5 consells per gestionar la nostra disponibilitat en Teams

Amb el teletreball, Teams s’ha convertit en una eina habitual per comunicar-nos de manera immediata, organitzar reunions o compartir informació amb els nostres equips de treball.

En aquesta entrada et donem cinc consells per treballar amb Teams d’una manera més eficient i ajudar-te a gestionar la teva disponibilitat. Cada consell inclou un enllaç a les pàgines oficials de Microsoft per saber-ne més.

1

Inicia l’aplicació de Teams automàticament cada vegada que engeguis el teu equip.

Quan instal·les l’aplicació Teams d’escriptori, per defecte es posa en marxa, de manera automàtica cada cop que engegues l’ordinador. Si no és així, consulta l’ajuda Com puc iniciar automàticament Teams cada vegada que engego l’ordinador?

Més informació sobre opcions de configuració de Teams.

2

Modifica el teu estat perquè altres companys sàpiguen si estàs disponible o no i si és un bon moment per contactar-hi.

Teams establirà de  manera automàtica alguns estats, per exemple es posa en vermell si estàs participant en una reunió o  tens la franja horària reservada en el teu calendari, però sempre que et calgui, pots modificar-lo.

Més informació  sobre com canviar l’estat en Teams.

3

Programa des de Teams l’estat Fora de l’oficina quan sàpigues que estaràs absent.

Configura un missatge i un estat de fora de l’oficina perquè els teus companys de feina sàpiguen que no estàs treballant o estàs, per exemple, de vacances.  

Si els teus companys envien un missatge al xat, veuran el teu missatge de fora de l’oficina. 

Més informació per saber com programar un estat de fora de l’oficina.

4 Actualitza i mantén al dia el teu calendari. 

Reserva dates i hores en el teu calendari personal per ajudar als teus companys a saber si estàs disponible o no, en cas que vulguin programar una reunió amb tu. 

El calendari mostrarà totes les cites/reunions que hagis programat des de Teams o des del teu Outlook.

Més informació sobre com administrar un calendari en Teams.

5

Si programes una reunió des de Teams, fes servir l’auxiliar de planificació.

L’auxiliar de planificació t’ajudarà a conèixer la disponibilitat dels participants de la reunió quan l’estiguis programant i et facilitarà  trobar el dia i hora més adequats perquè tothom hi pugui assistir. 

Més informació  sobre com programar una reunió en Teams.

Recorda que també tens disponibles pàgines d’ajuda sobre les consultes més freqüents de Teams en la nostra web i, en cas de tenir una consulta, sempre pots obrir un tiquet a través del PAU.

Els BEC: un tipus d’estafa adreçada a les organitzacions

El Business Email Compromise o compromís del correu electrònic empresarial (BEC) és una pràctica d’enginyeria social que requereix el control de la bústia de correu de la persona a suplantar i un coneixement a fons de l’organització que es vol atacar, des de la seva forma d’escriure correus electrònics fins a les seves relacions professionals.  

Font de la imatge: https://internetsegura.cat/compromis-correu-electronic-empresarial-bec/

Podem diferenciar tres variants d’atac BEC: 

  • El frau del CEO: se suplanta una persona de poder dins l’organització amb l’objectiu de demanar a un treballador amb funcions financeres que faci una transferència econòmica. 
  • El frau del treballador: se suplanta un treballador per sol·licitar al departament de recursos humans un canvi en el número de compte on transferir la nòmina.  
  •  El frau del proveïdor: se suplanta el compte de correu electrònic d’un proveïdor per informar d’un canvi en el número de compte bancari on dirigir els futurs pagaments.  

En aquesta entrada del blog ens volem centrar en la tercera variant, la del frau del proveïdor i és que la Universitat, com a organisme públic, posa a disposició de tots els membres de la comunitat universitària, així com a la ciutadania en general, la informació més rellevant relativa a les seves activitats; així, concursos o contractes amb proveïdors  estan publicats al web de la UB. 

