La implementació del treball a distància com a mesura per prevenir la propagació del coronavirus (COVID-19) ha fet augmentar la bretxa de seguretat informàtica en les companyies. Aquests consells poden ajudar a posar fora de perill les dades de les petites i mitjanes empreses
La implementació del teletreball com a mesura per prevenir la propagació del coronavirus (COVID-19) ha fet augmentar la bretxa de seguretat informàtica als països en els quals aquesta modalitat d’ocupació no és habitual, com Espanya. Segons dades de l’Institut Nacional d’Estadística (INE), en condicions normals només un 7 % dels empleats tenen l’opció de recórrer al teletreball. Aquest percentatge mínim es tradueix en una realitat complexa que ha fet que la gran majoria d’empleats no tinguin a la seva disposició les eines necessàries i que hagin hagut de teletreballar per mitjà d’equips personals, que acostumen a ser més vulnerables als ciberatacs. Això ha fet saltar les alarmes en matèria de ciberseguretat.
Les més afectades, les petites i mitjanes empreses
T’imagines que, de sobte, perds tota la informació del teu negoci o la capacitat d’accedir-hi? O que controlen els correus corporatius, suplanten la teva identitat, fan càrrecs fraudulents als comptes de l’empresa o, fins i tot, converteixen els monitors dels ordinadors en dispositius de vigilància? Ser una de les empreses que pateixen ciberatacs és més habitual que no penses. I encara són més vulnerables les petites i mitjanes empreses, objectiu d’un 43 % de les intromissions, segons calcula la companyia russa de ciberseguretat Kaspersky Lab.
Segons l’estudi Global Information Security Survey 2018-2019 elaborat per EY mitjançant una consulta a més de 1.400 directius, els seus màxims temors són la pèrdua d’informació de clients, de dades financeres i de plans estratègics. Per evitar-ho, diversos informes calculen que la despesa en ciberseguretat empresarial arribarà als 124.000 milions de dòlars el 2019 arreu del món. Les grans corporacions són conscients del que es juguen i inverteixen, i molt, en prevenció, però què pot fer una empresa de petita dimensió per protegir-se? El primer de tot és conscienciar-se i estendre la seva importància a tota l’organització.
El primer de tot, conèixer en quina situació estem
Conèixer els teus riscos. Totes les empreses, fins i tot les de dimensió més petita, estan exposades a atacs des del moment en què gestionen algun tipus de dades, depenen de sistemes informàtics i xarxes i contracten o ofereixen serveis a tercers i en el núvol. Així doncs, el millor és fer una auditoria per conèixer el grau de vulnerabilitat de la informació amb la qual treballes i el risc de desprotecció enfront d’un atac.
L’Institut Nacional de Ciberseguretat (INCIBE) proposa l’avaluació inicial del risc de seguretat del teu negoci en funció de com utilitzes la tecnologia. Pots fer aquest test en pocs minuts per saber per on pots començar a millorar. A més, és recomanable fer un estudi de riscos que identifiqui els sistemes més importants i els més vulnerables. Desenes de companyies presten aquest servei.
La qüestió és realment important, ja que sis de cada deu pimes víctimes d’un ciberatac no el superen i han de tancar durant els sis mesos següents, com constata l’informe de Kaspersky Lab.
I com sé que m’estan atacant?
Hi ha vegades que un no s’adona que està sent piratejat. Fins i tot una estadística elaborada per Kaspersky Lab xifra en 210 dies el temps mitjà que triga una companyia a adonar-se d’una intrusió en el seu sistema.
Buscar els símptomes. Perquè això no ens passi cal prestar atenció sobretot a l’activitat inusual dels ordinadors. Si detectem un tràfic de xarxa desorbitat o un consum de recursos extremadament alt i que es manté en el temps, fins i tot quan els equips estan apagats, cal sospitar. Tampoc no és un bon senyal que augmenti l’activitat en el disc dur dels equips en xarxa, ja que es pot tractar de “cucs” que, una vegada instal·lats, fan operacions d’escaneig en els discos dels ordinadors.
Explorar els informes d’amenaces. Cal desconfiar de l’increment de sol·licituds de connexió aturades pel tallafocs i que provenen d’una mateixa adreça. Aquí no s’ha de dubtar i cal bloquejar immediatament aquesta IP. Pot ser que busqui bloquejar l’equip.
Controlar l’spam. Quant al correu, un senyal d’alarma clar és que de sobte ens convertim en emissors de spam i receptors de grans quantitats de correu brossa. Així mateix, cal no deixar passar els errors o les fallades dels sistemes d’autenticació de contrasenyes. Aquest pot ser el senyal que s’ha instal·lat algun tipus de programa espia que intenta canviar les claus d’entrada als programes o fins i tot al sistema.
Les persones: el filtre essencial
Tots som una amenaça interna per a les nostres empreses. Sabies que el 95 % de les incidències en ciberseguretat es deuen a errors humans? Així es posa de manifest en un informe elaborat per investigadors en seguretat d’IBM.
Implicar els empleats. És essencial que els treballadors i els col·laboradors de l’empresa siguin conscients dels riscos i que se sentin la primera barrera de seguretat. Qualsevol sospita s’ha de comunicar al departament o a l’encarregat de seguretat informàtica. Cal animar els treballadors a ser curosos abans de fer segons quines tasques.
Compte amb el que obres. Tenint en compte l’estudi efectuat per l’empresa de ciberseguretat Symantec sobre les amenaces a la seguretat d’Internet, un 54,6 % dels correus que rebem són spam i cada usuari pateix una mitjana de 16 correus electrònics maliciosos al mes. Els correus que apareguin amb un remitent desconegut o estrany, que estiguin escrits amb faltes d’ortografia o que arribin sense signatura han de despertar sospites.
