Salta el contingut

Prevenció i Conscienciació en Ciberseguretat

Proposta didàctica

En aquest bloc treballem la RA1: Desenvolupa plans de prevenció i conscienciació en ciberseguretat per a empleats i grups d'interès.

Criteris d'avaluació

  • CA1.1 Defineix principis generals de ciberseguretat organitzatius.

  • CA1.2 Estableix normativa de protecció del lloc de treball.

  • CA1.3 Defineix pla de conscienciació per a empleats.

  • CA1.4 Desenvolupa materials de conscienciació.

  • CA1.5 Realitza auditoria del pla de prevenció.

Continguts de referència

  1. Principis generals de ciberseguretat organitzativa

    • 1.1 La tríada CIA: Confidencialitat, Integritat, Disponibilitat
    • 1.2 Principis complementaris: autenticitat, no repudi, traçabilitat
    • 1.3 Gestió de riscos: identificació, anàlisi i tractament
    • 1.4 Marcs de referència: ISO 27001, NIST CSF, ENS
  2. Normativa de protecció del lloc de treball

    • 2.1 Política d'ús acceptable (AUP)
    • 2.2 Política de contrasenyes
    • 2.3 Política de dispositius mòbils i BYOD
    • 2.4 Política de teletreball
    • 2.5 Classificació de la informació
  3. Plans de conscienciació

    • 3.1 Disseny d'un pla de conscienciació
    • 3.2 Phishing simulat: metodologia i eines
    • 3.3 Formació contínua i microformació
    • 3.4 Mètriques de conscienciació
  4. Materials de conscienciació

    • 4.1 Cartells i infografies
    • 4.2 Newsletters de seguretat
    • 4.3 Vídeos i mòduls e-learning
    • 4.4 Gamificació
  5. Auditoria del pla de prevenció

    • 5.1 Metodologia d'auditoria
    • 5.2 Indicadors clau de rendiment (KPIs)
    • 5.3 Informe d'auditoria

Programació d'aula

Sessió Continguts Activitats CAs Treballats
1 Presentació del mòdul. La tríada CIA CA1.1
2 Marc normatiu: RGPD, ENS, NIS2 CA1.1, CA1.2
3 Normativa del lloc de treball: AUP, contrasenyes CA1.2
4 Classificació de la informació. BYOD CA1.2
5 Disseny de plans de conscienciació CA1.3
6 Phishing simulat: eines (GoPhish) CA1.3, CA1.4
7 Materials de conscienciació: disseny CA1.4
8 Gamificació i microformació CA1.4
9 Auditoria del pla: mètriques i KPIs CA1.5
10 Cas real: incident RSA SecurID 2011 CA1.1, CA1.3
11-14 Pràctica: Campanya de conscienciació AC502 CA1.3, CA1.4
15-20 Projecte bloc 1 PF501 parcial Tots CA1.x

1. Principis generals de ciberseguretat

La tríada CIA

La base de tota estratègia de ciberseguretat és la tríada CIA (de l'anglès Confidentiality, Integrity, Availability), que en català es tradueix com Confidencialitat, Integritat i Disponibilitat. Aquestes tres propietats constitueixen els pilars sobre els quals es dissenyen tots els controls de seguretat.

mindmap
  root((CIA))
    Confidencialitat
      Control d'accés
      Xifrat de dades
      Classificació info
      Principi mínim privilegi
    Integritat
      Hashing i checksums
      Signatures digitals
      Controls de canvi
      Auditoria de logs
    Disponibilitat
      Redundància
      Alta disponibilitat
      Plans de contingència
      Backups i DR

Confidencialitat significa que la informació només és accessible per a les persones, processos o sistemes que estan autoritzats a accedir-hi. Una bretxa de confidencialitat es produeix quan informació sensible és divulgada a persones no autoritzades, ja sigui per un atac extern (exfiltració de dades) o per un incident intern (un empleat que envia dades per error a la persona equivocada).