Aquesta informació, però pot ser emprada per iniciar un procés de frau de tipus BEC. Fent-se passar per un proveïdor o partner i en  haver compromès prèviament un o diversos comptes de correu del mateix (a vegades, ni tan sols estan  compromesos, sinó que en fan servir comptes de correu molt semblants) se sol·licita el canvi de compte corrent on fer els pagaments pendents o informació que pot ser utilitzada amb posterioritat per donar més versemblança al/s següent/s correu/s que el ciberdelinqüent intercanviarà amb la víctima del frau.

Hem de pensar que aquest tipus de frau és molt sofisticat, l’estafador  no té pressa si el guany a obtenir és gran, com més informació de la nostra organització tingui, més credibilitat tindrà en les seves peticions.  

El control clau per part de l’organització és configurar les transferències bancàries de manera que es requereixi més d’una autorització per fer-la efectiva i que no n’hi hagi prou amb una confirmació per correu electrònic.

Mai s’ha de fer el canvi d’un compte corrent, transferència o qualsevol altra acció que impliqui un moviment de diners sense estar prèviament 100% segurs que és el destinatari que ho demana és legítim. 

Tot i que la Universitat ja té una sèrie de procediments de validació i mecanismes per evitar aquests casos de frau, si detecteu que podeu ser una possible víctima perquè rebeu un correu sospitós d’aquest tipus, obriu un tiquet al PAU adjuntant una captura del correu per poder prendre les mesures adients des d’ATIC. 

Per a més informació llegiu l’article El compromís de correu electrònic empresarial (BEC): què és i com posar-hi solució.

SIRE es migra al núvol

SIRE és el Servei Intermediari d’accés als Recursos Electrònics, en marxa des de l’any 2015, que permet accedir, amb un ordinador, als recursos d’informació electrònics: revistes, llibres i bases de dades, contractats pel CRAI de la Universitat de Barcelona als diferents col·lectius amb independència de si estan ubicats dins o fora de la xarxa de la Universitat.

El control d’accés s’efectua contra el sistema d’identificació de la UB i per accedir al servei cal:

  • Ser membre de la comunitat de la Universitat de Barcelona en qualitat de professor, estudiant o personal d’administració i serveis.
  • Disposar d’un identificador UB (el que s’utilitza per accedir a les intranets de la Universitat: PDI, PAS o MónUB).

Aquest dimecres, 20 de juliol de 2022, com vam anunciar, s’ha migrat el servei al núvol.

La migració d’aquest servei al núvol ha permès:

  • Actualitzar la infraestructura.
  • Reduir l’impacte que provoquen les actualitzacions i manteniments del servei i de les infraestructures.
  • Millorar la continuïtat del servei.

S’ha mantingut l’adreça del servei per fer el canvi transparent per l’usuari i minimitzar l’impacte amb els diferents sistemes del CRAI integrats amb el SIRE.

Més informació sobre SIRE.

Si teniu qualsevol dubte o consulta sobre aquest servei, adreceu-vos a Servei d’Atenció d’Usuaris (S@U) del CRAI.

Bitlocker, nova mesura per protegir les dades dels equips de la UB

Des de l’Àrea TIC estem desplegant Bitlocker, una funcionalitat del sistema operatiu Windows que encripta els discs durs. Gradualment, s’anirà activant a tots els equips de sobretaula i portàtils gestionats per l’ATIC.

Què és i com funciona?

Bitlocker és una funcionalitat de seguretat de Windows que permet xifrar el disc sencer. D’aquesta manera el disc només pot ser llegit per l’usuari autoritzat; i en cas de pèrdua o de robatori de l’ordinador les dades no seran accessibles.

El procés de xifratge que automatitzem des de l’àrea TIC, és transparent a l’usuari. Consisteix en xifrar les dades amb una clau de seguretat que només funciona amb les credencials de l’usuari.

En el cas de la UB i seguint les recomanacions de seguretat, s’ha triat l’encriptació amb claus de 256 bits. En molts equips nous, el xifratge per defecte és de 128 bits i des de l’àrea TIC el canviem de forma automàtica a 256 bits.

Com puc saber si el meu disc està xifrat?

Sí aneu a l’Explorador de fitxers de Windows, i aneu a l’apartat de “Dispositius i Unitats” podreu veure si el vostre disc està encriptat. Si està encriptat ha d’aparèixer un cadenat, com el de la imatge de sota. En cas que no estigués activat, apareixeria sense el cadenat.

