Aquesta és la pregunta que, indefectiblement, sorgeix en un moment o altre a qualsevol empresa: un usuari intenta accedir al contingut d’una carpeta, on s’hi desa un document que necessita, i juntament amb la impossibilitat de fer-ho, es troba amb una advertència-explicació que li diu que no té permisos per accedir-hi.
“Permís? Si ho necessito per treballar!, qui –substituïu aquest espai per un renec– m’ha fet això?” és, sense cap mena de dubte, el que li passa pel cap al treballador tot seguit en veure el problema. Veure’l, que no comprendre’l, perquè l’aplicació de polítiques de seguretat a l’empresa (que no es resumeix només a tallar l’accés a arxius) és dels àmbits menys entesos a les organitzacions, i que més nosa i problemes provoca.
Això és així fins al punt de negligir el seguiment de la política de seguretat o, fins i tot, obviar-la, en favor de la comoditat, un fet molt perillós, ja que deixa la porta oberta a tota mena d’amenaces.
Per tant, en aquest article farem una mica de pedagogia sobre què és i com es pot implementar una política de seguretat, com s’ha de fer servir, i com ens ajuda a un dia a dia més segur.
Què és una política de seguretat?
La política de seguretat no comença als ordinadors, ni a la xarxa de l’empresa; comença sobre una taula, bastint un document en el qual s’hi plasmen les normes d’ús de tota la infraestructura tecnològica (que inclou el maquinari, el programari, la connectivitat,… tot, en definitiva) per tal que aquesta sigui segura.
L’objectiu és evitar atacs informàtics i intrusions, i reduir al màxim possible l’impacte d’aquells que resultin reeixits, garantint la integritat de les dades, la seva confidencialitat, i la continuïtat del negoci en totes les àrees, des de l’administrativa a la productiva, passant per la comercial.
Aquest document contempla tant les mesures de defensa passiva com les més proactives, així com defineix què poden fer (i com fer-ho) els treballadors amb les infraestructures tecnològiques de l’empresa, i què no han de fer mai. També té en compte plans de contingència per als pitjors casos, aquells en què un atac resulti totalment reeixit.
Aquest document, el de la política de ciberseguretat de l’empresa, és, en definitiva, d’obligat coneixement i compliment per a tots els directius i treballadors de l’empresa.
Dit d’altra manera: ara ja li podem explicar al nostre treballador que es queixa angoixat que no pot accedir als arxius que necessita, que el seu usuari no té prou privilegis perquè així ho exigeix la política de seguretat i que, per tant, aquella informació que necessita l’haurà de demanar per una altra via i se li farà arribar pels canals autoritzats.
En què consisteix la política de seguretat?
La política de seguretat a l’empresa abasta tot el que fem i podem fer amb els sistemes d’informació corporatius, començant per marcar quins permisos d’accés tindrà el nostre usuari a cada recurs i com ens haurem d’identificar davant del sistema.
Això, per exemple, inclou quin nivell de privilegis té cada usuari, a quins recursos pot accedir (emmagatzematge, dades, aplicacions, màquines,…), quines tasques i processos podrà dur a terme, i en quins grups d’usuaris (un concepte semblant a grups de treball) s’integra.
Ara ja li podem explicar al nostre treballador per què el seu usuari no té prou privilegis per accedir als arxius: és com a les pel·lícules d’espies, quan a algú li diuen que no té “prou nivell de seguretat” per veure uns determinats documents. Només que aquí és el món real, i si no hi té accés, vol dir que algú, abans, ha considerat que calia compartimentar la informació i limitar-hi l’accés per seguretat.
El fet de limitar accessos no és un caprici: si un atacant aconsegueix introduir-se en un perfil d’usuari de la nostra xarxa, el mal que podrà fer estarà limitat pels permisos dels quals gaudeixi l’usuari “envaït”, i per això el mal que podrà fer l’atacant és limitat.
Ara imagineu-vos que el nostre usuari té permisos il·limitats dins la xarxa: un atacant podria accedir impunement a totes les dades, robar-les, modificar-les, eliminar-les… un desastre, vaja!
En el document que defineix la política de seguretat s’hi dibuixen les normatives que marquen, per exemple, com s’emmagatzemaran i es protegiran les dades de l’empresa (dels clients, proveïdors, comandes, productes,…), que es poden xifrar.