Mecanismes per garantir la confidencialitat: xifrat de dades en trànsit i en repòs, control d'accés basat en rols (RBAC), principi del mínim privilegi (cada usuari i procés ha de tenir únicament els permisos necessaris per fer la seva feina), i classificació de la informació.

Integritat garanteix que la informació no ha estat modificada de manera no autoritzada, tant en trànsit com en emmagatzematge. Un atac a la integritat pot ser tan perillós com un atac a la confidencialitat. Imagineu que un atacant modifica els imports d'una transferència bancària en trànsit, o que altera els logs d'auditoria d'un sistema per ocultar les seves activitats.

Els mecanismes principals per garantir la integritat inclouen les funcions de hash (SHA-256, SHA-3), les signatures digitals, els controls de versió, i els sistemes de detecció d'intrusions.

Disponibilitat assegura que la informació i els serveis estan accessibles quan els usuaris autoritzats els necessiten. Els atacs de denegació de servei (DoS/DDoS) i el ransomware són els principals atacs a la disponibilitat. Tanmateix, la disponibilitat també es pot veure afectada per incidents no maliciosos: un tall de corrent, un error de configuració o un desastre natural.

Les mesures de disponibilitat inclouen: redundància de sistemes, balanceig de càrrega, còpies de seguretat regulars, plans de recuperació davant desastres (DR) i plans de continuïtat de negoci (BCP).

Principis complementaris

Més enllà de la tríada CIA, la ciberseguretat moderna considera tres principis addicionals:

Autenticitat: Garanteix que una entitat (persona, sistema o document) és qui diu ser. El mecanisme fonamental és l'autenticació, que pot ser simple (contrasenya), doble factor (2FA) o multifactor (MFA). La normativa actual tendeix a exigir MFA per a accedir a sistemes crítics.

No repudi: Impedeix que una entitat pugui negar haver realitzat una acció. Les signatures digitals proporcionen no repudi: si un document ha estat signat digitalment, el signant no pot negar-ne la signatura. En l'àmbit corporatiu, els logs d'auditoria garanteixen el no repudi de les accions realitzades als sistemes.

Traçabilitat: Permet reconstruir la seqüència d'events que han conduït a una situació determinada. En ciberseguretat, la traçabilitat s'implementa a través de logs exhaustius i sistemes SIEM. Sense traçabilitat adequada, la investigació d'un incident és pràcticament impossible.

Miniactivitat 1.1

Analitzeu el següent escenari i identifiqueu quines propietats CIA (i complementàries) es veurien afectades en cada cas:

  1. Un atacant aconsegueix llegir els correus electrònics d'un director financer.
  2. Un ransomware xifra tots els fitxers d'un servidor de fitxers.
  3. Un empleat modifica retroactivament un registre de temps de treball en el sistema HR.
  4. Un atacant realitza un atac DDoS contra el web corporatiu durant el Cyber Monday.
  5. Un proveïdor extern nega haver enviat una factura fraudulenta, tot i tenir evidència del correu.

Per a cada cas, identifiqueu: quina propietat s'ha vulnerat, quines conseqüències pot tenir per a l'organització, i quin control preventiu hauria pogut evitar-ho.

Gestió de riscos

La seguretat absoluta no existeix. L'objectiu de la gestió de riscos és identificar els riscos, avaluar-los i prendre decisions informades sobre com tractar-los. El cicle de gestió de riscos segueix quatre passos:

flowchart LR
    A["1. Identificació\nd'actius i amenaces"] --> B["2. Anàlisi del risc\n(impacte × probabilitat)"]
    B --> C["3. Avaluació\ni priorització"]
    C --> D["4. Tractament\ndel risc"]
    D --> A

Tractament del risc: Un cop avaluat, el risc es pot tractar de quatre maneres:

  • Mitigar: Implementar controls que redueixin la probabilitat o l'impacte del risc.
  • Acceptar: Assumir el risc si el cost del control supera el cost de l'impacte esperat.
  • Transferir: Traslladar el risc a un tercer (per exemple, contractar una assegurança de ciberseguretat).
  • Evitar: Eliminar l'activitat que genera el risc.

