El text complet de la llicència pot ser consultat a:

http://creativecommons.org/licenses/by-nc-nd/3.0/

es/legalcode.ca.

El Centre de Seguretat de la Informació de Catalunya, CESI-

CAT, és l’organisme executor del Pla nacional d’impuls de la se-

guretat TIC aprovat pel Govern de la Generalitat de Catalunya el

17 de març de 2009. La missió d’aquest Pla és la de garantir una

societat de la informació catalana segura per a tots. Amb aques-

ta finalitat es crea el CESICAT, com a eina per a la generació

d’un teixit empresarial català d’aplicacions i serveis de seguretat

TIC que sigui un referent nacional i internacional.

El Pla nacional d’impuls de la seguretat TIC a Catalunya s’es-

tructura al voltant de quatre objectius estratègics principals:

• Execució de l’estratègia nacional de seguretat TIC establerta

pel Govern de la Generalitat de Catalunya.

• Suport a la protecció de les infraestructures crítiques TIC na-

cionals.

• Promoció d’un teixit empresarial català sòlid en seguretat TIC.

• Increment de la confiança i la protecció de la ciutadania cata-

lana en la societat de la informació.

Dins d’aquests objectius estratègics es constitueix la fundació

pública Centre de Seguretat de la Informació de Catalunya com

a entitat auxiliar i instrumental del Govern de la Generalitat de

Catalunya i dels ens que la componen, i amb la forma jurídica

de fundació del sector públic de l’Administració de la Generalitat.

Amb l’objectiu de proporcionar unes bones pràctiques i uns co-

neixements mínims en seguretat de la informació, el CESICAT

ofereix com a servei preventiu l’elaboració d’un conjunt de guies

de seguretat adreçades a les diferents comunitats.

El risc és alt quan utilitzem aquests dispositius per

guardar i traslladar la informació, però podem aplicar

un conjunt de mesures i recomanacions de seguretat

que ens permetran protegir les dades emmagatzema-

des.

D’altra banda també és aconsellable realitzar una anà-

lisi de riscos. Això pot ajudar a comprendre quin tipus

d’informació s’emmagatzema, quins individus que per-

tanyen a l’organització tenen accés a aquesta infor-

mació i les conseqüències de extreure-la sense el seu

consentiment. És important definir unes polítiques que

estableixin el tractament que donen els usuaris a les

dades que es poden considerar confidencials o críti-

ques per al correcte funcionament de la seva empresa

o negoci, això inclou decisions com ara quins usuaris

tenen accés a certa informació delicada i quines acci-

ons poden realitzar.

La importància actual de la informació tant en l’àmbit

personal com pel que fa a l’empresa obliga a tenir cura

de les solucions d’emmagatzematge, a més de tenir

clar quin és el dispositiu adequat. Per desar la infor-

mació de manera segura i protegida davant de tercers,

podem aplicar una solució addicional com ara encriptar

la informació.

Es poden diferenciar dos tipus de xifrat.

Xifrat per software

Hi ha aplicacions de xifrat de dades –moltes, gratuïtes–

que xifren les dades però no ofereixen un gran nivell de

seguretat, les claus del xifrat es guarden temporalment

en la memòria del dispositiu quan l’usuari accedeix a

la informació. És en aquest moment quan els atacants

poden tenir accés a les claus de xifrat.

Normalment, el xifrat per software és més lent per què

utilitza la memòria i el processador del dispositiu per

efectuar el procés de xifrat. A continuació es presenten

alguns exemples d’eines de xifrat per software:

• BitLocker: és una aplicació de xifrat de disc. Es pot

trobar en versions de Windows Vista, Windows 7 i Win-

dows Server 2008. Aquesta aplicació està pensada per

protegir les dades i impedir l’accés no autoritzat a qual-

sevol arxiu guardat a la unitat. A continuació descrivim

el procés de xifrat i configuració:

a. Habilitarem BitLocker al dispositiu USB desitjat. Per

fer això obrirem el “Tauler de Control” i anirem a “Siste-

ma i seguretat -> Xifrat d’unitat BitLocker”.

b. Sobre la unitat USB, escollim l’opció “Activar BitLoc-

ker”. Apareixerà una finestra indicant que s’està acti-

vant BitLocker.

c. Ens preguntarà com desitgem desbloquejar la unitat.

