O com evitar les pèrdues en la nostra empresa producte d’una mala praxi en matèria de ciberseguretat. Què ens espera, i com protegir-nos.
Encara recordo una afirmació molt concreta d’una conversa, fa anys, amb un responsable de l’àrea de trànsit de la policia local de la meva ciutat: “la percepció que els conductors tenen sobre els accidents de trànsit és que és una cosa que els passa als altres” i, desenvolupant el tema, arribava a la frase que tots, en un moment o un altre, hem escoltat de boca d’algun conductor que justificava el seu excessiu consum d’alcohol o la confiança desmesurada en les seves capacitats i reacció al volant: “jo controlo”.
El problema amb la ciberseguretat és que passa, més o menys, el mateix que amb la conducció: els accidents, sempre els passen als altres. Fins que es demostra el contrari i, llavors, ja és massa tarda per a evitar-ho i solament podem posar un remei que mai és del tot satisfactori.
A què s’enfronten les empreses actualment?
Els temps en els quals el malware era simplement una broma o una entremaliadura fa molt que van passar, i des de fa anys els qui estan darrere d’aquesta mena de programari, l’utilitzen per a cometre actes delictius. Aquests, naturalment, perjudiquen les empreses que són les seves víctimes.
Podem classificar aquests mals en dues grans categories, començant pels que sostreuen informació de manera silenciosa i, per tant, busquen romandre no detectats en els sistemes, per a robar des de dades personals (que després els cibercriminals poden revendre en els baixos fons d’Internet), fins a números de compte, claus d’accés, i dades de targetes de crèdit de clients.
I, d’altra banda, estan aquells programes de malware que realitzen un mal actiu i visible de seguida, com l’encriptació del contingut del disc dur dels ordinadors i l’exigència d’un rescat a canvi de desencriptar les dades.
I, en el pitjor dels casos, es combinen tots dos efectes: el robatori de dades, amb el segrest d’aquestes per a la subsegüent extorsió a l’empresa afectada.
Com entren aquestes amenaces en els nostres sistemes informàtics?
Per a poder actuar, el malware deu primer obrir-se pas fins els nostres ordinadors, cosa que pot fer de dues maneres: explotant falles en el nostre programari, des del sistema operatiu fins a les aplicacions (com qui troba una finestra que no ajusta i l’acaba d’obrir per a accedir a l’edifici), o bé a través del que es coneix com la “enginyeria social”, i que no és res més que l’engany o l’estafa de tota la vida a les persones, per a aconseguir d’alguna manera accés als sistemes informàtics que aquestes gestionen.
Un exemple d’enginyeria social és el phishing, una pràctica consistent a simular missatges de correu electrònic procedents d’una entitat bancària que conviden a fer clic sobre un enllaç per a finalitzar una operació bancària, comprovar unes dades, o reactivar un compte suspès temporalment. I aquesta pràctica s’ha estès als telèfons intel·ligents amb el smishing, el mateix però amb missatges SMS.
Perquè, en els últims anys, la proliferació d’ordinadors portàtils, telèfons intel·ligents i tauletes entre altres dispositius, que són d’ús personal però acaben també exercint funcions en l’empresa, s’ha disparat fins a tal punt que, en molts casos, costa dissociar el que és un ús purament personal d’un professional en un mateix dispositiu. I, en la majoria de microempreses i Pimes, aquest ús és mixt, sense parlar ja dels treballadors autònoms.
El pitjor de tot és que si els atacants aconsegueixen fer-se amb dades de terceres parts (clients, proveïdors,…), la nostra empresa pot acabar sent sancionada per no protegir-los degudament, en virtut de la legislació de protecció de dades.
Amb tants vectors d’atac per als cibercriminals i per on ens poden arribar les amenaces, a priori sembla que ho tenim cru per a mantenir-nos a resguard dels efectes del malware, però basta amb seguir unes certes línies per a deixar fora de joc al 99% de les amenaces. Línies que us dibuixem seguidament amb els nostres 10 consells per a mantenir-nos ciberprotegits. Digui’m doctor, què em puc prendre?
Vols millorar la Ciberseguretat a l’empresa? Les subvencions del Kit Digital et poden ajudar a fer-ho. Contacta amb nosaltres i t’assessorem.
10 consells per a mantenir-nos ciberprotegits a l’empresa
1- SENSIBILITZAR I FORMAR EL PERSONAL DE L’EMPRESA EN MATÈRIA DE CIBERSEGURETAT.
La baula més feble en la cadena de la ciberseguretat acostuma a ser l’usuari, la persona, per això funciona l’abans esmentada enginyeria social. En aquest context, és imprescindible que els treballadors de l’empresa estiguin sensibilitzats sobre la seva part en la cadena de la ciberseguretat i disposin de formació sobre aquest tema en bones pràctiques, amb coses tan simples com no connectar pendrives USB externs en els sistemes corporatius.
2- CAL SER DESCONFIAT.
