Download - Guia d'ús Del Correu Electronic
-
8/3/2019 Guia d's Del Correu Electronic
1/22
GUIA DS DEL CORREU ELECTRNIC
-
8/3/2019 Guia d's Del Correu Electronic
2/22
Introducci
Audincia
Abast
Aspectes legals i normatius
Descripci general
Qu s i en qu consisteix?
Finalitat
Casos destudi
Per qu es rep un gran volum
de correu brossa (spam)
Descripci
Amenaces
Per qu cal una contrasenya
daccs al correu electrnic.
Descripci
Amenaces
Com gestionar correus electrnics
amb seguretat.
Descripci
Amenaces
Recomanacions
Recomanacions per tal de minimitzar la presn-
cia de correu brossa a les bsties professionals
dels usuaris
Recomanacions per tal de minimitzar lamenaa
de perdre el control de la bstia de correu elec-
trnic dels usuaris
Recomanacions per protegir la condenciali-
tat de la informaci intercanviada per correu
electrnic.
Conclusions
Glossari de termes
Referncies i enllaos web.
Eines
Eines de xifratge
Eines anti-spam
Recursos de suport on-line
5
5
5
6
7
7
8
9
9
9
10
10
10
11
11
11
12
13
13
15
16
18
19
20
20
20
21
ndex
-
8/3/2019 Guia d's Del Correu Electronic
3/22
El Centre de Seguretat de la Informaci de Catalunya,
CESICAT, s lorganisme executor del Pla nacional
dimpuls de la seguretat TIC aprovat pel govern de la
Generalitat de Catalunya el 17 de mar de 2009. La
missi daquest pla s la de garantir una Societat de
la Informaci Segura Catalana per a tots. Amb aques-
ta nalitat, es crea el CESICAT com a eina per a la
generaci dun teixit empresarial catal daplicacions i
serveis de seguretat TIC que sigui referent nacional i
internacional.
El Pla nacional dimpuls de la seguretat TIC a Catalu-
nya sestructura al voltant de quatre objectius estrat-
gics principals que seran desenvolupats pel CESICAT:
Executar lestratgia nacional de seguretat TIC es-
tablerta pel Govern de la Generalitat de Catalunya
Donar suport a la protecci de les infraestructures
crtiques TIC nacionals
Promocionar un teixit empresarial catal slid en
seguretat TIC
Incrementar la conana i protecci de la ciutada-
nia catalana en la societat de la informaci.
La forma jurdica del CESICAT s la de fundaci del
sector pblic de ladministraci de la Generalitat.
Amb lobjectiu de proporcionar unes bones prctiques
i uns coneixements mnims en seguretat de la infor-
maci, el CESICAT ofereix com a servei preventiu un
conjunt de guies de seguretat adreades a ciutadans,
empreses, administracions pbliques i universitats.
www.cesicat.cat
Qui fem aquesta guia
-
8/3/2019 Guia d's Del Correu Electronic
4/22
El contingut de la present guia s titularitat de la Funda-
ci Centre de Seguretat de la Informaci de Catalunya
i resta subjecta a la llicncia de Creative Commons BY-
NC-ND. Lautoria de lobra es reconeixer mitjanant la
inclusi de la segent menci:
Obra titularitat de la Fundaci Centre de Seguretat de la
Informaci de Catalunya.Llicenciada sota la llicncia CC BY-NC-ND.
La present guia es publica sense cap garantia espec-
ca sobre el contingut.
Lesmentada llicncia t les segents particularitats:
Vost s lliure de:
Copiar, distribuir i comunicar pblicament la obra.
Sota les condicions segents:
Reconeixement: Sha de reconixer lautoria de la
obra de la manera especicada per lautor o el llicencia-
dor (en tot cas no de manera que suggereixi que gaudeix
del seu suport o que dona suport a la seva obra).
No comercial: No es pot emprar aquesta obra per a
nalitats comercials o promocionals.
Sense obres derivades: No es pot alterar, transformar
o generar una obra derivada a partir daquesta obra.
Respecte daquesta llicncia caldr tenir en comp-
te el segent:
Modicaci: Qualsevol de les condicions de la present
llicncia podr ser modicada si vost disposa de per-
misos del titular dels drets.
Altres drets: En cap cas els segents drets restaran
afectats per la present llicncia:.
Els drets del titular sobre els logos, marques o qual-
sevol altre element de propietat intellectual o in-
dustrial incls a les guies. Es permet tan sols ls
daquests elements per a exercir els drets recone-
guts a la llicncia.
Els drets morals de lautor.
Els drets que altres persones poden tenir sobre el
contingut o respecte de com sempra la obra, tals
com drets de publicitat o de privacitat.
Avs: En reutilitzar o distribuir la obra, cal que sesmen-
tin clarament els termes de la llicncia daquesta obra.
El text complert de la llicncia pot ser consultat a
http://creativecommons.org/licenses/by-nc-nd/3.0/es/legalcode.ca.