Escollim “Utilitzar una contrasenya per desbloquejar

la unitat” i escrivim dues vegades la contrasenya de

desbloqueig. Cliquem “Següent”.

d. Quan el sistema ens pregunti com volem emmagat-

zemar la clau de recuperació, escollirem l’opció que

es guardi en un arxiu. A continuació n’indicarem la ruta

i seleccionarem “Següent”.

e. Finalment iniciarem el xifrat de la unitat.

Si volem llegir els dispositius encriptats per BitLocker

a Windows XP o Windows Vista, es pot utilitzar l’eina

de Microsoft “BitLocker To Go Reader”, enllaç de refe-

rència:

http://www.microsoft.com/downloads/en/details.

aspx?Fami ly ID=64851943-78c9-4cd4-8e8d-

f551f06f6b3d.

• TrueCrypt: Podem utilitzar diferents algorismes de

xifrat, podem aplicar el xifrat a una unitat o crear un vo-

lum de tipus fitxer dedicat. El seu funcionament es basa

en l’encriptació de les dades abans que es guardin al

dispositiu, i es desxifren just després d’extreure-les

sense intervenció de l’usuari. Una vegada està muntat

el volum de xifrat, i s’ha introduït la frase de pas, la uti-

lització és transparent per a l’usuari.

• DiskCryptor: es tracta d’una utilitat en codi obert

que ens permet encriptar dispositius de tipus disc dur,

memòria USB i CD/DVD. El xifrat es pot realitzar amb

més d’un algorisme. L’inconvenient d’aquesta eina és

la seva utilització. És necessari que l’usuari tingui base

tècnica.

Xifrat per hardwareEn aquest tipus de xifrat els dispositius disposen d’un

microxip on es genera i es guarden les claus de xifrat,

per tant, mai surten del dispositiu i així no poden ser

interceptades en una transmissió de dades.

El principal avantatge d’aquest tipus de xifrat és que és

molt senzill, els usuaris no s’han de preocupar d’instal-

lar cap programa addicional, i depenent del dispositiu

està suportat pels sistemes operatius més habituals

com ara Windows, Mac OSx i Linux.

A més del xifrat de les dades, cal saber i establir tècni-

cament qui pot accedir a la informació emmagatzema-

da en aquests dispositius.

Hi ha diverses tecnologies aplicables a aquest tipus de

dispositius que permeten autenticar un usuari que vol

accedir a la informació emmagatzemada:

• Contrasenya o PIN: Els usuaris s’autentifiquen escri-

vint la seva contrasenya. Aquest tipus d’autentificació

pot ser utilitzada tant per xifratge per software, com per

xifratge per hardware.

• Biometria: Sistema d’autentificació recomanable per

a l’accés a dispositius amb xifratge per hardware en

què l’usuari escaneja alguna característica única del

seu cos. El dispositiu de control biomètric més habitual

és el lector d’empremtes dactilars.

• Autentificació de dos factors (2FA): Utilitza una

contrasenya dinàmica generada per un dispositiu, a

més de la clau coneguda d’usuari. Per tal d’accedir a

les dades, necessiten l’aparell que la genera. Aquest

tipus de validació és recomanable per entorns de xifrat

per hardware.

• Targeta intel·ligent: És un altre tipus d’autentificació

de tipus doble factor (2FA). En aquest cas la unitat sol-

licita a l’usuari que insereixi una targeta identificativa

en una ranura, per després introduir un codi d’accés.

Aquestes targetes intel·ligents són molt resistents als

copiats i utilitzen una tecnologia similar a la de les tar-

getes SIM dels telèfons mòbils GSM.

Deshabilita l’escriptura de dispositius des del registre de WindowsEn algunes ocasions pot ser necessari que el dispositiu

extraïble tingui bloquejada la propietat d’escriptura.

Això ho podem solucionar, en el cas de sistemes ope-

ratius de tipus Windows, modificant-ne el registre, com

s’indica a continuació:

• Executar l’editor del registre de Windows (Inici > Exe-

cutar > “regedit”).

