El 2018 ens deixa dades preocupants: el 87% de les empreses han estat víctimes de ciberatacs, greuges o danys produïts pel mal ús de les noves tecnologies. L’augment dels atacs s’atribueix a l’increment dels punts d’accés de més risc i a la falta d’atenció a la seguretat i la protecció de dades. Phishing, malware, ramsonware, són nous conceptes amb els quals, malauradament, estem cada vegada més familiaritzats. Per això, PIMEC ha organitzat la jornada ‘Ciberseguretat: les PIMES, objectiu dels ciberdelinqüents’, on s’explicarà en què consisteixen aquests termes i quines implicacions tenen.
Davant els nous fluxos de treball, que estan conduint cada vegada més les nostres dades fora de les xarxes corporatives cap a dispositius i aplicacions que la pròpia organització no controla, aconsellem:
Fer còpia de seguretat
Això evitarà qualsevol pèrdua de dades per robatori, incendi, altres danys físics o ransomware.
- Identifiqui el que necessita guardar. Les còpies de seguretat han de formar part del dia a dia de l’empresa.
- Comprovi que es poden restaurar les còpies de seguretat.
- Asseguri’s que el dispositiu que conté la seva còpia de seguretat no estigui connectat permanentment al dispositiu que conté la còpia original, ni físicament ni a través d’una xarxa local.
Formar i conscienciar contra l’enginyeria social
Mitjançant la qual s’evitaran la majoria d’atacs en què intervingui el factor humà.
- Informi’s sobre els atacs d’enginyeria social més habituals, independentment del canal utilitzat (phishing, vishing, SMiShing etc.), on els estafadors demanen informació confidencial.
- Comprovi si hi ha signes d’engany evidents en el missatge, com ortografia, pronunciació, gramàtica deficients, o versions de logotips de baixa qualitat.
- Informi els membres de l’empresa que la informació personal que comparteixen a Internet pot ser utilitzada per realitzar atacs dirigits d’enginyeria social.
- Tingui desactivada per defecte l’opció “compres per Internet” de totes les targetes de crèdit de l’empresa, i activi-la només en el moment de realitzar un pagament.
- No castigui el personal si ha sigut víctima d’un atac, ja que altres evitaran informar-ne en un futur.
Mantenir segurs els telèfons intel·ligents (i tauletes)
Necessiten encara més protecció que els equips d’escriptori, ja que s’usen fora de la seguretat de l’oficina.
- Utilitzi una solució antivirus per protegir també els seus dispositius mòbils.
- Activi la protecció d’accés per a dispositius mòbils, amb contrasenya, PIN o reconeixement d’empremtes digitals.
- Configuri la gestió remota dels dispositius. En cas de pèrdua o robatori, podran ser rastrejats, esborrats o bloquejats remotament.
- Activi l’opció d’actualització automàtica per mantenir actualitzats els seus dispositius i aplicacions instal·lades.
- Substitueixi els dispositius que ja no disposen de suport per part dels venedors i busqui altres alternatives.
- No es connecti a punts d’accés públic de wifi, utilitzi connexions 3G,4G o VPN.
Prevenir el dany per programari maliciós (malware)
Mitjançant l’adopció d’algunes tècniques simples i de baix cost.
- Utilitzi programari antivirus en tots els dispositius.
- Instal·li només programes aprovats i de fonts conegudes, i eviti que els usuaris descarreguin aplicacions de tercers de fonts desconegudes.
- Actualitzi tot el programari i el firmware mitjançant l’actualització automàtica proporcionada pels fabricants i proveïdors.
- Controli l’accés a mitjans extraïbles, com targetes SD i memòries USB. Pensi a desactivar ports o a limitar-ne l’accés.
- Tingui especial cura amb els fitxers adjunts al correu electrònic, sobretot si són executables (.exe, .com, o .bat).
- Activi el tallafoc que inclou el sistema operatiu.
Utilitzar contrasenyes
Ja que és la forma més bàsica d’evitar que persones no autoritzades accedeixin als seus dispositius i dades.
- Asseguri’s que tots els dispositius facin servir productes que requereixin una contrasenya d’inici.
- Utilitzi l’autenticació de doble factor (2FA) sempre que sigui possible.
- Eviti l’ús de contrasenyes predictibles (com cognoms i noms de mascotes) i les contrasenyes més comunes que els delinqüents poden endevinar (com password, 12345, etc.).
- Canviï les contrasenyes predeterminades dels fabricants abans que es distribueixin al personal.
- Utilitzi un gestor de contrasenyes i asseguri’s que la contrasenya mestra sigui segura.
- Una contrasenya segura ha de tenir números, lletres, símbols (!, $, %, &, #, etc.) i majúscules i minúscules. A més, ha de tenir una longitud mínima de vuit caràcters.
Informació facilitada per Grail Security Systems.
Fonts: National Cyber Security Centre (NCSC) – Cyber Security: Small Business Guide. National Institute of Standards and Technology (NIST) – Small Business Cybersecurity Corner. European Union Agency for Cybersecurity (ENISA) – Security for Small and medium size enterprises.