-
8/3/2019 Guia d's Del Correu Electronic
5/22
5
Audincia
Aquesta guia est adreada als usuaris dUniversitats i Centres
de Recerca, Administracions pbliques catalanes i PIME que uti-
litzen el correu electrnic dins de lentorn professional.
Indirectament, tamb pot resultar dinters per als administra-
dors de plataformes de correu electrnic i per als responsables
de seguretat daquestes comunitats, doncs els pot ser til a lho-
ra de conscienciar els usuaris de lorganitzaci pel que fa a ls
daquest servei corporatiu i pot ajudar a proposar mesures per fer
ms segures aquestes plataformes.
Aquesta guia tamb sha pensat per als responsables de segure-
tat que pertanyin a organitzacions que en un futur prxim vulguin
implantar un Sistema de Gesti per a la Seguretat de la Informa-
ci (SGSI). Si b aquesta guia no es podria incorporar directa-
ment dins del cos normatiu del sistema de gesti, s que inclou
tots els aspectes i les recomanacions que lorganitzaci hauria
de tenir presents durant la implantaci prvia a la superaci del
procs de certicaci.
Abast
Aquest document no sha desenvolupat per a cap plataforma
o client de correu electrnic en concret, sin que pretn assolir
unes bones prctiques en seguretat de la informaci mitjanant
ls responsable del correu electrnic.
Per tant, tota conclusi que es pugui extreure daquesta guia
ser aplicable a qualsevol soluci particular de correu electr-
nic, doncs bona part de les recomanacions aqu incloses tenen
Introducci
-
8/3/2019 Guia d's Del Correu Electronic
6/22
incidncia directa en ls que els usuaris fan del correu
electrnic i, indirectament, en el producte que utilitzen.
Aspectes legals i normatius
La present guia sha elaborat tenint en compte les reco-
manacions provinents de lestndard internacional ISO
27002, que queden recollides als controls segents:
10.4.1 Controls contra codi malicis.
10.8.1 Poltiques i procediments per a lintercanvi din-
formaci.
10.8.4 Missatgeria electrnica.
10.10.1 Registres dauditoria (logging).
11.3.1 s de les contrasenyes.
11.4.2 Autenticaci dusuari per a les connexions ex-
ternes.
11.5.1 Processos de connexi segurs.
11.5.2 Identicaci i autenticaci dusuaris.
12.2.3 Integritat dels missatges.
13.1.1 Noticar dels esdeveniments de seguretat.
15.1.2 Drets de la propietat intellectual.
El compliment daquesta guia tamb afavorir el compli-
ment del Reial decret 1720/2007 associat a la Llei Orgni-
ca de Protecci de Dades de Carcter Personal.
-
8/3/2019 Guia d's Del Correu Electronic
7/22
7
Qu s i en qu consisteix?El correu electrnic s un dels serveis principals que
ofereix la xarxa a lhora de comunicar-nos rpidament
mitjanant missatges.
Tal com succeeix amb el correu postal, tothom posseeix
una adrea, en aquest cas electrnica, a on es poden
enviar els missatges, entenent per missatge tant comu-
nicacions de text, com lenviament dimatges, so o l-
macions. Aquesta adrea electrnica la proporciona la
prpia organitzaci als treballadors.
Si b quan utilitzem el correu postal fem servir sobres
de paper, bsties tancades amb clau o mecanismes de
conrmaci de recepci, entre daltres solucions, per tal
de garantir que la informaci arribi en les condicions que
desitgem, dins del mn digital tamb cal adoptar un con-
junt de mesures de seguretat.
FinalitatLa nalitat del correu electrnic s proporcionar una co-
municaci rpida entre persones darreu del mn. El fet
dutilitzar Internet facilita una comunicaci quasi instan-
tnia, contrriament a les limitacions del mn fsic.
Aquest servei, per tant, agilitza en gran mesura les ges-
tions i comunicacions duna organitzaci, sempre que
els usuaris lemprin correctament. En cas contrari, el
servei no noms pot consumir considerablement els ca-
nals de comunicaci digitals de lorganitzaci a la qual
pertany i impedir que daltres serveis informtics que uti-
litzin aquests canals de comunicaci funcionin amb un
Descripci general
-
8/3/2019 Guia d's Del Correu Electronic
8/22
rendiment ptim, sin que tamb pot comprometren la
infraestructura informtica si algun tipus de descrrega
inclou la introducci de codi malicis dins de la xarxa
particular de lorganitzaci en qesti.
Casos destudi
-
8/3/2019 Guia d's Del Correu Electronic
9/22
9
Per qu es rep un gran volumde correu brossa
DescripciEncara que un correu electrnic hagi estat identicat au-
tomticament per la plataforma de lorganitzaci on sen-
via com a correu brossa, tant pot ser que aquest correu
sigui realment perills com que es tracti dun correu ordi-
nari que ha estat etiquetat incorrectament. Aquest segon
cas s el que es denomina un fals positiu.