Marcs de referència

Per estructurar la gestió de la ciberseguretat, les organitzacions s'acullen a marcs de referència reconeguts internacionalment:

ISO/IEC 27001: Estàndard internacional per a sistemes de gestió de la seguretat de la informació (SGSI). Proporciona un marc per establir, implementar, mantenir i millorar contínuament la seguretat de la informació. La certificació ISO 27001 és molt valorada en els processos de contractació pública i entre grans empreses.

NIST Cybersecurity Framework (CSF): Desenvolupat pel National Institute of Standards and Technology dels EUA, és àmpliament adoptat a nivell mundial. S'organitza en cinc funcions: Identificar, Protegir, Detectar, Respondre i Recuperar.

ENS (Esquema Nacional de Seguretat): Marc obligatori per a les administracions públiques espanyoles, regulat pel Reial Decret 311/2022. Estableix principis, requisits i mesures de seguretat classificats en tres categories (bàsica, mitjana, alta) segons l'impacte d'un incident.


2. Normativa de protecció del lloc de treball

Per què cal una normativa interna?

El 82% dels incidents de ciberseguretat impliquen un factor humà (informe Verizon DBIR 2023). Les normatives internes no busquen castigar els empleats, sinó proporcionar-los guies clares sobre comportaments segurs que redueixin el risc. Una organització sense normatives clares no pot exigir responsabilitats ni protegir-se legalment davant d'incidents causats per comportaments inadequats del personal.

Política d'ús acceptable (AUP)

La Política d'Ús Acceptable (AUP, de l'anglès Acceptable Use Policy) defineix com els empleats poden i no poden usar els recursos tecnològics de l'empresa: ordinadors, xarxa, correu electrònic, Internet, telèfons corporatius, etc.

Una AUP típica cobreix:

  • Ús personal dels recursos: Generalment es permet un ús personal moderat, però s'han d'establir límits clars (per exemple, no descarregar programari no autoritzat, no accedir a llocs de pornografia o joc, no usar els recursos per a activitats lucratives personals).
  • Correu electrònic corporatiu: Ús exclusiu per a finalitats professionals. No reenviar informació confidencial a comptes personals.
  • Xarxes socials: Claredat sobre el que es pot o no publicar en relació amb l'empresa.
  • Dispositius personals (BYOD): Si es permet l'ús de dispositius personals per a la feina, quines aplicacions i dades corporatives es poden accedir i com s'ha de protegir la informació.
  • Conseqüències de l'incompliment: La política ha d'especificar les sancions per incompliment, que poden anar des d'advertiments fins al cessament o accions legals.

Política de contrasenyes

La política de contrasenyes és un dels controls bàsics més efectius. Tot i la seva simplicitat aparent, la manca d'una política adequada ha causat nombrosos incidents greus. Els principis actuals (NIST SP 800-63B) s'allunyen dels requisits de complexitat arbitraris per centrar-se en:

  • Longitud mínima: Es recomanen almenys 12 caràcters. La longitud és el factor més important per a la resistència davant d'atacs de força bruta.
  • No reutilització: Evitar contrasenyes usades anteriorment (en general, els darrers 10-24 cicles).
  • Autenticació multifactor (MFA): Obligatòria per a accedir a sistemes crítics, VPN, panells d'administració i comptes privilegiats.
  • Gestors de contrasenyes: Recomanar i facilitar l'ús de gestors de contrasenyes corporatius (per exemple, Bitwarden, KeePass).
  • Comprovació contra llistes negres: Les contrasenyes no han de coincidir amb paraules de diccionari ni amb contrasenyes compromeses (bases de dades com HaveIBeenPwned).
  • Renovació periòdica limitada: Contra la recomanació tradicional, el NIST actual desaconsella la renovació obligatòria periòdica sense causa concreta, ja que genera contrasenyes previsibles (Password1 → Password2 → Password3...).