Una mica de paranoia ve ben – ull, només una mica; en excés, tampoc és saludable – ja que ens manté alerta. Quan rebem un missatge de correu electrònic de la nostra entitat bancària o que ens convida a obrir un arxiu adjunt, hem de pensar-nos-el dues vegades: per què m’envien això? Correspon a una gestió que he iniciat jo o sé que estava en marxa? Si no és el cas, podem ignorar el missatge, o bé trucar per telèfon a qui ens l’envia per a comprovar que és legítim.
3- HEM DE SEGMENTAR LA XARXA.
Igual que els grans vaixells estan dividits en compartiments perquè un forat en el casc no provoqui que tota la nau s’ompli d’aigua, una xarxa segmentada pot contenir una intrusió i que afecti el mínim d’equips. Ha d’haver-hi seguretat en els punts d’accés i dispositius connectats de la nostra xarxa local però sempre hem de tenir al cap que, si algú aconsegueix entrar il·lícitament, provoqui el mínim impacte negatiu i aquest quedi contingut solament en un sector.
4- HEM DE COMPTAR AMB UNA ADMINISTRACIÓ PROFESSIONAL DE LA XARXA.
En empreses d’una certa dimensió, és possible contractar un administrador dedicat, mentre que en altres més petites, aquesta tasca pot recaure de manera remota en una empresa especialitzada. Les tasques d’aquest administrador passaran, per exemple, per la gestió de l’accés als recursos, ja que si algú aconsegueix guanyar accés a un usuari, no pugui créixer per tot el sistema i l’agressió quedi, novament, continguda.
5- HEM DE DONAR ESPECIAL ATENCIÓ ALS ‘NÒMADES DIGITAL’.
Inevitablement, part del personal de l’empresa desenvoluparà el seu treball fora de l’oficina i, per tant, connectarà els seus ordinadors, telèfons intel·ligents i tauletes, tant a les xarxes corporatives com a les de fora. A més, quan estiguin fora, poden estar més desprotegits davant robatoris de dades o altres ciberatacs. La bona notícia és que és possible implementar mecanismes extra de protecció a aquests perfils, com ara VPNs (Virtual Private Network, o xarxa virtual privada).
6- BYOD (BRING YOUR OWN DEVICE, O PORTA EL TEU PROPI DISPOSITIU) QUAN EL DISPOSITIU PERSONAL TAMBÉ S’UTILITZA PER A TREBALLAR.
En petites empreses i, especialment, en el cas dels treballadors autònoms, la frontera entre l’ús dels dispositius per a la vida personal i la vida laboral és molt flexible o, directament, inexistent. Això hem de tenir-ho molt en compte a l’hora de planificar la ciberseguretat.
7- DIMENSIONAR I ASSEGURAR LA NOSTRA PRESÈNCIA EN INTERNET I ELS SERVEIS EN LÍNIA QUE OFERIM.
Si la presència en línia de la nostra empresa és essencial per a la continuïtat del nostre negoci, i si oferim algun tipus de servei en línia als nostres clients, un atac de denegació de servei (Dos, DDoS) podria deixar-los inutilitzats per diverses hores i, fins i tot, dies. Això, a més d’afectar la nostra facturació, també podria fer-ho a la nostra imatge. Per això, necessitem disposar d’un pla de mitigació d’atacs i continuïtat de funcionament. Novament, els professionals del hosting i de la seguretat informàtica seran els nostres aliats.
8- HEM DE MONITORAR ELS SISTEMES I LA XARXA EN TEMPS REAL.
Les amenaces actuen molt ràpidament avui dia, i no deixen temps a reaccionar. Però tranquil, no fa falta que ens quedem tot el dia mirant un monitor a veure què passa: els sistemes moderns de protecció i antimalware disposen d’eines d’intel·ligència artificial que faran el treball per nosaltres i ens informaran de les amenaces bloquejades.
9- HEM D’ACTUALITZAR ELS NOSTRES SISTEMES.
Malgrat que l’enginyeria social és actualment una de les tècniques més utilitzades, com hem dit abans, els cibercriminals també exploten forats de seguretat en el nostre programari. Actualitzar les aplicacions que tenim instal·lades i el sistema operatiu porta al fet que els nostres ordinadors i dispositius vagin tancant aquests forats, impedint el pas als ‘dolents’.
10- NECESSITEM UN PLA DE CONTINUÏTAT DE L’EMPRESA.
Una còpia de seguretat o backup està bé, però realitzant únicament la còpia no anem a enlloc. Cal fer-lo de forma planificada perquè, en qualsevol eventualitat, les dades de la còpia no resultin afectats, i comprovar si els podem recuperar per a continuar treballant. A més, també hem de disposar d’un pla d’acció per a seguir amb la nostra activitat si no podem utilitzar els nostres ordinadors en cas de sofrir un ciberatac.
Tornant al principi de l’article, molta gent pensa que la seva empresa és massa petita per a convertir-se en objectiu dels cibercriminals. Però aquests no solament se centren en grans multinacionals, i és més fàcil guanyar moltes petites quantitats de diversos robatoris selectius a petites empreses o professionals autònoms, que donar un gran cop.
Així que sí, tots som objectiu potencial dels cibercriminals, hem de tenir-ho en compte per a protegir-nos i fer-ho bé.