Publicat el procediment de gestió d’incidències

La gestió de les incidències en general i de les relacionades amb la seguretat en particular és un aspecte molt important en l’àmbit de la seguretat de la informació. S’entén per incidència de seguretat qualsevol anomalia o esdeveniment amb conseqüències en detriment de la seguretat dels sistemes d’informació —tant els de tecnologia de la informació com els tradicionals—o de les dades que gestionen.


La gestió de les incidències de seguretat és més efectiva com abans se sàpiga que s’han produït. Per això és clau la notificació adequada d’aquestes incidències, definida i formalitzada adequadament.

En aquest número del BUTLLETÍ INFORMATIU pretenem difondre el procediment general que s’ha d’aplicar per al procés de gestió d’incidències de tecnologia de la informació i per al procés de gestió d’incidències de seguretat, donant a conèixer els elements essencials per aconseguir que la notificació i el registre d’incidències siguin efectius.

 

imagen

Un dels elements essencials és la fase de registre de la incidència, que comprèn des que es detecta fins que es notifica. El registre inicial pot tenir tres vies d’entrada:

  • Autoservei: el registre per autoservei es produeix quan un client* utilitza un siste-ma d’informació per registrar automàticament el cas.
  • Telefonada al CAU: un client pateix una incidència i telefona al CAU per comuni-car-la-hi.
  • Agent: un agent detecta o pateix una incidència i la introdueix directament en el sistema de gestió d’incidències.

 

La notificació de les incidències de tecnologia de la informació i de les incidències de seguretat és responsabilitat de tot el personal que treballa al Servei de Salut, inclosos el personal extern, els proveïdors del servei de suport de tecnologia de la informació i els proveïdors dels serveis de seguretat.

Qualsevol treballador que conegui o detecti una incidència de qualsevol tipus o un esde-veniment que potencialment pugui desembocar en un incident té l’obligació de notificar-ho. No fer-ho pot provocar que li apliquin mesures disciplinàries, de conformitat amb el règim disciplinari vigent.

En aquest sentit, us recordam que en l’enllaç següent està a la vostra disposició el Codi de bones pràctiques en l’ús dels sistemes d’informació i el tractament de les dades de caràcter personal del Servei de Salut:

 

 

http://www.ibsalut.es/ibsalut/documentospdf/cat/cbp_cat.pdf

 

*S’empra el concepte client per diferenciar-lo del concepte usuari, que en el Servei de Salut s’utilitza per referir-se a les persones que reben la prestació sanitària.

Altres estafes habituals en temps de crisi

imagen

 

Seguint la línia del BUTLLETÍ núm. 16, presentam una llista de cinc estafes habituals en aquests temps de crisi per tal de captar ingressos i recur-sos econòmics de les víctimes per mitjans electrònics i sistemes aparentment fiables i amb dificultat operacional baixa, a fi d’arribar a qualsevol tipus d’usuari.


 

 

1. Paquets de vacances i viatges

S’ofereixen paquets de vacances i viatges a llocs paradisíacs per tal d’aconseguir que la víctima pagui per uns productes que realment no existei-xen. Es tracta d’un delicte d’estafa, ja que la pro-moció no existeix o l’oferta és prou enganyosa, la qual cosa causa un perjudici econòmic a les per-sones que l’adquireixen.

2. Oferiment de crèdit amb pagament per endavant

Primer la víctima rep un missatge electrònic que li informa que ha estat seleccionada per obtenir un préstec amb unes condicions molt atractives, el qual pot ser concedit o no. La víctima ha d’omplir un formulari i pagar una taxa perquè li puguin concedir el préstec. Després li deneguen i mai no li tornen la taxa que ha avançat.

3. Xecs falsos

L’estafa dels xecs falsos consisteix en el fet que la víctima, que és el venedor legal d’un producte per mitjà d’Internet, és estafada pel suposat comprador del producte, que li envia un xec aparentment vàlid per una quantitat superior al valor del producte, amb la condició que el ve-nedor li aboni la diferència entre el preu del producte i el valor del xec. Aquest resulta ser fals, de manera que el venedor no pot recuperar la diferència abonada.

4. Inversions

En aquest cas l’estafador anuncia promeses d’inversions que generen grans beneficis a curt termini i sense riscs, per la qual cosa resulten atractives per a les víctimes. Alguns exemples d’aquest tipus d’inversions fraudulentes utilitzen el nom del Grup del Banc Mundial o pretenen ser una institució afiliada a aquest.

5. Hoax

És el terme utilitzat per als missatges electrònics que contenen una notícia falsa (una faula, diguem-ne) i que s’utilitzen per sensibilitzar la víctima sobre l’assumpte a fi que faci una aportació econòmica per a un determinat bé social. En aquests casos es pretén abusar de la solidaritat dels usuaris, que empatitzen amb la situació que pateixen altres persones.

Consells per detectar missatges i pàgines web fraudulents

  1. No doneu crèdit a premis, regals o ingres-sos econòmics inesperats.
  2. Desconfiau dels missatges que presentin faltes d’ortografia i errades gramaticals.
  3. Malfiau-vos quan intentin forçar-vos a prendre una decisió en un termini breu advertint-vos de les conseqüències negatives de no fer-ho.
  4. 4. Dubtau de les inversions a curt termini i sense riscs.
Podeu trobar més consells útils per reconèi-xer pàgines web i missatges fraudulentes en aquesta pàgina del web de l’Institut Nacional de Tecnologies de la Comunicació (INTECO).

El “top 5” de les estafes en línia de 2012

imagen

 

 

En aquest número del BUTLLETÍ INFORMATIU presentam una llista amb les cinc estafes en línia més prolíferes durant l’any passat, segons dades de la Brigada d’Investigació Tecnològica de la Policia Nacional, perquè estigueu al corrent dels fraus més emprats pels ciberdelinqüents i així eviteu ser-ne víctima.

>
Llegeix més: Butlletí nº 16 any 2013

Seguretat, també per Nadal

imagen

 

Durant les festes nadalenques, sovint no tenim cura d’un aspecte tan important com la seguretat a l’hora de navegar per Internet, fer compres o operacions en línia i compartir imatges o fitxers amb familiars i amics.

Per aquest motiu, us oferim algunes utilitats gratuïtes que us permetran continuar gaudint d’aquestes festes amb més tranquil•litat, per evitar tant com sigui possible que qualque ciberdelinqüent us robi el Nadal.

 

 

Llegeix més: Butlletí nº 15 any 2012

Cursos gratuïts relacionats amb la seguretat de la informació

 

Una de les mesures de seguretat més rellevants en el marc legislatiu de la protecció de la informació és la FORMACIÓ i la CONSCIENCIACIÓ dels usuaris dels sistemes d’informació. És imprescindible que prenguem consciència de la importància de les nostres accions en l’ús dels sistemes d’informació i de les aplicacions d’aquests, independentment de les mesures de seguretat tècniques que s’hagin implantat amb la finalitat de protegir-los.

Llegeix més: Butlletí nº 14 any 2012