Error comú en polítiques de contrasenyes

Moltes organitzacions implementen polítiques de caducitat de contrasenyes cada 90 dies pensant que milloren la seguretat. En realitat, la recerca demostra que quan els usuaris se'ls obliga a canviar contrasenyes freqüentment, tendeixen a fer variacions mínimes i previsibles de la mateixa contrasenya. El NIST (National Institute of Standards and Technology) des de 2017 desaconsella la caducitat periòdica obligatòria si no hi ha evidència de compromís.

Política de dispositius mòbils i BYOD

El model BYOD (Bring Your Own Device) ha estat accelerat per la pandèmia i el teletreball. Permet als empleats usar dispositius personals per accedir als recursos corporatius, però introdueix nous riscos:

  • Solució MDM (Mobile Device Management): Eines com Microsoft Intune, VMware Workspace ONE o Jamf permeten gestionar els dispositius des d'una consola centralitzada: forçar l'ús de PIN/contrasenya, xifrar l'emmagatzematge, aplicar actualitzacions, i esborrar dades corporatives remotament en cas de pèrdua o robatori.
  • Contenidors: Separació tecnològica entre l'espai personal i professional al dispositiu, garantint que l'empresa no pot accedir a fotos o missatges personals però sí protegir i esborrar la informació corporativa.
  • Xarxes Wi-Fi: Prohibició d'accedir a recursos corporatius des de xarxes Wi-Fi públiques sense VPN.

Classificació de la informació

No tota la informació d'una organització té el mateix valor ni requereix el mateix nivell de protecció. Un esquema de classificació defineix categories i estableix els requisits de manipulació per a cada una:

Classificació Descripció Exemples Controls
Pública Informació destinada a ser compartida lliurement Web corporativa, notes de premsa Mínims
Interna Informació per a ús intern general Procediments interns, directoris Accés empleats
Confidencial Informació sensible per a l'empresa Contractes, plans estratègics Accés restringit + xifrat
Secret / Molt confidencial Informació crítica Secrets comercials, dades financeres no publicades Màxima restricció

Miniactivitat 1.2

La vostra empresa acaba de patir un incident: un empleat del departament de màrqueting ha enviat per error un fitxer Excel amb els salaris de tots els empleats a la llista de distribució general de l'empresa. Dissenyeu:

  1. Quina classificació hauria d'haver tingut aquest document?
  2. Quins controls tècnics haurien pogut prevenir l'enviament accidental?
  3. Quins apartats de la AUP cobreixen aquesta situació?
  4. Quines accions immediates cal prendre un cop produït l'incident?

3. Plans de conscienciació

El factor humà com a vector d'atac principal

L'enginyeria social és el mètode d'atac més efectiu i el que menys recursos tècnics requereix. No cal explotar una vulnerabilitat de programari si es pot enganyar un empleat perquè proporcioni les seves credencials o instal·li un programa maliciós voluntàriament.

El cas RSA SecurID (2011): En març de 2011, RSA Security, una de les empreses líders en ciberseguretat, va patir una bretxa que va comprometre el seu sistema d'autenticació SecurID, usat per milions d'usuaris arreu del món. L'origen va ser un correu electrònic de phishing enviats a dos grups petits d'empleats de RSA amb l'assumpte "2011 Recruitment Plan". El correu portava un fitxer Excel adjunt que, en obrir-se, explotava una vulnerabilitat zero-day d'Adobe Flash per instal·lar un troià de accés remot (RAT). Des d'allà, els atacants van moure's lateralment per la xarxa fins a arribar als servidors que contenien les dades de les llavors (seeds) dels tokens SecurID. La informació exfiltrada va ser usada mesos després per atacar Lockheed Martin, un contractor de defensa nord-americà. El cost per a RSA va superar els 66 milions de dòlars. Tot va começar amb un clic en un arxiu Excel.