Si b quan senvien correus electrnics nicament
de text, arriben sense problemes al destinatari, quan
aquests correus incorporen txers de tipus executable,
com aplicacions o presentacions, de vegades la platafor-
ma de correu de lorganitzaci els etiqueta errniament
com a correu no desitjat com a mesura de prevenci, en-
cara que aquests correus realment no siguin perillosos.
Aquesta situaci tamb pot produir-se quan sadjunta un
txer molt volumins a un correu electrnic, per tal dim -
pedir que aquests tipus de correus puguin arribar a satu-
rar el servei corporatiu i causar un mal funcionament. En
aquestes situacions cal parlar amb ladministrador de la
plataforma perqu el correu pugui ser entregat correcta-
ment al destinatari o b sollicitar a lemissor que torni a
enviar el correu electrnic modicant lextensi del txer
adjunt o enviant la informaci fragmentada en diversos
correus electrnics de menor mida.
Encara que existeixin falsos positius, sn molts els cor-
reus brossa reals que senvien diriament a travs dIn-
ternet. Utilitzar o registrar ladrea de correu electrnic
en entorns o serveis digitals no corporatius, com ara xar-
Casos destudi
-
8/3/2019 Guia d's Del Correu Electronic
10/22
0
xes socials, pgines personals o llistes de distribuci de
notcies, ajuda a difondre lexistncia i vigncia de ladre-
a de correu electrnic i, per tant, ladrea es convertei-
xen en candidata a ser inclosa en llistes de distribuci
de campanyes de mrqueting de tercers o de missatges
fraudulents, entre daltres.
Utilitzar el correu electrnic professional per a qestions
personals, com ara el reenviament de missatges de cor-
reu electrnic en cadena, tamb ajuda difondre ladreade correu electrnic.
Daltra banda, si un dels nostres contactes en algun mo-
ment ha resultat infectat per algun tipus de codi malicis
que propicia lenviament indiscriminat de missatges de
correu electrnic als contactes de la seva agenda elec-
trnica, s probable que nalment ladrea de correu
electrnic de lemissor hagi estat inclosa a la llista negra
de la plataforma corporativa del receptor.
AmenacesInfecci per codi malicis
Els txers adjunts als correus electrnics poden estar
infectats per codi malicis. Aquest tipus de codi podria
arribar a paralitzar la infraestructura informtica de tota
lorganitzaci i impedir loperativa habitual dels membres.
Pesca (phising) combinada amb enginyeria social
Si b hi ha correus electrnics que no sn perillosos per
si mateixos perqu no incorporen codi malicis que es
pugui activar una cop lusuari executi larxiu on samaga,
s que a vegades incorporen un missatge dirigit a espan-
tar lusuari de tal manera que aquest estigui disposat a
actuar immediatament.
Aquests tipus de missatges acostumen a incorporar un
enlla cap a una pgina web que, tot i que sembla leg-
tima, s una imitaci de la pgina real mitjanant la qual
es roben lidenticador dusuari i la contrasenya daccs
de la vctima.
Correu brossaRecepci de grans volums de correu electrnic no desit-
jat a les bsties professionals dels usuaris que ocupen
espai del servidor de correu electrnic intilment i con-
sumeixen temps de lusuari a lhora deliminar-los de la
bstia de correu.
Denegaci de servei
Collapse de la plataforma de correu corporativa a cau-
sa de la recepci de nombrosos correus electrnics no
desitjats o de correus electrnics molt voluminosos.
Per qu cal una contrasenyadaccs al correu electrnic
Descripci
El correu electrnic serveix per enviar missatges digi-
tals en nom dun professional. Per evitar que una tercera
persona pugui enviar un missatge des duna bstia de
correu electrnic que no sigui seva, laccs a aquesta
bstia es protegeix mitjanant algun tipus de control
daccs. El control daccs ms habitual utilitzat per
les organitzacions s la combinaci dun identicador
dusuari i una contrasenya.
-
8/3/2019 Guia d's Del Correu Electronic
11/22
11
Si el propietari daquesta bstia no gestiona correcta-
ment la seva contrasenya, podria donar-se el cas que
una tercera persona envis missatges en nom del titular
de la bstia. s per aquest motiu que moltes organit-
zacions difonen internament entre els seus usuaris una
norma de contrasenyes per tal de conscienciar el seu
personal de la necessitat de vetllar per la correcta deni-
ci duna contrasenya que sigui prou segura com per no
ser descoberta fcilment per una tercera persona i per
tal dassegurar que aquesta contrasenya es protegeixadequadament.
Tamb cal tenir present que els avenos tecnolgics que
shan anat produint han propiciat que es pugui accedir
al correu electrnic utilitzant dispositius mbils com els
telfons mbils, dispositius PDA, etc., que permeten em-
magatzemar localment els correus electrnics. Per tant,
la prdua daquests dispositius pot comprometre la con-
dencialitat de la informaci que emmagatzemen i fer
possible que un tercer utilitzi el dispositiu mbil per envi-
ar correus electrnics suplantant la identitat de lusuari.
