aquesta guia

  • 8/3/2019 Guia d's Del Correu Electronic

    4/22

    El contingut de la present guia s titularitat de la Funda-

    ci Centre de Seguretat de la Informaci de Catalunya

    i resta subjecta a la llicncia de Creative Commons BY-

    NC-ND. Lautoria de lobra es reconeixer mitjanant la

    inclusi de la segent menci:

    Obra titularitat de la Fundaci Centre de Seguretat de la

    Informaci de Catalunya.Llicenciada sota la llicncia CC BY-NC-ND.

    La present guia es publica sense cap garantia espec-

    ca sobre el contingut.

    Lesmentada llicncia t les segents particularitats:

    Vost s lliure de:

    Copiar, distribuir i comunicar pblicament la obra.

    Sota les condicions segents:

    Reconeixement: Sha de reconixer lautoria de la

    obra de la manera especicada per lautor o el llicencia-

    dor (en tot cas no de manera que suggereixi que gaudeix

    del seu suport o que dona suport a la seva obra).

    No comercial: No es pot emprar aquesta obra per a

    nalitats comercials o promocionals.

    Sense obres derivades: No es pot alterar, transformar

    o generar una obra derivada a partir daquesta obra.

    Respecte daquesta llicncia caldr tenir en comp-

    te el segent:

    Modicaci: Qualsevol de les condicions de la present

    llicncia podr ser modicada si vost disposa de per-

    misos del titular dels drets.

    Altres drets: En cap cas els segents drets restaran

    afectats per la present llicncia:.

    Els drets del titular sobre els logos, marques o qual-

    sevol altre element de propietat intellectual o in-

    dustrial incls a les guies. Es permet tan sols ls

    daquests elements per a exercir els drets recone-

    guts a la llicncia.

    Els drets morals de lautor.

    Els drets que altres persones poden tenir sobre el

    contingut o respecte de com sempra la obra, tals

    com drets de publicitat o de privacitat.

    Avs: En reutilitzar o distribuir la obra, cal que sesmen-

    tin clarament els termes de la llicncia daquesta obra.

    El text complert de la llicncia pot ser consultat a

    http://creativecommons.org/licenses/by-nc-nd/3.0/es/legalcode.ca.

  • 8/3/2019 Guia d's Del Correu Electronic

    5/22

    5

    Audincia

    Aquesta guia est adreada als usuaris dUniversitats i Centres

    de Recerca, Administracions pbliques catalanes i PIME que uti-

    litzen el correu electrnic dins de lentorn professional.

    Indirectament, tamb pot resultar dinters per als administra-

    dors de plataformes de correu electrnic i per als responsables

    de seguretat daquestes comunitats, doncs els pot ser til a lho-

    ra de conscienciar els usuaris de lorganitzaci pel que fa a ls

    daquest servei corporatiu i pot ajudar a proposar mesures per fer

    ms segures aquestes plataformes.

    Aquesta guia tamb sha pensat per als responsables de segure-

    tat que pertanyin a organitzacions que en un futur prxim vulguin

    implantar un Sistema de Gesti per a la Seguretat de la Informa-

    ci (SGSI). Si b aquesta guia no es podria incorporar directa-

    ment dins del cos normatiu del sistema de gesti, s que inclou

    tots els aspectes i les recomanacions que lorganitzaci hauria

    de tenir presents durant la implantaci prvia a la superaci del

    procs de certicaci.

    Abast

    Aquest document no sha desenvolupat per a cap plataforma

    o client de correu electrnic en concret, sin que pretn assolir

    unes bones prctiques en seguretat de la informaci mitjanant

    ls responsable del correu electrnic.

    Per tant, tota conclusi que es pugui extreure daquesta guia

    ser aplicable a qualsevol soluci particular de correu electr-

    nic, doncs bona part de les recomanacions aqu incloses tenen

    Introducci

  • 8/3/2019 Guia d's Del Correu Electronic

    6/22

    incidncia directa en ls que els usuaris fan del correu

    electrnic i, indirectament, en el producte que utilitzen.

    Aspectes legals i normatius

    La present guia sha elaborat tenint en compte les reco-

    manacions provinents de lestndard internacional ISO

    27002, que queden recollides als controls segents:

    10.4.1 Controls contra codi malicis.

    10.8.1 Poltiques i procediments per a lintercanvi din-

    formaci.

    10.8.4 Missatgeria electrnica.

    10.10.1 Registres dauditoria (logging).

    11.3.1 s de les contrasenyes.

    11.4.2 Autenticaci dusuari per a les connexions ex-

    ternes.