Disseny d'un pla de conscienciació

Un pla de conscienciació eficaç no és un curs de 2 hores que es fa una vegada a l'any. Ha de ser un programa continu i estructurat. Els elements clau d'un bon pla:

flowchart TD
    A["Anàlisi inicial\n(qüestionaris, tests de phishing)"] --> B["Definició d'objectius\ni públic objectiu"]
    B --> C["Disseny del programa\n(continguts, formats, freqüència)"]
    C --> D["Implementació\n(formació, campanyes, simulacres)"]
    D --> E["Mesurament\n(KPIs, tests post-formació)"]
    E --> F["Revisió i millora\n(iteració continua)"]
    F --> C

Segmentació del públic: No tots els empleats necessiten la mateixa formació. Un director financer necessita formació específica sobre fraus BEC (Business Email Compromise) i suplantació del CEO (whale phishing). Un desenvolupador necessita formació sobre codi segur. La recepcionista necessita formació sobre tailgating i visites d'estranys. La segmentació permet maximitzar la rellevància i, per tant, l'efectivitat de la formació.

Freqüència i formats: La recerca en aprenentatge demostra que sessions curtes i freqüents (microformació) són molt més efectives que sessions llargues i esporàdiques. Alguns elements d'un programa efectiu:

  • Sessions presencials de formació (trimestral o semestral)
  • Mòduls e-learning de 10-15 minuts mensuals
  • Newsletters de seguretat mensuals o bimensuals
  • Simulacres de phishing trimestral amb feedback immediat
  • Cartells i recordatoris visuals a l'oficina
  • Tests de seguretat física (tailgating, baiting)

Phishing simulat

El phishing simulat és una de les eines més poderoses per mesurar i millorar la conscienciació dels empleats. La metodologia és simple: l'equip de seguretat envia correus de phishing simulats als empleats (amb el coneixement i l'aprovació de la direcció, però sense prevenir els empleats específicament). S'analitza quants empleats fan clic en l'enllaç maliciós o proporcionen les seves credencials.

Eina: GoPhish (codi obert)

GoPhish és la plataforma de phishing simulat de codi obert més popular. Permet crear campanyes personalitzades, clonar pàgines web legítimes, i obtenir informació detallada sobre quins empleats han interaccionat amb el correu.

# Desplegament de GoPhish amb Docker
docker run -d \
  --name gophish-NOMCOGNOM \
  -p 3333:3333 \
  -p 8080:80 \
  -v gophish-data:/app/data \
  gophish/gophish

# Accedir al panell d'administració: https://localhost:3333
# Credencials inicials: admin / gophish (cal canviar-les!)

Elements d'un correu de phishing simulat realista:

  1. Pretext creïble: Urgència (el compte serà suspès), curiositat (un paquet pendent), por (activitat sospitosa detectada), o avarícia (un premi guanyat).
  2. Remitent falsificat: Aparença d'un remitent de confiança (IT intern, RRHH, Banco, Microsoft).
  3. Urgència: "Heu de verificar el vostre compte en les properes 24 hores".
  4. Enllaç maliciós: Redirigeix a una pàgina de recollida de credencials o de descàrrega de malware.

Consideracions ètiques del phishing simulat

El phishing simulat ha de fer-se sempre amb el coneixement i l'aprovació de la direcció de l'empresa i, si n'hi ha, del comitè d'empresa o representants dels treballadors. El seu objectiu és educatiu, no punitiu. Els empleats que "cauen" en el simulacre han de rebre formació immediata i constructiva, no represàlies. És imprescindible tenir l'aprovació explícita per escrit abans de llançar cap campanya de phishing simulat.

Miniactivitat 1.3

Dissenyeu una campanya de phishing simulat per a una empresa fictícia de 50 empleats del sector financer:

  1. Trieu el pretext del correu (justifiqueu la tria tenint en compte el sector).
  2. Descriviu els elements del correu que el farien convincent.
  3. Definiu les mètriques que mesurareu (taxa de clics, taxa de credencials introduïdes, taxa de reportat).
  4. Dissenyeu el missatge de formació que rebran els empleats que hagin fet clic.
  5. Quina política cal tenir en lloc per assegurar-se que la campanya és ètica i legal?

