Negocis
[ movi-literal-es_ES MinutosDeTuTiempo]

Decisions essencials per ser una pime cibersegura

Les pimes pateixen gairebé la meitat dels ciberatacs. Com em puc protegir?

Com es poden mantenir fora de perill les dades i evitar intromissions a les xarxes de les empreses.

T’imagines que, de sobte, perds tota la informació del teu negoci o la capacitat d’accedir-hi? O que controlen els correus corporatius, suplanten la teva identitat, fan càrrecs fraudulents als comptes de l’empresa o, fins i tot, converteixen els monitors de l’ordinador en dispositius de vigilància? Ser una de les empreses que pateixen ciberatacs és més habitual que no et penses. I encara són més vulnerables les petites i mitjanes empreses, objectiu del 43 % de les intromissions, segons calcula la companyia russa de ciberseguretat Kaspersky Lab.

Segons l’estudi Global Information Security Survey 2018-2019, elaborat per EY mitjançant la consulta a més de 1.400 directius, les seves màximes pors són la pèrdua d’informació de clients, de dades financeres i de plans estratègics. Per evitar-ho, diversos informes calculen que la despesa en ciberseguretat empresarial arribarà l’any 2019 als 124.000 milions de dòlars arreu del món. Les grans corporacions són conscients del que es juguen i inverteixen —i molt— en prevenció, però què pot fer una empresa de poca grandària per protegir-se? La primera cosa que cal fer és conscienciar-se i estendre la seva importància a tota l’organització, i després seguir amb interès els consells dels experts.

Primer de tot, conèixer en quina situació estem

Conèixer els teus riscos. Totes les empreses, fins i tot les de menor grandària, estan exposades a atacs des del moment en què gestionen algun tipus de dades, depenen de sistemes informàtics i xarxes i contracten o ofereixen serveis a tercers i en el núvol. Així doncs, el millor és fer una auditoria per conèixer el grau de vulnerabilitat de la informació amb la qual treballes i el risc de desprotecció davant d’un atac.

L’Institut Nacional de Ciberseguretat (INCIBE) proposa l’avaluació inicial del risc de seguretat del teu negoci en funció de com utilitzes la tecnologia. Pots fer aquest test en pocs minuts per saber per on pots començar a millorar. A més, és recomanable fer un estudi de riscos que identifiqui els sistemes més importants i els més vulnerables. Hi ha desenes de companyies que presten aquest servei.

La qüestió és realment important, ja que 6 de cada 10 pimes víctimes d’un ciberatac no el superen i han de tancar en els sis mesos següents, com constata l’informe de Kaspersky Lab.

I com sé que m’estan atacant?

Hi ha vegades que un ni s’adona que està sent piratejat. Fins i tot una estadística elaborada per Kaspersky Lab xifra en 210 dies el temps mitjà que triga una companyia a adonar-se d’una intrusió en el seu sistema.

Buscar els símptomes. Perquè això no ens passi, cal prestar atenció sobretot a l’activitat inusual dels ordinadors. Si detectem un trànsit de xarxa desorbitat o un consum de recursos extremadament alt i que es manté en el temps, fins i tot quan els equips estan apagats, cal sospitar. Tampoc no és un bon senyal que augmenti l’activitat en el disc dur dels equips en xarxa, ja que es pot tractar de cucs que, un cop instal·lats, fan operacions d’escaneig en els discos dels ordinadors.

Explorar en els informes d’amenaces. Cal desconfiar de l’increment de sol·licituds de connexió aturades pel tallafocs i que provenen d’una mateixa adreça. Aquí no cal dubtar, sinó que s’ha bloquejar immediatament aquesta IP. Pot ser que busqui bloquejar l’equip.

Controlar l’spam. Pel que fa al correu, un senyal d’alarma clar és que de sobte ens convertim en emissors de spam i receptors de grans quantitats de correu brossa. Tampoc no cal deixar passar els errors o fallades dels sistemes d’autenticació de contrasenyes. Aquest pot ser el senyal que s’ha instal·lat algun tipus de programa espia que intenta canviar les claus d’entrada als programes o fins i tot al sistema.

Les persones: el filtre essencial

Tots som una amenaça interna per a les nostres empreses. Sabies que el 95 % de les incidències en ciberseguretat es deuen a errors humans? Així es posa de manifest en un informe elaborat per investigadors en seguretat d’IBM.

Implicar els empleats. És cabdal que els treballadors i els col·laboradors de l’empresa estiguin conscienciats dels riscos i que es considerin la primera barrera de seguretat. Qualsevol sospita s’ha de comunicar al departament de seguretat informàtica o a la persona que en sigui responsable. Cal animar els treballadors a ser curosos abans de fer determinades tasques.  

 

Compte amb el que obres. Tenint en compte l’estudi fet per l’empresa de ciberseguretat Symantec sobre les amenaces a la seguretat d’Internet, un 54,6 % dels correus que rebem són spam i cada usuari pateix una mitjana de 16 correus maliciosos al mes. Els correus que apareguin amb un remitent desconegut o estrany, que estiguin escrits amb faltes d’ortografia o que arribin sense signatura han d’aixecar les alertes.

Com menys control d’accessos, millor.

“De la mateixa manera que controlem l’accés al món físic per entrar en edificis o en les seves dependències amb sistemes com ara torns d’entrada, targetes xifrades, guàrdies de seguretat i videovigilància, en el món digital controlar l’accés als recursos d’informació de l’empresa és la primera forma de protegir-los. Identificar qui pot accedir a on i per fer què és bàsic i essencial”, ressalten a l’INCIBE.