AmenacesSuplantaci didentitat
Si una tercera persona aconsegueix tenir accs a la
nostra bstia de correu, podr fer-se passar per nosal-
tres sense aixecar sospites. Sha de tenir especialment
present que molts dispositius mbils permeten descar-
regar el correu directament al dispositiu sense que per
fer-ho se solliciti a lusuari cap contrasenya per accedir
al correu electrnic. Aquesta informaci ja es troba con-
gurada per defecte al dispositiu de lusuari per evitar
que aquest lhagi dintroduir en cada descrrega auto-
mtica de correu, que pot estar programada per a qu
es produeixi molt freqentment.
Prdua dinformaci condencial
Si alg diferent al propietari del compte de correu elec-
trnic hi pot tenir accs, pot apropiar-se de tota la infor-
maci emmagatzemada a les bsties daquest compte
de correu.
En el cas dels dispositius mbils, perdre el dispositiu
mitjanant el qual es t accs al correu electrnic cor-
poratiu permet a qui el trobi, no noms tenir accs a
la informaci guardada al propi dispositiu, sin tamb a
tota la informaci de la bstia de correu.
Com gestionar correus electrnics
amb seguretatDescripciMolts professionals realitzen la seva activitat diria a les
installacions de la seva organitzaci, per tamb existeix
una gran nombre de professionals que utilitza infraestruc-
tures telemtiques que permeten moures pel territori. s
en aquest ltim cas, quan sutilitzen infraestructures de
lorganitzaci combinades amb infraestructures de ter-
cers, que la condencialitat en lintercanvi dinformaci
per correu electrnic pot veures compromesa.
Dentrada, pot ser que aquest usuari no utilitzi un client
local per descarregar-se el correu (Outlook, Eudora, etc.)
perqu, per exemple, utilitza un ordinador dun tercer i ac-
cedeix al correu mitjanant una pgina web. Si accedim a
-
8/3/2019 Guia d's Del Correu Electronic
12/22
aquesta pgina web mitjanant el protocol HTTP, el canal
de comunicaci no estar xifrat enlloc dHTTPS (correu
web), per la qual cosa una tercera persona podria inter-
ceptar el missatge enviat.
Daltres usuaris, en canvi, potser es poden descarregar
el correu localment des duna ubicaci remota, per per
fer-ho utilitzen xarxes pbliques de connexi a Internet.
Aquestes xarxes pbliques poden ser centres telem-
tics, punts lliures daccs sense l, etc. Si aquest canal
de comunicaci no est xifrat, el missatge podria ser in-
terceptat.
Si b la condencialitat de la informaci s important quan
sutilitzen recursos de tercers, tamb ho s per a aquells
missatges que, encara que no surtin de la xarxa interna
de lorganitzaci, contenen informaci condencial. Aix,
un missatge intercanviat entre dos membres duna matei-
xa organitzaci que es troben en un mateix espai sense
utilitzar mecanismes de xifrat podria ser interceptat inter-
nament per una altra persona de lorganitzaci o enviat a
un destinatari incorrecte, amb la qual cosa es comprome-
tria el secret daquesta informaci.
AmenacesPrdua dinformaci condencial
Si una persona diferent del destinatari legtim pot llegir la
informaci que li envia un emissor, pot apropiar-se de la
informaci a la qual ha tingut accs sense que el destina-
tari real sen adoni.
-
8/3/2019 Guia d's Del Correu Electronic
13/22
13
Cadascun dels escenaris plantejats en aquesta guia ex-
posa un seguit damenaces que, si es materialitzen al
llarg del temps, en major o menor mesura, tindran efec-
tes perjudicials per a l usuari i, ns i tot, per a lorganitza-
ci a la qual pertany. Per tal devitar que aix succeeixi
o minimitzar-ne lefecte si s que lamenaa no pot es
pot eludir totalment, a continuaci es proporcionen tot
un conjunt de recomanacions dirigides als usuaris que
utilitzen correus electrnics en lmbit professional.
Recomanacions per tal de
minimitzar la presncia decorreu brossa a les bsties
professionals dels usuarisLusuari haur de tenir en compte les recomanacions se-
gents per tal de disminuir el risc que suposa el rebre
correus brossa a la bstia de correu professional:
Sempre que sigui possible, s millor enviar correus
electrnics que no continguin documents adjunts, in-
corporant la informaci al cos del missatge i no en un
txer independent.
A lassumpte del missatge cal escriure una frase que
ajudi el receptor a saber de qu tracta i que permeti
ltrar-lo, prioritzar-lo, arxivar-lo i ms endavant recu-
perar-lo.
No obrir missatges de correu electrnic i, encara
menys, txers adjunts en els supsits que es des-
criuen a continuaci. Esborrar aquests missatges
sense obrir-los i, a continuaci, eliminar-los de la pa-
perera.
Si es desconeix qui s el remitent del missatge.
Recomanacions
-
8/3/2019 Guia d's Del Correu Electronic
14/22
4
Si el ttol del missatge no indica quin s el motiu del
missatge.
Si el missatge s inesperat o per algun motiu resulta
estrany, independentment de qui en sigui lemissor.