    11.5.1 Processos de connexi segurs.

    11.5.2 Identicaci i autenticaci dusuaris.

    12.2.3 Integritat dels missatges.

    13.1.1 Noticar dels esdeveniments de seguretat.

    15.1.2 Drets de la propietat intellectual.

    El compliment daquesta guia tamb afavorir el compli-

    ment del Reial decret 1720/2007 associat a la Llei Orgni-

    ca de Protecci de Dades de Carcter Personal.

  • 8/3/2019 Guia d's Del Correu Electronic

    7/22

    7

    Qu s i en qu consisteix?El correu electrnic s un dels serveis principals que

    ofereix la xarxa a lhora de comunicar-nos rpidament

    mitjanant missatges.

    Tal com succeeix amb el correu postal, tothom posseeix

    una adrea, en aquest cas electrnica, a on es poden

    enviar els missatges, entenent per missatge tant comu-

    nicacions de text, com lenviament dimatges, so o l-

    macions. Aquesta adrea electrnica la proporciona la

    prpia organitzaci als treballadors.

    Si b quan utilitzem el correu postal fem servir sobres

    de paper, bsties tancades amb clau o mecanismes de

    conrmaci de recepci, entre daltres solucions, per tal

    de garantir que la informaci arribi en les condicions que

    desitgem, dins del mn digital tamb cal adoptar un con-

    junt de mesures de seguretat.

    FinalitatLa nalitat del correu electrnic s proporcionar una co-

    municaci rpida entre persones darreu del mn. El fet

    dutilitzar Internet facilita una comunicaci quasi instan-

    tnia, contrriament a les limitacions del mn fsic.

    Aquest servei, per tant, agilitza en gran mesura les ges-

    tions i comunicacions duna organitzaci, sempre que

    els usuaris lemprin correctament. En cas contrari, el

    servei no noms pot consumir considerablement els ca-

    nals de comunicaci digitals de lorganitzaci a la qual

    pertany i impedir que daltres serveis informtics que uti-

    litzin aquests canals de comunicaci funcionin amb un

    Descripci general

  • 8/3/2019 Guia d's Del Correu Electronic

    8/22

    rendiment ptim, sin que tamb pot comprometren la

    infraestructura informtica si algun tipus de descrrega

    inclou la introducci de codi malicis dins de la xarxa

    particular de lorganitzaci en qesti.

    Casos destudi

  • 8/3/2019 Guia d's Del Correu Electronic

    9/22

    9

    Per qu es rep un gran volumde correu brossa

    DescripciEncara que un correu electrnic hagi estat identicat au-

    tomticament per la plataforma de lorganitzaci on sen-

    via com a correu brossa, tant pot ser que aquest correu

    sigui realment perills com que es tracti dun correu ordi-

    nari que ha estat etiquetat incorrectament. Aquest segon

    cas s el que es denomina un fals positiu.

    Si b quan senvien correus electrnics nicament

    de text, arriben sense problemes al destinatari, quan

    aquests correus incorporen txers de tipus executable,

    com aplicacions o presentacions, de vegades la platafor-

    ma de correu de lorganitzaci els etiqueta errniament

    com a correu no desitjat com a mesura de prevenci, en-

    cara que aquests correus realment no siguin perillosos.

    Aquesta situaci tamb pot produir-se quan sadjunta un

    txer molt volumins a un correu electrnic, per tal dim -

    pedir que aquests tipus de correus puguin arribar a satu-

    rar el servei corporatiu i causar un mal funcionament. En

    aquestes situacions cal parlar amb ladministrador de la

    plataforma perqu el correu pugui ser entregat correcta-

    ment al destinatari o b sollicitar a lemissor que torni a

    enviar el correu electrnic modicant lextensi del txer

    adjunt o enviant la informaci fragmentada en diversos

    correus electrnics de menor mida.

    Encara que existeixin falsos positius, sn molts els cor-

    reus brossa reals que senvien diriament a travs dIn-

    ternet. Utilitzar o registrar ladrea de correu electrnic

    en entorns o serveis digitals no corporatius, com ara xar-

    Casos destudi

  • 8/3/2019 Guia d's Del Correu Electronic

    10/22

    0

    xes socials, pgines personals o llistes de distribuci de

    notcies, ajuda a difondre lexistncia i vigncia de ladre-

    a de correu electrnic i, per tant, ladrea es convertei-

    xen en candidata a ser inclosa en llistes de distribuci

    de campanyes de mrqueting de tercers o de missatges

    fraudulents, entre daltres.

    Utilitzar el correu electrnic professional per a qestions

    personals, com ara el reenviament de missatges de cor-

    reu electrnic en cadena, tamb ajuda difondre ladreade correu electrnic.