Com més control d’accessos, millor
“De la mateixa manera que controlem l’accés al món físic per entrar en edificis o a les dependències d’aquests edificis amb sistemes com ara torns d’entrada, targetes xifrades, guàrdies de seguretat o videovigilància, en el món digital controlar l’accés als recursos d’informació de l’empresa és la primera forma de protegir-los. Identificar qui pot accedir a on i per fer què és bàsic i essencial”, ressalten a l’INCIBE.
No és que s’hagi de desconfiar per regla general de la bona fe dels treballadors, sinó que com menys persones tinguin accés a informació sensible o coneguin les claus per a uns serveis determinats, menor serà la possibilitat de filtracions (voluntàries o involuntàries).
Emmagatzemar sempre i fer-ho en dispositius diferents
“Les còpies de seguretat són la forma de recuperar-se de gairebé qualsevol incident i no poden faltar en qualsevol pime que vulgui sobreviure a un ciberatac”. Així de taxatius es mostren al Decálogo para la pyme cibersegura de l’INCIBE.
Com es poden bé les còpies de seguretat. Des de la patronal de les pimes (Cepyme) i Unespa (que agrupa les asseguradores), recomanen organitzar una còpia de seguretat freqüent de les dades —preferentment diària— en suports independents dels sistemes d’informació, verificar periòdicament que aquestes restauracions funcionen i evitar localitzar les còpies de seguretat en el mateix lloc on s’emmagatzemen els sistemes i les dades que es volen protegir. És preferible utilitzar diferents suports per arxivar els backups. El núvol és més segur que un ordinador, però també és convenient desar les còpies en discos durs externs que no estiguin connectats a la xarxa de la pime.
Les contrasenyes: n’hi ha per a tots els gustos
La creació de contrasenyes de qualitat també és essencial. Generalment s’aconsella fer servir signes de puntuació, símbols, lletres i xifres al mateix temps. De fet, cada vegada més serveis o eines exigeixen que les claus tinguin aquestes característiques. També és convenient utilitzar algun sistema de doble verificació que requereixi, per exemple, rebre una clau per correu electrònic o al telèfon. Així mateix, no és aconsellable fer servir la mateixa clau per accedir a diferents serveis.
Cada vegada és més habitual que es requereixi renovar les contrasenyes periòdicament, cada tres o sis mesos. Si no et vols fer un embolic, pots utilitzar un gestor de contrasenyes al qual pots accedir mitjançant una clau única.
Val més prevenir: eines de protecció
Antivirus i tallafocs. Els atacants solen utilitzar programari dissenyat especialment per malmetre els sistemes o infiltrar-s’hi, sense el consentiment de l’usuari, anomenat malware. “La seguretat antimalware en les empreses s’ha d’aplicar a tots els equips i dispositius corporatius, incloent-hi els dispositius mòbils i els mitjans d’emmagatzematge extern com ara USB, discos durs portàtils, etc.”, recorden des de l’Institut Nacional de Ciberseguretat. La Guía de prevención de riesgos cibernéticos llançada per Cepyme i Unespa destaca com a mitjans de protecció els antivirus i els tallafocs, que són la base de la seguretat indispensable de tots els sistemes d’informació.
Estar al dia
No subestimis la importància de les actualitzacions de sistemes, dispositius i aplicacions. Qualsevol d’aquestes eines és susceptible de tenir fallades de seguretat en el seu disseny, és a dir, vulnerabilitats, per la qual cosa el fabricant va llançant actualitzacions i pedaços que corregeixen aquestes fallades. A l’INCIBE recomanen mantenir constantment actualitzat i apedaçat tot el programari, tant dels equips com dels dispositius mòbils per millorar-ne la funcionalitat i la seguretat i evitar riscos com ara el robatori d’informació, la pèrdua de privacitat, el perjudici econòmic, la suplantació d’identitat, etc. Especialment rellevant és l’actualització de les esmentades eines de protecció i del sistema operatiu. És tan fàcil com tenir activada l’actualització automàtica de programari en tots els dispositius.
I en cas d’atac, denuncia
Tant si es tracta d’un atac demostrat com si només és una sospita, “l’empresa ha de recollir proves informàtiques mitjançant comprovacions tècniques”, recorden els experts a la guia de Cepyme. Si l’agressió de la qual ha estat víctima la teva empresa constitueix una infracció a les tecnologies de la informació i les comunicacions, no ho dubtis, ho has de denunciar a la comissaria de policia o davant una autoritat judicial.
Fer-ho és obligatori si, tal com consta al Reglament general de protecció de dades 2016/279 (RGPD), de la Unió Europea, es tracta d’organitzacions que gestionen dades de caràcter personal de ciutadans europeus. En aquest cas, han d’informar dels atacs informàtics en un termini de 72 hores.
DECÀLEG BÀSIC D’UNA PIME PROTEGIDA
- Vigila l’activitat del teu ordinador. Pots estar infectat sense saber-ho.
- Instal·la antivirus, tallafocs i sistemes de detecció d’intrusions.
- Revisa els informes periòdics de les eines antihackers per saber si estàs patint un excés d’exposició a atacs.
- Fes una avaluació dels riscos que poden afectar més la teva empresa.
- Consciencia els empleats perquè facin un ús segur de les seves eines, especialment el correu.
- Limita els accessos a la informació més sensible.
- Estableix un protocol de renovació de contrasenyes que també obligui a crear claus difícils de desxifrar.
- Fes còpies de seguretat permanents i en diversos suports, per exemple al núvol i en discos durs externs a la xarxa de la pime.
- Actualitza tot el programari de tots els teus dispositius perquè es protegeixin de noves amenaces.
- Si has patit un atac, denuncia-ho.