Possiblement es tracta de correu brossa o dun mis-
satge generat per virus o un altre codi malicis.
No adjuntar imatges o txers voluminosos al missat-
ge (txers amb imatges, fotograes, presentacions,
etc.), si existeix una altra manera de compartir la
informaci amb el destinatari (directoris compartits,espais de collaboraci, etc). Si s imprescindible ad-
juntar un txer, cal incloure al contingut del missatge
una breu descripci del mateix i indicar el format en
qu senvia.
Comprimir sempre que sigui possible els txers ad-
junts i no enviar directament txers executables, ni
txers tipus script.
No contestar mai els missatges de correu brossa, ni
respondre a lopci de donar de baixa la subscrip-
ci daquests missatges, per evitar donar a conixer
als emissors daquest tipus de correus que es tracta
duna adrea de correu vlida i evitar aix que pugin
intensicar lenviament de correu brossa.
No respondre mai a sollicituds de claus que arribin
mitjanant el correu electrnic. Cal desconar de
qualsevol petici de dades personals i no proporcio-
nar mai informaci personal o nancera en resposta
a un correu electrnic, ni utilitzar enllaos incorpo-
rats a aquests correus electrnics o a pgines web
de tercers.
Desactivar la funci de vista prvia als clients de
correu electrnic (Outlook, Thunderbird, Eudora, Lo-
tus Notes, etc.), per evitar infeccions vriques.
s recomanable que qualsevol incidncia (problema
o mal funcionament) o anomalia (comportament es-
trany o inesperat) del correu electrnic que detecti
lusuari siguin noticats al ms aviat possible a lad -
ministrador o operador del servei mitjanant el pro-
cediment existent dins lorganitzaci per evitar possi-
bles mals majors.
La majoria dels servidors de correu electrnic estan
dotats de solucions de seguretat que escanegen elsmissatges dentrada i sortida per prevenir possibles
infeccions. No obstant aix, si es t sospita dinfecci
per virus o altre codi malicis, no sha de fer servir el
correu electrnic per evitar-ne la propagaci interna.
Si b les recomanacions anteriors estan destinades a mi-
nimitzar la presncia de correu brossa procedent de lex-
terior de lorganitzaci a la bstia de correu professional,
hi ha un conjunt de bones prctiques que, si sobserven,
reduiran la presncia de correus innecessaris dmbit
corporatiu que, si b no sn nocius tcnicament, s poden
consumir temps i recursos personals i materials:
Escriure els missatges amb llenguatge professional;
no ser massa informal o colloquial. No escriure res
que no es posaria en una carta. Cal ser neutral i evi-
tar llenguatge sexista, insultant, abusiu o discrimina-
dor, que pogus ofendre o irritar els altres.
Cal ser respectus amb el temps dels altres. Enviar
missatges de correu nicament a les persones amb
una necessitat legtima de la informaci. No respon-
dre a missatges si no aporten valor afegit.
-
8/3/2019 Guia d's Del Correu Electronic
15/22
15
Dirigir el missatge (camp Per a:) a les persones de
les quals sespera un acci o resposta. Enviar cpies
(camp a/c) a les persones que es vol mantenir in-
formades, per de les quals no sespera cap acci o
resposta.
Congurar els missatges amb lopci Importncia
alta noms en els casos realment urgents.
Utilitzar les opcions de seguiment dels missatges en-
viats (conrmaci de recepci, etc.) quan realment
sigui necessari i tenint en compte que noms funcio-nar si el servidor de correu del receptor est con -
gurat per fer-ho.
En cas dabsncia durant ms dun dia i quan el pro-
gramari de correu ho permeti, s recomanable utilit-
zar lopci fora de locina, indicant el primer i ltim
dia dabsncia, per noticar a les persones que ens
envien missatges ns quan estarem absents i amb
qui poden contactar en cas durgncia.
Recomanacions per tal deminimitzar lamenaa de
perdre el control de la bstia
de correu electrnic dels usuarisLusuari haur de tenir en compte les recomanacions se-
gents per tal de disminuir el risc que suposa el fet que un
tercer pugui tenir accs a la seva bstia de correu electr-
nic sense el seu coneixement:
Les credencials daccs a les bsties de correu per-
sonals dmbit professional seran personals i intrans-
feribles.
Lusuari far un s adequat de les seves credencials
daccs i no les revelar a tercers ni les apuntar en cap
suport (notes adhesives, blocs de notes, agenda, etc.)
que sescapi del seu control directe.
En cas que de manera temporal o permanent sigui ne-
cessari que altres persones accedeixin a la bstia de
lusuari, ja sigui noms per lectura, o per llegir i enviar
missatges en el seu nom, no sels donar a conixer les
credencials daccs, sin que lusuari haur de fer-ho a
travs de les opcions de Delegaci daccs, quan el
programari de correu ho permeti. Si no s possible, unaaltra opci per permetre la lectura s reenviar el correu
a la bstia de laltra persona.
s responsabilitat de lusuari complir la norma de con-
trasenyes de la seva organitzaci, especialment en els
aspectes de condencialitat i seguretat de la paraula
de pas [1].