Les claus de xifratge

Mentre l’equip funcioni bé no necessitem les claus de xifratge; només accedint amb les credencials d’usuari el sistema operatiu desxifra el disc i ens mostra les dades com sempre i de forma transparent.

En cas d’avaria de l’equip, l’àrea TIC té els procediments per recuperar de forma segura les claus de xifratge; ja que una còpia de les claus de xifratge queden emmagatzemades de forma segura als servidors i núvol UB. Aquestes claus també són recuperables per part dels usuaris de portàtils UB accedint al núvol UB. En cas de necessitar-les, pots posar-te en contacte amb el PAU.

Campanya de phishing ètic a la UB: vas caure en el parany?

Fa unes setmanes es va fer una campanya de phishing ètic a la UB. Es van trametre més de quatre mil correus electrònics  «maliciosos» a una mostra de les persones que treballem a la UB, sense cap conseqüència negativa més que ser un test de vulnerabilitats. La informació d’aquesta campanya és confidencial i així és tractada. Cada dia arriben correus maliciosos i volem ajudar-te a generar hàbits segurs, tant personals com institucionals. Els pirates informàtics volen diners, volen fer mal i no distingeixen entre àmbits personals o professionals, per això, volem compartir unes pautes per ajudar-te a detectar missatges de correu fraudulents i marcar les actuacions posteriors.   Qualsevol dels punts següents t’hauria de posar en alerta si reps un correu que:

  • no esperes ni té cap relació amb la teva activitat professional o personal,
  • et demana dades personals (inici de sessió, contrasenyes, comptes bancaris, número del mòbil …),
  • està enviat des d’una adreça de correu estranya (adreces amb lletres i números barrejats, dominis poc habituals o no relacionats amb la nostra activitat…)
  • està escrit en un idioma que no és l’habitual en les teves comunicacions, amb faltes d’ortografia o estructures gramaticals no gaire correctes,
  • t’anuncia que has estat premiat o t’ofereix increïbles promocions o ofertes,
  • s’expressa amb un to amenaçant o amb urgència perquè facis alguna acció immediata.

– Exemple d’un correu de tipus phishing  que inclou algun dels elements esmentats –

MAI proporcionis cap dada personal en resposta a un correu  ni facilitis les teves credencials o facis cap pagament sense assegurar-te abans que la petició és real. Davant de qualsevol sospita, no cliquis cap enllaç o descarreguis cap adjunt.

En  qualsevol missatge  pot haver-hi un enllaç amb un text o un botó que no coincideix amb l’adreça a la qual apunta. Passa el ratolí o el cursor sobre l’enllaç o el botó i fixa’t a quina adreça apunta.

– Exemple de correu amb enllaç que apunta a una web maliciosa –

En una connexió insegura, per evitar el pharming, quan hagis d’introduir dades personals, presta atenció que l’URL contingui el forrellat HTTPS i que tingui un certificat d’autenticitat clicant al damunt.

 – Exemple d’URL amb forrellat https –

Recorda que davant de qualsevol dubte, pots posar-te en contacte amb el PAU, facilitant una captura del missatge on surti el remitent, assumpte i cos del missatge. Amb aquesta informació podrem analitzar el missatge i aplicar diferents accions preventives i proactives.

T’animem que facis aquestes formacions que t’ajudaran a aprofundir coneixements i estar més preparat en temes de ciberseguretat:

Gràcies per la teva col·laboració!

Autenticació moderna en tots els clients de correu

A partir de l’1 d’octubre d’enguany, Microsoft ha anunciat la desactivació de l’autenticació bàsica (Basic Auth) per a tots els clients de correu.

Aquesta actualització implicarà que els diferents clients de correu que es connectin per accedir a les bústies de correu UB, hauran de fer servir obligatòriament l’autenticació moderna (basada en OAuth 2.0).

Per què es fa aquesta actualització?

Es tracta d’una mesura de seguretat necessària i obligada. L’autenticació bàsica envia els noms d’usuari i contrasenyes en cada sol·licitud, aquest comportament augmenta el risc que ciberdelinqüents puguin capturar les credencials. El nou protocol soluciona i reforça les mesures de seguretat en l’enviament i recepció de correu.

