Els canvis recents en el paradigma laboral ens advoquen a nous hàbits de treball i amb això noves normes i nous riscos. Segons l'institut Incibe, encara hi ha molts dubtes quant a ciberseguretat a l'empresa i molts dels atacs informàtics rebuts es deuen a una manca d'informació i planificació quant a mesures de seguretat informàtica al lloc de treball.
Les noves modalitats de treball a distància o teletreball poden fer que no prenguem les precaucions necessàries.
Què cal tenir en compte en l'àmbit de ciberseguretat a l'empresa i al teletreball?
Els requisits i les mesures són molt àmplies, des de canvis molt importants que comporten un esforç fins a mesures aparentment insignificants i molt fàcils d'implementar.
A continuació mostrem una sèrie de pautes a seguir per minimitzar els riscos als ciberatacs al lloc de treball.
Estudi o anàlisi de dependència tecnològica de l'empresa
La primera mesura que ha de tenir l'empresa en compte és fer un estudi del grau de dependència tecnològica que té la seva empresa, és a dir, quins mitjans tecnològics es fan servir i quin és el grau de dependència. O el que és el mateix, durant quant de temps podria continuar l'activitat de l'empresa si algun d'aquests mitjans fallés?
- Correu electrònic
- Web
- dispositius mòbils
- Servidors
- Teletreball o equip informàtics fora de làrea de lempresa.
Principals amenaces de ciberseguretat a l'empresa
Algunes de les principals amenaces que es poden rebre mitjançant un ciberatac a l'empresa són:
- Piratejar pc
- Capturar credencials dels usuaris
- Pèrdua de dades d'usuaris, sistemes o informació estratègica
- Ser objecte de xantatge i sol·licitud de rescat de dades
- Pèrdua de dades que són venuts a tercers
Principals elements vulnerables
- Defacement: canviar el disseny de la pàgina web per enganyar l'usuari
- Phising web
- Atacs de denegació de servei web
- Suplantació o web spoofing
- Xarxes socials: suplantació d'identitat
- Comentaris negatius en perfils públics
El nombre més gran d'aquestes amenaces les pateixen PIMES i Autònoms principalment en no posseir els recursos i coneixements necessaris per evitar-les.
Teletreball segur per a l'ocupador
Implementar teletreball de manera segura amb les següents mesures
- teletreball segur
- Capacitat i seguretat remota
- Complir LOPD
- Mesures de conscienciació
- Tipus de dispositius: corporatius o personals: han d'estar actualitzats/còpies de seguretat/reposició d'equips
Accés remot segur
- VPN és l'únic mètode de manera segura. Podem crear una Pròpia xarxa de l'empresa o contractar un servei extern però en aquest cas es redueix la privadesa.
- Escriptori remot no recomanable
- Si optem per Wifi haurem d'activar WPA2 encara que no podrem evitar un inhibidor de senyal. Millor utilitzar cable.
Ús segur de la xarxa
- Si volem contractar una xarxa VPN convé investigar el proveïdor, condicions, reputació i característiques: xifrat d'extrem a extrem. VPN dins de la UE / que ofereixi registre de logs / LOPD que satisfaci a l'empresa / servei escalable
- WIFI: afegir xarxa a VPN: signar + Pass segur. WPS o WEP són insegurs
- Els dispositius IOT són vulnerables: requereixen control daccés de multifactor i pegats de seguretat
Seguretat en servidors de videoconferència, backend i RRSS.
A l'hora de fer feina per videoconferència hem de cuidar també la seguretat a internet.
- Xifratge SSL
- Reunions privada mitjançant accés per contrasenya
- Backend protegit
- RRSS: autenticació multifactor
Prevenció i conscienciació
Un dels punts més fàcils d'implementar a l'empresa pel que fa a la ciberseguretat està relacionats amb la formació del personal.
- Ús dapps dequip i no privades o personals.
- Cada empresa ha de tenir determinades restriccions de dades i propietat intel·lectual
- Conscienciació: polítiques d'ús/protecció de dades/detecció d'amenaces (spam, phising…)/ Report d'incidents/acords de confidencialitat.
Aquests són alguns dels aspectes més importants que l'empresa ha d'informar als treballadors sobretot en l'àmbit del teletreball.
Teletreball segur per a l'empleat
- Entorn de teletreball segur
- Evitar que els familiars puguin accedir a dades d'empresa
- Ús de contrasenyes robustes
- Vigilar dispositius físics i evitar pèrdues o robatoris
- Complir amb la LOPD
- Evitar compartir dispositiu personal i professional
Seguretat en accés remot
- Contrasenyes robustes
- Doble autenticació a pc i mòbil
- Sistemes actualitzats
- Ús d'antivirus
- Xifrat de discos
- Còpies de seguretat de tots els suports
- Usar recursos de la intranet corporativa de ser possible
- Usar xarxa domestica i evitar xarxes públiques. Millor amb cable
- WPA2 i deshabilitar WEPs
- Eliminar apps no essencials i no oficials
Consells per millorar la ciberseguretat
- Correus spam evitar clic
- Antivirus a tots els dispositius
- Triar un passwords wifi segur
- Perfils a RRSS. Hem de ser curosos amb les dades que compartim
- Missatgeria: no utilitzar equips professionals per a missatges personals
- No compartir informació financera
- Si hem de fer enviament de diners, realitzar-los sempre en llocs fiables
altres consideracions
- Accés multifactor i no emmagatzemar-les per defecte. Ús de gestor de contrasenyes
- Configurar equips domèstics segons les normes d'empresa
- Actualitzar configuracions i equips
- Separar el que és laboral i personal
- Missatgeria directa segura
Fraus i altres incidents
En l'àmbit de la seguretat informàtica no hi ha risc zero i sempre hi ha la possibilitat de ser objecte d'algun tipus de ciberatac. Alguns dels més recurrents són:
- Frau
- Falses vendes
- Equip desactualitzats
- Infeccions de malware
Enfrontar-se a un incident
Què passa si malgrat les mesures implementades i complertes hem de fer front a un atac de seguretat informàtica?
Hem de seguir els passos següents:
- Formar equip d'anàlisi i de gestió
- Informar perjudicats, agència de protecció de dades i policia
- Recuperar sistemes afectats
- Poliça de ciberseguretat
Continuïtat de negoci
- Com reaccionar: pla de contingència i represa de negoci
- Accions a dur a terme
- Establir període de recuperació
- Mecanismes per avaluar desperfectes
Cada empresa ha de tenir un pla de contingència per fer front a aquest tipus de situacions. Tenir una planificació i personal qualificat per dur-la a terme pot marcar la diferència en lactivitat duna empresa.
Bones pràctiques
Per acabar, és convenient introduir pràctiques comunes i globals a tota l'empresa amb l'objectiu de reduir les possibilitats de patir un atac de ciberseguretat a l'empresa
- Control d'accés/seguretat en connexions/recuperació
- Pegats de seguretat, còpies i antivirus
- Ús de VPN
- Cable abans que wifi
- https
- Implementar polítiques d'empreses en la modalitat del teletreball
Fonts
- www.incibe.es
- learndigital.withgoogle.com/activate/course/cybersecurity-remote-work