També s’hi defineix com seran les claus d’accés i cada quant es canviaran; sí, allò tan pesat de “ara l’ordinador em torna a demanar que canviï la contrasenya? Però si només fa un mes! la mare que el va…” té una raó de ser, i no és allà pel gust de l’administrador dels sistemes informàtics ni perquè és un ‘psicòpata’ que s’entreté fent-nos esprémer el cervell tot cercant una clau d’accés que no hàgim introduït abans, i que ens en recordem per accedir al sistema. Té una raó de ser, com tot en matèria de ciberseguretat.
Explica també com ha de ser la seguretat perimetral, quins han de ser els sistemes antimalware que emprarà la xarxa i els equips que la componen, com es connectaran els usuaris des de fora (per a teletreballar), emprant una VPN o una solució anàloga, i com i quan es duran a terme les actualitzacions dels sistemes i els programes.
Finalment, el document de política de seguretat també ha d’explicar aquelles pràctiques que no s’han de dur a terme de cap manera, per òbvies que semblin: no compartir la contrasenya amb ningú, no descarregar ni instal·lar programes de pàgines web dubtoses (cosa que el mateix sistema ja no hauria de deixar fer als usuaris si està ben configurat), o vigilar amb el que se’ns demana que fem mitjançant un missatge de correu electrònic (evitar pràctiques de phishing o de ransomware).
Per què cal tenir-la?
Per respondre a aquesta pregunta, aturem-nos un moment a imaginar què passaria si la nostra empresa no tingués una política de seguretat correcta.
Els directius i treballadors actuarien cadascun segons el seu propi criteri, i això duria al fet que més d’una persona instal·lés programes informàtics de dubtós origen per a, per exemple, descarregar pel·lícules de forma il·lícita des d’Internet. Ho hem vist a més d’una organització, i la majoria de les vegades és quelcom que no es fa de mala fe, sinó que la persona que ho fa creu que el programa és segur i no passarà res. Però la veritat és que mai no sabem del tot què és el que fan aquests programes en el nostre sistema informàtic, i per això podrien obrir una porta a un atac exterior amb molta facilitat.
Tampoc existiria una política comuna de seguretat, per la qual cosa cadascú aplicaria les seves pròpies regles. En aquesta situació, la compartimentació de la infraestructura de gestió de la informació fora impossible, i un atac exterior es faria ràpidament amo de tota la xarxa corporativa, amb les pitjors conseqüències per a l’empresa.
Les dades les desaria cadascú per la seva banda com més bé entengués, el que duria a una ineficiència marcada (dades repetides, desactualitzades, perdudes,…), a banda de què, fins i tot, podríem patir repercussions legals en el cas que una inspecció per part de protecció de dades trobés quelcom irregular.

Penseu que qualsevol empresa, inclosa la vostra, treballa avui en dia amb un conjunt de dades, on s’hi inclouen les de terceres parts, que estan sotmeses a una especial protecció. Si, per inacció nostra, es filtren les dades de clients, proveïdors, o qualsevol altra que sigui de terceres parts, la nostra empresa pot rebre una sanció, i no pas precisament petita, amb totes les conseqüències que se’n desprenen tant per a la gerència com per als treballadors.
Actualment, la informàtica no és un afegit que “fa anar millor l’empresa”, sinó que és un actiu necessari per a treballar, una eina més del conjunt que tenim, i en la majoria dels casos, la principal d’aquestes eines, sense la qual l’empresa no rutllaria.
Si us gasteu uns diners en una alarma, si compreu les millors eines per poder crear un producte o servei de qualitat, per què no invertir en un bon sistema informàtic degudament protegit? El futur de la vostra empresa hi és dipositat.
Com bastir la nostra política de seguretat?
La resposta és senzilla: deixeu que us la fem els professionals. Ens hi haureu d’ajudar, perquè ningú coneix el vostre negoci millor que vosaltres mateixos, i la política sempre s’ha d’ajustar als objectius de l’empresa i la manera en què treballa, malgrat que hi ha estàndards a seguir i implementar, però ha de ser un professional, com els d’ANH Infotech, qui construeixin aquesta política.
Ah!, i de res serveix si després no s’implementa i se segueix fidelment, i això és cosa vostra. Així que ni se us acudeixi donar-li accés a aquell treballador als fitxers que necessita sense abans preguntar-ho a l’administrador del sistema o professional encarregat, que serà qui decidirà si es pot fer i com.