Quines implicacions té aquesta actualització?

Si el teu client de correu no accepta l’autenticació moderna, no podràs accedir a les bústies de correu de la Universitat on tens permisos.

Faig servir el client Outlook, com sé si accepta l’autenticació moderna?

El dia 1 de novembre de 2021, les versions obsoletes d’Outlook ja no es van poder connectar al correu del núvol. Les versions suportades actualment per Microsoft són:

  • Office 2013 (a partir de la versió 15.0.4971.1000)
  • Office 2016 (a partir de la versió 16.0.4600.1000)
  • Office 2019
  • Office 365

Qualsevol d’aquestes versions  funciona amb autenticació moderna.

Si vols saber quina és la teva versió del client Outlook fes el següent:

Obre l’Outlook – FitxerCompte de l’Office – Fes clic sobre “Quant a l’aplicació Outlook

Faig servir un altre client diferent d’Outlook

La majoria dels clients de correu electrònic de tercers moderns ja admeten l’autenticació moderna. Comprova les opcions de configuració del teu client i actualitza’l si s’escau.

Recorda que, sempre pots accedir al correu de la UB, a través del client web, accedint al Núvol UB.

Per a més informació sobre aquesta actualització, consulta la notícia publicada per Microsoft.

OneDrive: què i com compartim informació

OneDrive és una de les diferents aplicacions que formen el Núvol UB. La seva finalitat és  l’emmagatzematge d’informació personal relacionada amb el nostre treball o activitat a la UB.

És la nostra biblioteca personal de documents on podem pujar, crear i editar fitxers que són accessibles des de qualsevol dispositiu i en qualsevol moment i que podem compartir quan i amb qui vulguem.

En aquesta entrada del blog ens volem centrar en aquest últim punt: la compartició de fitxers des de OneDrive centrant-nos en dues opcions: la carpeta Compartit amb tots els usuaris i la compartició d’enllaços amb qualsevol persona que tingui el vincle.

En tots dos casos, cal tenir molta cura i ser molt restrictius en fer-ne ús. En cap cas, hem de fer-les servir per compartir fitxers que puguin contenir informació sensible, que sigui de caràcter confidencial o que inclogui  dades de caràcter personal.

1 – Carpeta Compartido con todos los usuarios

Molts de nosaltres tenim en el nostre OneDrive una carpeta anomenada “Compartido con todos los usuarios” que es va crear quan es van donar d’alta tots els nostres comptes al Núvol UB (per les noves adreces posteriors ja no es crea aquesta carpeta)

Tota la informació que es guarda dins d’aquesta carpeta és susceptible de ser consultada per qualsevol membre de la Comunitat UB: PAS, PDI, personal col·laborador o estudiants. Cal ser molt curosos i conscients del que guardem aquí i eliminar qualsevol document que tinguem si ja no cal que tingui aquest caràcter públic. Recomanem revisar periòdicament el contingut d’aquesta carpeta i eliminar o moure el seu contingut a una altra carpeta més privada o eliminar-la directament si no és necessària.

El cercador del Núvol UB només troba informació d’aquells fitxers on tenim algun tipus de permís i, quan creem o guardem un document en aquesta carpeta, automàticament, estem donant permisos a tots els usuaris de la UB i, per tant, el podran cercar i trobar.

2 – Compartir fitxers amb qualsevol persona que tingui el vincle

Quan decidim compartir un fitxer o una carpeta del nostre OneDrive tenim l’opció de decidir com i a qui.

Cal evitar al màxim l’opció Qualsevol persona que tingui el vincle,  però en cas que sigui necessària, és molt recomanable activar també diferents opcions en aquesta compartició per fer-la més controlada com no permetre l’edició, establir una contrasenya o una data d’expiració d’aquest vincle.L’opció Qualsevol persona que tingui el vincle,  dona accés a qualsevol persona que rebi el vincle, sigui perquè l’ha rebut directament o perquè li ha reenviat una altra persona, i això també inclou persones de fora de la UB.

Campanya de phishing ètic a la UB: tu l’has rebut?

Un phishing ètic és una campanya d’atacs simulats amb tècniques reals, on es fan enviaments de correus presumptament maliciosos als membres d’una organització.

Per què es fa?