Per raons de seguretat, sevitar activar lopci de Re-
cordatori de contrasenya per accedir a la bstia de cor-
reu professional, encara que aix comporti la necessi-
tat de realitzar el procs de validaci cada vegada que
sactivi lenviament i recepci de missatges.
En el cas dels dispositius mbils que permetin accedir
al correu electrnic, s aconsellable activar una contra-
senya daccs al dispositiu, per protegir la informaci
que cont o a la qual permet accedir.
-
8/3/2019 Guia d's Del Correu Electronic
16/22
6
Recomanacions per protegir lacondencialitat de la informaci
intercanviada per correu electrnicLusuari haur de tenir en compte les recomanacions se-
gents per tal devitar el risc de divulgaci dinformaci
condencial intercanviada mitjanant ls de bsties de
correu electrnic:
Les llistes de distribuci sutilitzen per difondre de
manera massiva avisos, alarmes i comunicats. En
el moment de crear-la cal denir qui tindr accs a
aquesta llista de distribuci i qui ser el responsable
de mantenir-la i gestionar-la.
Abans denviar un missatge a una llista de distribu-
ci, s recomanable analitzar si no existeixen altres
eines de comunicaci massiva (butlletins, intranets,
etc.) ms adients per realitzar el comunicat. Sobretot,
cal revisar si tots els membres de la llista realment
han de rebre el missatge.
Si es contesta un missatge, incorporar el cos del mis-
satge al qual es respon, per mantenir intacta la cade-
na dinformaci, per abans de respondre un missat-
ge, cal assegurar-se que tota la informaci que sest
reenviant pot ser revelada al destinatari.
Si sha de reenviar un missatge amb informaci con-
dencial, cal assegurar-se que tota la informaci que
sest reenviant pot ser revelada al destinatari.
Per enviar informaci condencial a travs del correu
electrnic, caldr utilitzar mitjans de seguretat addi-
cionals, doncs el correu en si mateix no s un mitj
de comunicaci segur. Quan es disposi de certicat
digital i es tingui la certesa que el receptor podr des-
xifrar el missatge, es recomana fer-lo servir. En cas
de no disposar de certicat digital es poden encriptar
els txers que contenen la informaci utilitzant, per
exemple, les opcions dencriptaci amb contrasenya
que inclouen les opcions de gravaci de txers amb
seguretat dalguns programes domtica (en aquest
cas, cal triar les opcions de clau ms llarga, com a
mnim de 1.024 bits, i posar una paraula de pas de
com a mnim 8 posicions, combinant lletres, nom-
bres, smbols, majscules i minscules).El correu electrnic no sempre substitueix el telfon
i no garanteix la lectura per part del receptor. Abans
denviar un missatge cal considerar si s el mitj ms
adient per fer-ho. En cas durgncia, s convenient
advertir el receptor per telfon de lenviament del
missatge i conrmar-ne la recepci. Caldr utilitzar
un certicat digital reconegut quan sigui necessari
garantir jurdicament la identitat de lemissor, la in-
tegritat de la informaci continguda, la condenciali-
tat daquesta informaci i la no refutaci per part del
receptor. Cada organitzaci haur dindicar quines
sn les CA autoritzades, qui pot demanar un certi-
cat i quin s el procediment de sollicitud/aprovaci
de certicat digital o fer referncia a un procediment
especc de certicats digitals.
Laccs al correu corporatiu des de lexterior sha de
fer de manera segura. Un cas habitual consisteix a
habilitar als treballadors laccs per Internet mitjan-
ant correu web. Existeixen opcions ms segures i
recomanables com utilitzar laccs via VPN (Virtual
Private Network).
Encara que senvin xifrades, no escriure en un ma-
-
8/3/2019 Guia d's Del Correu Electronic
17/22
17
teix correu electrnic totes les dades daccs a un
sistema o document (identicador dusuari, contrase-
nya, clau dencriptaci, etc.), independentment de qui
les estigui demanant.
s recomanable incorporar al peu dels correus elec-
trnics que senvien una clusula estndard per in-
formar de la possible condencialitat de la informaci
continguda al missatge i la responsabilitat associada
a qui el rep. Si el sistema no afegeix aquesta clusu-
la automticament, cal congurar la bstia de correu
per tal que ho faci en lenviament i reenviament de
missatges. Una clusula vlida podria ser la segent:
*********************************************************
La informaci continguda en aquest missatge s con-
dencial. Si no en sou un dels destinataris denits o alg
responsable de fer-los-el arribar, aleshores heu rebut
aquest missatge per error i no esteu autoritzats a lle-
gir-lo, retenir-lo o distribuir-lo. Us preguem que esborreu
el missatge i els documents annexats, ho comuniqueu
immediatament al remitent i us abstingueu dutilitzar les
dades personals que hi consten.
*********************************************************
Utilitzar nicament programari autoritzat per lorganit-
zaci, la qual haur valorat els avantatges i inconve-
nients del programari utilitzat dins de la corporaci.