• Una vegada executat haurem d’anar a HKEY_LO-

CAL_MACHINE - SYSTEM – CURRENTCONTROL-

SET – Control – StorageDevicePolicies – writeProtect.

(*) La categoria “StorageDevicePolicies” pot ser que no

existeixi, si és així, s’ha de crear fent clic amb el botó

dret sobre la categoria “Control” per crear-la a dins amb

el nom “StorageDevicePolicies”. Una vegada tinguin la

categoria, crearan dintre un nou valor DWORD amb el

nom “WriteProtect”.

• Posaran el valor de “writeProtect” a (1). Això serveix

tant per bloquejar (1) com desbloquejar (0) l’opció de

l’escriptura d’un dispositiu extraïble. Per saber si el dis-

positiu està protegit pel mode de només lectura hau-

rem de:

- Fer clic al botó dret sobre la carpeta seleccio-

nada i seleccionar “Propietats”

- Mirar si la casella “Només lectura” està selec-

cionada.

És important que per a portar a terme aquest tipus d’ac-

ció, tinguem un coneixement tècnic de base. Modificar

incorrectament el registre de Windows pot malmetre el

Sistema Operatiu.

Deshabilita l’opció d’execució automàticaUn percentatge gran del desenvolupament de codi

maliciós utilitza les característiques d’autoexecució

del sistema operatiu Windows per infectar el sistema.

Aquesta funcionalitat executa l’arxiu “autorun.inf” a CD,

DVD o memòries USB.

A continuació, explicarem com desactivar aquesta pro-

pietat.

Aquest mètode deshabilita permanentment i totalment

la capacitat d’autoexecució d’autorun.inf. Es tracta

d‘eliminar les subclaus en el registre de configuració

de Windows. El procediment a seguir és el següent:

1. Executar l’editor del registre de Windows (Inici >

Executar> “regedit”)

2. Buscar la clau de registre següent:

HKEY_CURRENT_USER\Software\Microsoft\Win-

dows\CurrentVersion\Explorer\MountPoints2

3. Clicar amb el botó dret del ratolí damunt de “Mount-

Points2”, i prémer l’opció “Permisos”.

4. Denegar el control total per a tots els usuaris incloent

SYSTEM, nom del PC, etc.

D’aquesta manera, encara que hi hagi un virus en un

dispositiu extraïble, el virus no serà executat. Així do-

narà temps a l’antivirus d’escanejar el dispositiu extraï-

ble i desinfectar-lo, si cal.

És important que per portar a terme aquest tipus d’ac-

ció, tinguem un coneixement tècnic de base. Modificar

incorrectament el registre de Windows pot malmetre el

sistema operatiu.

Recomanacions aplicables per a programari maliciósUn dels perills d’utilitzar un dispositiu extraïble és la in-

fecció dels equips per malware (programari maliciós).

El malware és un tipus de software que té com a objec-

tiu infiltrar-se o danyar un equip sense el c

Els dispositius mòbils (portàtils, agendes electròni-

ques, tauletes, etc.), així com els suports extraïbles

(llapis USB, discs durs portàtils...) tenen un risc més

alt de ser vulnerables, a causa de la seva facilitat d’ús,

alta mobilitat, capacitat d’emmagatzematge i políti-

ques permissives per part de les organitzacions, en

el cas que permetin el flux d’informació guardada als

suports sense aplicar cap mena de control. Preguntes

com ara si un empleat pot emmagatzemar informació

en un llapis USB, si es controla la informació emma-

gatzemada en portàtils i agendes electròniques, o si

estan controlades les unitats gravadores de CD dels

equips, tenen difícil resposta si la informació no està

classificada i no s’han definit instruccions per als usu-

aris, política de seguretat d’empresa.

Les actuacions per aconseguir un control sobre l’ús de

dispositius mòbils i suports extraïbles a l’empresa in-

clouen la realització d’una classificació de la informació

que inclogui la identificació dels suports i la informació

que s’hi emmagatzema. Per aconseguir-ho es poden

realitzar les tasques següents:

• Inventariar tots els suports existents i assignar un res-

ponsable a cada un.

• Etiquetar de manera visible cada suport, segons les

normes recollides a la guia de classificació de la infor-

mació.