L’objectiu principal es conèixer el grau de maduresa de l’organització respecte als ciberatacs i més en concret als atacs de correus de tipus phishing que són la principal font d’entrada de malware.

Com funciona?

Amb el propòsit d’aconseguir la informació més fidedigna i prendre les mesures més eficients, les organitzacions planifiquen campanyes de phishing ètic amb l’elaboració d’un o més missatges que, de manera massiva i en curt període de temps, s’envien al seu personal.

El text del missatge s’adapta als requeriments de l’organització (per temàtica, idioma, logos…) emprant també les tècniques habituals d’aquest tipus de missatge: urgència, exigència o ambigüitat perquè l’usuari cliqui l’enllaç.

L’enllaç no apunta al servei o pàgina legítima sinó a una de falsa que, en cas d’un phising ètic, no és en sí maliciosa.

En temps real, es recullen estadístiques de les interaccions dels usuaris per conèixer qui ha obert l’enllaç, qui ha facilitat credencials…

Què es fa amb la informació recollida?

Amb la informació obtinguda sobre el nostre comportament respecte al correu rebut, es planifica una campanya de comunicació, conscienciació i formació en temes de ciberseguretat.

Per què s’ha fet una campanya a la UB?

Així com es fan de manera periòdica simulacres amb alarmes d’emergència que ens ajuden a millorar els protocols de seguretat i prevenció de riscos en el nostre lloc de treball, les campanyes de phishing ètic són una de les mesures recomanades per prevenir i minimitzar els ciberatacs.

Com qualsevol organització, la nostra no és aliena als diferents ciberatacs que s’han incrementat i sofisticat de manera alarmant en els últims temps.

Des de l’Àrea TIC i sota l’encàrrec del Vicerectorat de Transformació Digital, s’ha considerat necessari fer una campanya d’aquest tipus.

Des de dimecres dia 20 al migdia fins dissabte 23, s’han enviat de manera massiva al PAS i PDI correus amb diferents assumptes: “S’ha actualitzat correctament el Ticket”, “Urgent” , “Signatura urgent a la nòmina”.Som conscients que els correus enviats han estat “molt reals”; que de manera deliberada, hem estat lents en publicar avís en la nostra web i que, per raons òbvies a la mateixa campanya, no hem bloquejat les adreces de correu emissores i hem deixat que lliuréssim tots els missatges. Així mateix s’han desactivat, per aquestes adreces, i seguint les instruccions de l’empresa que ens ha fet el phising ètic, les defenses a nivell de servidor de correu per permetre la recepció massiva d’aquests missatges.

El servei del PAU ha rebut una allau de consultes, moltes d’elles per informar-nos de la recepció d’aquest correu que heu detectat com a fraudulent, la qual cosa ens indica que molt de vosaltres ja esteu al cas del risc dels correus phishing, altres usuaris que heu clicat en algun dels enllaços, també se us ha indicat que féssiu un canvi de contrasenya, en aquest cas no hagués calgut, però l’objectiu de la campanya és formar i el canvi de contrasenya sempre és un pas obligat en cas de caure en un phishing.

Des de l’Àrea TIC volem manifestar que en cap cas s’han recollit credencials i disposem d’un contracte de confidencialitat i de destrucció de les adreces facilitades.

Amb aquesta campanya, des de l’ATIC aprofitarem també per millorar els nostres procediments interns i ser més efectius en cas d’un àtac real.

Amb l’anàlisi de les estadístiques prendrem diferents mesures per conscienciar i prevenir aquest tipus d’atac i, en definitiva, com organització, aconseguirem estar més preparats davant d’un ciberatac.

Gconvenis, la nova aplicació per a la gestió de convenis

S’ha posat en producció la primera fase del projecte d’informatització de la gestió de convenis mitjançant la implementació de l’aplicació Gconvenis. Amb aquest nou aplicatiu, es dona resposta a la necessitat de digitalitzar tota una sèrie de procediments que fins ara es feien manualment.

Gconvenis és l’aplicació per a la gestió integral de tots els procediments adreçats a la tramitació dels convenis de la Universitat de Barcelona amb entitats externes.