Daltra banda, lusuari haur de tenir en compte les re-
comanacions segents per tal devitar el risc de divulga-
ci dinformaci condencial emmagatzemada a la seva
bstia de correu electrnic o en un dispositiu mbil:
Cal ser selectiu a lhora demmagatzemar correus i
conservar noms els que puguin ser tils en el de-
senvolupament de la feina.
s recomanable no guardar els missatges de manera
sistemtica i permanent i fer revisions de depuraci
peridica.
Guardar els missatges que shagin de conservar, en
format no xifrat, en una ubicaci que tingui garanties
de condencialitat, integritat i continutat. Comproveu
la poltica aplicada en aquest servei, lespai de me-mria individual, els procediments de depuraci au-
tomtica peridica, etc. s recomanable que, quan
semmagatzemi el contingut dels correus electrnics,
sindiqui amb quina nalitat es fa.
Com a norma general, tret que shagi fet servir una
signatura electrnica, el correu electrnic no es pot
considerar com un registre de negoci formal, perqu
no garanteix lautenticitat, integritat, exactitud, com-
pletesa, no refutaci i preservaci de levidncia. A
ms, s informaci subjecta a canvis de versi o pro-
gramari, de manera que no shauria de guardar com
a registre permanent. Existeixen altres maneres per
formalitzar decisions o compromisos com ara actes
de reunions, documents signats o registres autorit-
zats de veu.
Utilitzar nicament programari autoritzat per lorganit-
zaci, la qual haur valorat els avantatges i inconve-
nients del programari utilitzat dins la corporaci.
-
8/3/2019 Guia d's Del Correu Electronic
18/22
8
El correu electrnic es va fer servir per primer cop lany
1965, quan encara ning no simaginava la forta reper-
cussi que tindria a les xarxes de comunicaci actuals.
Aquesta facilitat de comunicaci, com sha pogut com-
provar en el transcurs daquesta guia, t uns avantatges,
per tamb uns inconvenients. Pel que fa als inconveni-
ents, se nhan identicat de dues naturaleses diferents:
Un s inapropiat del correu electrnic pot tenir un impac-
te social i econmic negatiu per a lorganitzaci (envia-
ment de correus molestos o innecessaris, etc.).
Un s del correu electrnic sense observar les degudes
mesures de seguretat pot tenir un impacte negatiu eco-
nmic, legal i dimatge per a lorganitzaci (divulgaci de
pressupostos, nmines o dades personals, infecci dels
sistemes informtics per un virus, etc.).
s per aquest motiu que, cada vegada amb ms fre-
qncia, les organitzacions incorporen a les seves nor-
mes internes codis de conducta per a la utilitzaci del
correu electrnic, a i efecte de minimitzar limpacte
que podrien tenir per a lorganitzaci determinades con-
ductes dels usuaris quan utilitzen el correu corporatiu.t.
Conclusions
-
8/3/2019 Guia d's Del Correu Electronic
19/22
19
Glossari de termesCerticat digital: el certicat digital s un sistema dacredi-
taci que permet a les parts tenir conana en les transacci-
ons a Internet, doncs garanteix la identitat del seu possedor
a Internet mitjanant un sistema segur de claus administrat
per un tercer de conana (lautoritat de certicaci). El cer-
ticat permet realitzar, de manera segura i amb validesa
legal, tot un conjunt daccions que varia segons el tipus de
certicat: signar documents, xifrar missatges, entrar a llocs
restringits, identicar-se davant lAdministraci, etc.
Codi malicis: qualsevol codi informtic destinat a realit-
zar accions fraudulentes. Es consideren codi malicis els
virus i cucs informtics, els troians (permeten fer-se amb el
control duna mquina), etc.
Llista de distribuci: s un conjunt dadreces de correu
electrnic que sagrupen sota una nica adrea de correu
electrnic. Quan es fa un enviament a una llista de distri-
buci, sest fent lenviament a totes les adreces incloses a
la llista. La creaci de llistes facilita lenviament de missat-
ges a grups de persones a qui ens adrecem habitualment
de manera conjunta, doncs evita haver descriure totes les
adreces de correu electrnic cada vegada i en pot garantir
la privacitat.
Generalment els clients de correu permeten la creaci de
llistes de distribuci personals, accessibles nicament per
a lusuari que les ha creades.
Les llistes de distribuci globals, visibles per a qualsevol
usuari del sistema de correu, han de ser creades per lad-
ministrador del sistema.
Logging: procs de validaci a un sistema o servei telemtic.
Pesca o phishing: prctica delictiva que consisteix a su-
plantar a la xarxa una empresa de conana (normalment
un banc, una caixa destalvis, una empresa asseguradora,
etc.) per tal dapropiar-se dels identicadors dusuari i les
contrasenyes associades dels seus clients en lnia i, aix,
poder entrar als seus comptes i obtenir informaci con -
dencial o b un beneci econmic directe.