4. Materials de conscienciació

El repte de la comunicació de seguretat

Comunicar la ciberseguretat de manera efectiva és difícil. El públic general percep la seguretat com a tediosa, restrictiva o excessivament tècnica. El repte és convertir missatges tècnics en continguts atractius, comprensibles i memorables que motivin un canvi de comportament real.

Cartells i infografies

Els elements visuals en el lloc de treball mantenen la seguretat present en el dia a dia. Un bon cartell de seguretat ha de:

  • Tenir un únic missatge clar (no intentar dir-ho tot)
  • Usar imatges simples i rellevants
  • Tenir un crida a l'acció concreta ("Si reps un correu sospitós, reenvial a seguretat@empresa.cat")
  • Ser renovat regularment per no perdre visibilitat (fenomen de ceguesa al banner)

Temes habituals: "Pensa abans de clicar", "Tanca sessió quan marxis", "Bloqueja la pantalla (Win+L)", "Verifica per telèfon les transferències inusuals".

Newsletters de seguretat

Una newsletter mensual de seguretat (de no més de 500-600 paraules o en format visual) que cobreixi:

  • Una amenaça actual rellevant per al sector
  • Un cas real o incident recent
  • Un consell pràctic accionable
  • Un recordatori d'una política interna important

La clau és la rellevància: si els empleats senten que els continguts afecten la seva feina i la seva vida personal, prestaran atenció.

Vídeos i mòduls e-learning

Els vídeos i mòduls interactius permeten una formació escalable i mesurable. Plataformes com KnowBe4, Proofpoint Security Awareness, o solucions de codi obert com Moodle permeten:

  • Assignar mòduls específics per rol o departament
  • Fer tests d'avaluació pre i post formació
  • Fer seguiment de la completesa i els resultats
  • Generar informes per a la direcció

Microformació (microlearning): Vídeos de 2-5 minuts sobre un tema molt concret són molt més eficients que hores de formació genèrica. El concepte es basa en la teoria de la memòria espaciada: petites dosis de formació repetides al llarg del temps milloren la retenció significativament.

Gamificació

Incorporar elements de joc a la formació en ciberseguretat millora l'engagement i la retenció:

  • Competicions de phishing: Departament amb menys clics en simulacres guanya un premi
  • Quiz de seguretat: Preguntes setmanals per guanyar punts
  • Capture The Flag (CTF) intern: Per a personal tècnic, competitions de hacking ètic intern
  • Certificacions internes: Empleats que completen formació reben un "carnet" de ciberseguretat

Miniactivitat 1.4

Creeu una infografia en format de cartell A4 sobre un dels següents temes (en format text descrivint els elements visuals i el contingut):

  1. "Les 5 claus per a una contrasenya segura"
  2. "Com identificar un correu de phishing en 30 segons"
  3. "Protocols de seguretat per al treball remot"

La infografia ha d'incloure: títol impactant, 4-6 punts principals (molt concrets), almenys un element visual descriptiu, i una crida a l'acció clara.


5. Auditoria del pla de prevenció

Perquè cal auditar el pla?

Un pla de prevenció sense mesurament és una declaració d'intencions. L'auditoria periòdica del pla ens permet determinar si les mesures implementades estan funcionant, identificar àrees de millora, justificar la inversió davant la direcció, i adaptar el pla a l'evolució del panorama d'amenaces.

Metodologia d'auditoria

Una auditoria del pla de prevenció i conscienciació inclou:

1. Revisió documental: Comprovar que tots els documents de política existeixen, estan actualitzats (revisions anuals recomanades), han estat aprovats per la direcció, i estan disponibles per als empleats.