No és que s’hagi de desconfiar per regla general de la bona fe dels treballadors, sinó que com menys persones tinguin accés a informació sensible o coneguin les claus per a determinats serveis, menor serà la possibilitat de filtracions (voluntàries o involuntàries).

Emmagatzemar sempre i fer-ho en dispositius diferents

“Les còpies de seguretat són la forma de recuperar-se de gairebé qualsevol incident i no han de faltar en qualsevol pime que vulgui sobreviure a un ciberatac”. Així de contundents es mostren en el Decàleg per a la pime cibersegura de l’INCIBE.

Com fer bé les còpies de seguretat. Des de la patronal de les pimes (Cepyme) i Unespa (que agrupa les asseguradores), recomanen organitzar una còpia de seguretat freqüent de les dades —preferentment diària— en suports independents dels sistemes d’informació, verificar periòdicament que aquestes restauracions funcionen i evitar localitzar les còpies de seguretat al mateix lloc on s’emmagatzemen els sistemes i les dades que es volen protegir. És preferible utilitzar diferents suports per arxivar els backups. El núvol és més segur que un ordinador, però no és sobrer desar també les còpies en discos durs externs que no estiguin connectats a la xarxa de la pime.

Les contrasenyes: contra gustos no hi ha res escrit

La creació de contrasenyes de qualitat també és essencial. Generalment, s’aconsella l’ús de signes de puntuació, símbols, lletres i xifres alhora. De fet, cada vegada més serveis i eines exigeixen que les claus tinguin aquestes característiques. No és sobrer fer servir algun sistema de doble verificació que requereixi, per exemple, rebre una clau per correu electrònic o al telèfon. Així mateix, no és aconsellable utilitzar la mateixa clau per accedir a diferents serveis.

Cada vegada és més habitual que es requereixi renovar les claus periòdicament, cada tres o sis mesos. Si no et vols fer un embolic, pots utilitzar un gestor de contrasenyes al qual pots accedir mitjançant una clau única.

Més val prevenir: eines de protecció

Antivirus i tallafocs. Els atacants solen utilitzar programari dissenyat especialment per danyar els sistemes o infiltrar-s’hi, sense el consentiment de l’usuari, anomenat programari maliciós. “La seguretat contra el programari maliciós a les empreses s’ha d’aplicar a tots els equips i dispositius corporatius, inclosos els dispositius mòbils i els mitjans d’emmagatzematge extern com ara USB, discos durs portàtils, etc.”, recorden des de l’Institut de Seguretat Informàtica. La Guia de prevenció de riscos cibernètics, elaborada per Cepyme i Unespa, destaca com a mitjans de protecció els antivirus i els tallafocs, que són la base de la seguretat indispensable de tots els sistemes d’informació.

Detecció d’accessos. La guia també recomana eines de filtratge, com ara el sistema de detecció d’intrusions (IDS) i el sistema de protecció d’intrusions (IPS), que filtren les entrades i sortides per detectar i descartar alguns accessos maliciosos, i els programes de detecció del comportament, que permeten localitzar amenaces no filtrades prèviament amb l’anàlisi de descàrregues i altres accions sospitoses.

Estar al dia

No subestimis la importància de les actualitzacions de sistemes, dispositius i aplicacions. Qualsevol d’aquests elements és susceptible de tenir fallades de seguretat en el seu disseny, és a dir, vulnerabilitats, per la qual cosa el fabricant va llançant actualitzacions i pedaços que corregeixen aquestes fallades. A l’INCIBE recomanen mantenir constantment tot el programari actualitzat i amb els pedaços instal·lats, tant dels equips com dels dispositius mòbils, per millorar-ne la funcionalitat i la seguretat, amb la finalitat d’evitar riscos com ara el robatori d’informació, la pèrdua de privadesa, el perjudici econòmic, la suplantació d’identitat, etc. Especialment rellevant és l’actualització de les esmentades eines de protecció i del sistema operatiu. És tan fàcil com tenir activada l’actualització automàtica de programari en tots els dispositius.

I en cas d’atac, denuncia

Tant si es tracta d’un atac provat com si és només una sospita, “l’empresa haurà de recollir proves informàtiques mitjançant comprovacions tècniques”, recorden els experts a la guia de Cepyme. Si l’agressió de la qual ha estat víctima la teva empresa constitueix una infracció a les tecnologies de la informació i les comunicacions, no ho dubtis: ho has de denunciar a la policia o davant una autoritat judicial.

 

Fer-ho és obligatori si es tracta d’organitzacions que gestionen dades de caràcter personal de ciutadans europeus, tal com estableix el Reglament general de protecció de dades 2016/279 (RGPD), de la Unió Europea. En aquest cas, han d’informar dels atacs informàtics en un termini de 72 hores.

Decàleg bàsic d’una pime protegida:

1. Vigila l’activitat del teu ordinador. Pots estar infectat sense saber-ho.

2. Instal·la antivirus, tallafocs i sistemes de detecció d’intrusions.

3. Revisa els informes periòdics de les eines anti-hackers per saber si estàs patint un excés d’exposició a atacs.

4. Fes una avaluació dels riscos que poden afectar més la teva empresa.

5. Consciència els empleats perquè facin un ús segur de les seves eines, especialment el correu.

6. Limita els accessos a la informació més sensible.

7. Estableix un protocol de renovació de contrasenyes, que obligui també a crear claus difícils de desxifrar.

8. Fes còpies de seguretat permanents i en diversos suports, per exemple en el núvol i en discos durs externs a la xarxa de la pime.

9. Actualitza tot el programari de tots els teus dispositius perquè estiguin protegits davant de noves amenaces.

10. Si has patit un atac, denuncia-ho.




 

Fotografías de Kaitlyn Baker y Markus Spiske en Unsplash
-Temes relacionats-