• Prohibir la creació i l’ús de suports no autoritzats que

no deixin registre a l’inventari de l’organització.

• Valorar la restricció de l’accés a unitats d’emmagatze-

matge extern i si és realment necessari per al dia a dia,

i només permetre l’ús d’aquest tipus d’accés als equips

informàtics que realment ho necessitin, i que només

puguin ser utilitzats per persones autoritzades, que hi

accedeixin via contrasenya.

• Establir instruccions d’ús de cada tipus de dispositiu

mòbil o suport extraïble, incloent-hi els usuaris autorit-

zats, les entrades i sortides de l’organització i la noti-

ficació de les incidències que es puguin presentar en

matèria de seguretat de la informació.

• Registres de logs de la informació copiada i de la per-

sona o màquina on s’ha fet la còpia.

La implantació de normes d’ús de suports extraïbles

està reflectida a la norma ISO 17799, al punt següent:

• Hi ha d’haver procediments que descriguin les mesu-

res de seguretat per a l’ús de suports extraïbles (punts

10.7.1 ISO 17799:2005).

L’empresa decideix que facilitarà al responsable del

departament comptable un llapis de memòria USB,

perquè faci les còpies de seguretat de la comptabili-

tat de l’organització. L’empresa pot decidir, a més, en

aquest punt:

• No definir cap norma d’utilització de dispositius ex-

traïbles:

En el cas que l’empresa no hagi definit cap norma d’uti-

lització d’aquest llapis de memòria, el responsable de

l’ús del llapis, un cop ha fet la còpia de seguretat, veu

que li sobra espai al suport i decideix connectar el lla-

pis al PC de casa per guardar-hi unes fotos personals

i música que es descarrega d’Internet per escoltar-la

després a l’oficina. Els possibles riscos de seguretat

per a l’organització són els següents:

- Pèrdua d’integritat de les dades.

- Possible esborrat de la informació.

- Infecció per malware.

- Fuita d’informació.

• Definir normes d’utilització de dispositius extraïbles:

L’empresa defineix normes d’ús d’aquest llapis (esta-

bleix una “política de seguretat”), i l’etiqueta com a su-

port limitat a allotjar informació restringida. A més, ho

reflecteix a l’inventari de suports i, finalment, el lliura a

l’usuari responsable.

Es defineixen les normes d’ús del suport, que inclo-

uen mesures disciplinàries en cas d’incompliment, i es

lliurem per escrit al responsable del departament de

comptabilitat.

Les normes també inclouen l’avís que, periòdicament,

sense avís, es pot sol·licitar al responsable del suport

que el lliuri per comprovar que es compleixen correc-

tament

Totes les mesures queden reflectides formalment mit-

jançant un escrit signat. Així, ens assegurem que el

responsable del llapis de memòria compleix totes les

normes de seguretat establertes per l’empresa.

Uso de unidades portátiles cifradas para proteger los datos almacenados. HP.

http://h30565.www3.hp.com/t5/Destacado/Uso-de-unidades-port%C3%A1tiles-cifradas-para-proteger-los-

datos/ba-p/3263?profile.language=es

Prevent data to the fusing removable devices. Get Safe Online.

http://www.getsafeonline.org/nqcontent.cfm?a_id=1103

Los dispositivos extraíbles son un eslabón débil. Security Advisor.

http://www.sadvisor.com/articulos/articulos_masinfo.php?id=40&secc=articulos&cr=&path=0.280

Consejos de seguridad para equipos portátiles y soportes extraíbles. Portal de seguridad CLM.

http://protegete.jccm.es/protegete/opencms/Administracion/Seguridad/Consejos/portatiles.html

Bloquea el malware que se propaga por dispositivos extraíbles con USB Immunizer. Malwarecity.

http://www.malwarecity.es/blog/bloquea-el-malware-que-se-propaga-por-dispositivos-extrables-con-usb-

immunizer-92.html

Guía práctica: Cifrar una unidad USB. Mencar Global Consulting.

http://www.mencargc.es/Newsletters/Num2/CifrarUSB

Cómo encriptar y asegurar datos sensibles. PC Actual.

http://www.pcactual.com/articulo/zona_practica/paso_a_paso/4374/como_encriptar_asegurar_datos_sensi-

bles.html