2. Entrevistes i qüestionaris: Sondejar el nivell de conscienciació real dels empleats. Preguntes tipus: "Saps com reportar un incident de seguretat?", "Saps quina classificació té el document X?", "Has rebut formació de seguretat en els darrers 12 mesos?".

3. Proves tècniques: Simular atacs controlats (phishing, vishing, tailgating) per mesurar el comportament real dels empleats davant d'amenaces.

4. Revisió de mètriques i KPIs: Analitzar les dades recollides des de l'última auditoria.

5. Informe i recomanacions: Document amb els resultats de l'auditoria, els punts forts i les àrees de millora, i un pla d'acció amb responsables i terminis.

KPIs de conscienciació

Els indicadors clau de rendiment (KPIs) permeten objectivar el nivell de conscienciació:

KPI Descripció Objectiu típic
Taxa de clics en phishing simulat % d'empleats que fan clic en correus de phishing simulat < 5%
Taxa de credencials compromeses % d'empleats que introdueixen credencials en pàgines de phishing < 1%
Taxa de reportat % d'empleats que reporten el phishing simulat al SOC > 70%
Completesa de formació % d'empleats que han completat la formació obligatòria 100%
Puntuació tests de ciberseguretat Nota mitjana en tests de conscienciació > 80%
Incidents causats per factor humà Nº d'incidents atribuïbles a errors humans al mes Tendència decreixent
Temps de detecció de phishing Temps des que s'envia un phishing simulat fins que és reportat < 1 hora

Miniactivitat 1.5

L'empresa ACME Software té 200 empleats i ha implementat el seu primer pla de conscienciació fa 6 mesos. Presenteu els resultats d'un simulacre de phishing hipotètic:

  • 200 correus enviats de phishing simulat
  • 68 empleats van fer clic a l'enllaç
  • 42 empleats van introduir les seves credencials
  • 12 empleats van reportar el correu com a sospitós

Calculeu els KPIs corresponents, compareu-los amb els objectius típics del sector, i proposeu tres accions concretes per millorar els resultats en els propers 6 mesos.


Cas real: L'atac a Ubiquiti (2021)

El gener de 2021, Ubiquiti Networks, fabricant de xarxes i equipament de seguretat, va patir una bretxa de seguretat que va exposar dades de clients. Però la historia real és més interessant: un enginyer sènior de la pròpia empresa, Nickolas Sharp, va robar dades dels servidors cloud de l'empresa i, disfressat d'investigador extern de ciberseguretat, va intentar extorsionar l'empresa demanant 50 bitcoins (aproximadament 1,9 milions de dòlars en aquell moment) a canvi de no publicar les dades robades.

Sharp va cometre l'error d'usar una VPN per ocultar la seva identitat durant la filtració, però la VPN es va desconnectar breument durant el procés, revelant la seva adreça IP real. Va ser identificat i arrestat. Condemnat a 6 anys de presó el 2023.

Les lliçons d'aquest incident des de la perspectiva de la prevenció interna:

  1. Els empleats amb accés privilegiat representen un risc especial (insider threat).
  2. Els controls d'accés han de seguir el principi del mínim privilegi fins i tot per als tècnics.
  3. El monitoratge de comportament anòmal (User and Entity Behavior Analytics, UEBA) hauria pogut detectar les transferències massives de dades.
  4. Les polítiques internes han d'adreçar explícitament els riscos d'insider threat.

Activitats

  • AC502. (RA1 // CA1.3, CA1.4) Disseny d'una campanya de conscienciació per a una empresa fictícia de 100 empleats del sector salut. Inclou: pla de formació anual, materials (descriure contingut de 2 cartells i 1 newsletter), simulacre de phishing (pretext, objectius, mesures de seguiment), i KPIs de seguiment.

  • AC501. (RA1 // CA1.1, CA1.2) Analitzeu el marc normatiu aplicable a una pime del sector financer a Espanya: quines lleis s'apliquen, quines obligacions concretes estableixen en matèria de ciberseguretat, i quines polítiques internes cal tenir en lloc.