    Daltra banda, si un dels nostres contactes en algun mo-

    ment ha resultat infectat per algun tipus de codi malicis

    que propicia lenviament indiscriminat de missatges de

    correu electrnic als contactes de la seva agenda elec-

    trnica, s probable que nalment ladrea de correu

    electrnic de lemissor hagi estat inclosa a la llista negra

    de la plataforma corporativa del receptor.

    AmenacesInfecci per codi malicis

    Els txers adjunts als correus electrnics poden estar

    infectats per codi malicis. Aquest tipus de codi podria

    arribar a paralitzar la infraestructura informtica de tota

    lorganitzaci i impedir loperativa habitual dels membres.

    Pesca (phising) combinada amb enginyeria social

    Si b hi ha correus electrnics que no sn perillosos per

    si mateixos perqu no incorporen codi malicis que es

    pugui activar una cop lusuari executi larxiu on samaga,

    s que a vegades incorporen un missatge dirigit a espan-

    tar lusuari de tal manera que aquest estigui disposat a

    actuar immediatament.

    Aquests tipus de missatges acostumen a incorporar un

    enlla cap a una pgina web que, tot i que sembla leg-

    tima, s una imitaci de la pgina real mitjanant la qual

    es roben lidenticador dusuari i la contrasenya daccs

    de la vctima.

    Correu brossaRecepci de grans volums de correu electrnic no desit-

    jat a les bsties professionals dels usuaris que ocupen

    espai del servidor de correu electrnic intilment i con-

    sumeixen temps de lusuari a lhora deliminar-los de la

    bstia de correu.

    Denegaci de servei

    Collapse de la plataforma de correu corporativa a cau-

    sa de la recepci de nombrosos correus electrnics no

    desitjats o de correus electrnics molt voluminosos.

    Per qu cal una contrasenyadaccs al correu electrnic

    Descripci

    El correu electrnic serveix per enviar missatges digi-

    tals en nom dun professional. Per evitar que una tercera

    persona pugui enviar un missatge des duna bstia de

    correu electrnic que no sigui seva, laccs a aquesta

    bstia es protegeix mitjanant algun tipus de control

    daccs. El control daccs ms habitual utilitzat per

    les organitzacions s la combinaci dun identicador

    dusuari i una contrasenya.

  • 8/3/2019 Guia d's Del Correu Electronic

    11/22

    11

    Si el propietari daquesta bstia no gestiona correcta-

    ment la seva contrasenya, podria donar-se el cas que

    una tercera persona envis missatges en nom del titular

    de la bstia. s per aquest motiu que moltes organit-

    zacions difonen internament entre els seus usuaris una

    norma de contrasenyes per tal de conscienciar el seu

    personal de la necessitat de vetllar per la correcta deni-

    ci duna contrasenya que sigui prou segura com per no

    ser descoberta fcilment per una tercera persona i per

    tal dassegurar que aquesta contrasenya es protegeixadequadament.

    Tamb cal tenir present que els avenos tecnolgics que

    shan anat produint han propiciat que es pugui accedir

    al correu electrnic utilitzant dispositius mbils com els

    telfons mbils, dispositius PDA, etc., que permeten em-

    magatzemar localment els correus electrnics. Per tant,

    la prdua daquests dispositius pot comprometre la con-

    dencialitat de la informaci que emmagatzemen i fer

    possible que un tercer utilitzi el dispositiu mbil per envi-

    ar correus electrnics suplantant la identitat de lusuari.

    AmenacesSuplantaci didentitat

    Si una tercera persona aconsegueix tenir accs a la

    nostra bstia de correu, podr fer-se passar per nosal-

    tres sense aixecar sospites. Sha de tenir especialment

    present que molts dispositius mbils permeten descar-

    regar el correu directament al dispositiu sense que per

    fer-ho se solliciti a lusuari cap contrasenya per accedir

    al correu electrnic. Aquesta informaci ja es troba con-

    gurada per defecte al dispositiu de lusuari per evitar

    que aquest lhagi dintroduir en cada descrrega auto-

    mtica de correu, que pot estar programada per a qu

    es produeixi molt freqentment.

    Prdua dinformaci condencial

    Si alg diferent al propietari del compte de correu elec-

    trnic hi pot tenir accs, pot apropiar-se de tota la infor-

    maci emmagatzemada a les bsties daquest compte

    de correu.

    En el cas dels dispositius mbils, perdre el dispositiu

    mitjanant el qual es t accs al correu electrnic cor-

    poratiu permet a qui el trobi, no noms tenir accs a

    la informaci guardada al propi dispositiu, sin tamb a

    tota la informaci de la bstia de correu.

    Com gestionar correus electrnics

    amb seguretatDescripciMolts professionals realitzen la seva activitat diria a les

    installacions de la seva organitzaci, per tamb existeix

    una gran no...