En faran ús, a més de la unitat de Serveis Jurídics i Convenis, els diferents càrrecs que tenen la potestat de promoure convenis dintre del seu àmbit de competències, i totes les unitats organitzatives que poden participar en la seva negociació i/o validació dintre de la UB.

La unitat de Serveis Jurídics i Convenis, mitjançant l’aplicació, informarà les unitats implicades de les accions i tasques assignades que aquestes podran dur a terme a través de l’enllaç que rebran en la corresponent comunicació.

 En aquesta primera fase ja està operatiu:

  • la petició de la tramitació de nous convenis
  • la seva negociació interna gestionada per la unitat de Serveis Jurídics i Convenis
  • l’elaboració i aportació dels certificats i validacions necessàries
  • la signatura definitiva per part de la Universitat de Barcelona i la resta d’entitats participants

– Pantalla amb menús per accedir a diferents apartats de l’aplicació –

En fases successives s’implementaran la resta de procediments i funcionalitats, entre les quals s’inclouran les pròrrogues i les addendes.

Aquesta aplicació ha estat desenvolupada íntegrament per l’Àrea TIC, atesos els requeriments funcionals de la unitat de Serveis Jurídics i Convenis i amb el suport de la unitat Administració Electrònica i Identificació Corporativa, integrant-se plenament amb tots els serveis disponibles a la UB.

Si teniu qualsevol dubte respecte a l’aplicació, us podeu adreçar a la unitat de Serveis Jurídics i Convenis.

Malwarebytes, un cas d’instal·lació de programari que incompleix els T&C

Aquest mes de gener de 2022 la UB ha estat requerida per regularitzar una situació de manca de llicenciament d’un producte de programari, en concret malwarebytes, un software anti-malware. El procés de regularització ha finalitzat amb un acord en el qual, a canvi d’una quantitat econòmica, el publisher (desenvolupador del programari i qui disposa del copyright) ha renunciat a denunciar a la UB.

L’origen de les instal·lacions, totes en equips propietat UB, ha estat la descàrrega i posterior instal·lació d’aquest programari per part dels usuaris finals de l’equip.

Des dels serveis TIC hem pogut comprovar que la informació facilitada pel fabricant, amb detalls dels equips on estava instal·lat el programari, era correcta i les instal·lacions han estat verificades com a no llicenciades.

En aquest cas no es tractava de programari ‘sense llicència’, sinó que el trencament de la legalitat ha estat no respectar els termes i condicions (T&C) de la llicència del fabricant, que autoritza a descarregar i instal·lar el programari en els equips personals (privats) dels usuaris (home use) de forma gratuïta, però prohibeix fer-ho als equips corporatius, en els que s’exigeix la contractació de la corresponent llicència.

Tot i tractar-se d’actuacions individuals ‘de bona fe’, en cap cas ha eximit a la nostra institució de rebre la reclamació corresponent i actuar en conseqüència.

Des de l’Àrea TIC estem ja finalitzant la desinstal·lació d’aquest software dels equips gestionats i, si es detecta en altres equips, per motius legals, també es procedirà a la seva desinstal·lació. En breu enviarem un correu electrònic als usuaris dels equips a on hem realitzat aquestes accions informant de la desinstal·lació i de les premisses més importants que cal saber.

Qualsevol programari disposa de processos i connexions permanents entre l’equip on està instal·lat i els servidors propis del fabricant (relacionats amb l’activació, l’actualització …), processos que sovint requereixen autorització explícita i que es dona de facto a l’hora d’instal·lar el programari. Us demanem doncs responsabilitat en les instal·lacions de qualsevol programari en el vostre equip corporatiu. Si trobem altre software que incompleixi termes i condicions, també procedirem a la seva desinstal·lació.

Recordeu que, com usuari final de qualsevol equip de la UB , sou els responsables quan descarregueu i instal·leu programari.  Heu de validar i informar-vos prèviament si aquest disposa de la llicència corresponent i  si es compleixen els termes i condicions (T&C) (document d’obligat compliment) de l’ús que en voleu fer.

Si teniu dubtes sobre el llicenciament necessari i sobre quins termes i condicions (T&C) apliquen, si us plau, obriu un tiquet al PAU i us assessorarem sobre si aquesta instal·lació i l’ús que en voleu fer, hi queda coberta.