Spam: prctica denviar missatges de correu electrnic no
sollicitats. Generalment es tracta de publicitat de produc-
tes, serveis o pgines web, per tamb pot incorporar codi
malicis o enllaos web per perpetrar atacs de phising. Les
adreces de correu electrnic acostumen a ser robades,
comprades, recollectades per la web o preses de cartes
en cadena.
La prctica de lenviament de correu brossa constitueix un
problema que afecta de manera negativa tots els usuaris de
la xarxa. La legislaci vigent prohibeix de manera expressa
lemissi daquest tipus de correu.
Script: conjunt dinstruccions tcniques que sexecuten de
manera automtica en un sistema.
VPN: en angls, Virtual Private Network (VPN). s una tec-
nologia de xarxa que permet lextensi de la xarxa local a
una xarxa pblica o no controlada, com per exemple Inter-
net. La VPN aconsegueix aquest objectiu mitjanant la con-
nexi dusuaris des de diferents xarxes a travs dun tnel
que es construeix sobre Internet o qualsevol xarxa pblica.
Aquest tnel utilitza mecanismes dencriptaci.
-
8/3/2019 Guia d's Del Correu Electronic
20/22
0
Referncies i enllaos webSha utilitzat com a referncia en lelaboraci de lac-
tual guia:
GE-GUI26- 01 Guia dus correu electrnic, del Centre
de Telecomunicacions i Tecnologies de la Informaci
de la Generalitat de Catalunya (CTTI).
[1] DOC-GUI-001 Guia gesti de contrasenyes:
Aquest document s una guia de seguretat que con-
sisteix en proporcionar unes bases ds i gesti cor-
rectes de les contrasenyes.
[PDF] http://www.cesicat.cat
A la web shi pot trobar informaci rellevant, relacio-
nada amb la matria desenvolupada en aquesta guia:
Estudi sobre la situaci, naturalesa i impacte econ-
mic i social del correu electrnic no desitjat spam, IN-TECO, Juny 2008.
[PDF] http://www.inteco.es/le/1000136237
Correu segur, Consejo Superior de investigaciones
cientcas CSIC.
http://www.iec.csic.es/CRIPTonOMiCon/correo/cifra-
do.html
Xifrar missatges de correu electrnic, Microsoft.
h t t p : / / o f f i c e . m i c r o s o f t . c o m / e s - e s / o u t l o o k /
HP012305363082.aspx
Com xifrar un missatge de correu electrnic indivi-
dual a Outlook Web Access, Microsoft Technet, 19 de
Maig del 2005.
h t t p : / / t e c h n e t . m i c r o s o f t . c o m / e s - e s / l i b r a r y /
aa997829%28EXCHG.65%29.aspx
Firmat i xifrat de correus electrnics, Mozilla-hispa-
no.
http:/ /www.mozi l la-hispano.org/documentacion/
Firma_y_cifrado_de_correos_electr%C3%B3nicos
Xifrat de correus per a novells, XTEC, any 2000.
[PDF]http://www.xtec.es/~acastan/textos/Cifrado%20de%20correo%20para%[email protected]
EinesEines de xifratge
GNUpg.
Implementaci lliure del estndard OpenPGP denit al
RFC4880.
http://www.gnupg.org/
PGP.
Implementaci i foment de dutilitzaci PGP i OpenPGP de-
nit al RFC4880.
http://www.pgpi.org/
Enigmail.
Extensi pel client de correu Mozilla Thunderbird que inte-
gra OpenPGP.
http://enigmail.mozdev.org/home/index.php
FireGPG, GnuPGP aplicat al servei de correu Gmail.
Extensi per al navegador Mozilla Firefox sota llicncia
MPL (llicncia pblica de Mozilla) que proporciona una in-
-
8/3/2019 Guia d's Del Correu Electronic
21/22
21
terfcie integrada de les operacions de GNUPG al text de
qualsevol pgina web, com xifrat, desxifrat, rma i verica-
ci de rmes.
Clients suportats: Gmail, Yahoo, Rouncube, Squirre-
Mail, Horde.
http://es.getregpg.org/
Eines anti-spam
SpamAssessin.
Plataformes: Windows, Mac, Linux/Unix.
http://spamassassin.apache.org/
SpamBayes.
Plataformes: Windows, Linux i Mac OS amb multitud de cli-
ents de correu, consultar a la pgina de descarrega.
http://spambayes.sourceforge.net/
Spamihilator.
Plataformes: Windows amb Outlook, Opera, Eudora, Pega-
sus, Phoenix, Netscape, Thunderbird i IncrediMail.
http://www.spamihilator.com/
SpamTerrier.
Plataformes: Windows 2000/XP/Vista i 2003, suporta els
clients The Bat!, Windows Mail, Outlook Express, Outlook
totes les versions.
http://www.agnitum.com/products/spam-terrier/
Recursos de suport on-line
Hushmail
Servei a la xarxa que ofereix correu segur, bstia xifrada,
correu electrnic xifrat amb servei dantivirus i antispam.
Utilitza els estndards OpenPGP.
http://www.hushmail.com/
-
8/3/2019 Guia d's Del Correu Electronic
22/22
www.cesicat.cat