Ciberseguretat a les empreses
Per entendre les noves dinàmiques de la ciberseguretat, hem d’incloure en les persones com a part d’actius de l’organització que han de ser protegits, no només a nivell estructural, sinó també tecnològic, regulador i processal.
Per altra banda, l’augment del nombre d’usuaris en línia i la demanda de Serveis tecnològics i identitats digitals en l’escenari post pandèmia, fan del factor humà la diferència entre un atac exitós o fallit.
Ciberatacs més freqüents: atac directe al factor humà de l’empresa
Spear phishing: ciberatacs a empleats
Són aquells atacs informàtics que arriben mitjançant correu electrònic a un treballador. Són correus elaborats que repliquen la imatge d’una companyia de prestigi.
Whaling: robatori de dades a alts càrrecs
El whaling és un tipus de phishing que té com a objectiu un alt directiu d’una empresa, intentant robar la valuosa informació que solen tenir aquests perfils.
Ransomware i pèrdua de control dels teus dispositius
El ransomware és un programari maliciós que inutilitza el dispositiu i encripta la informació. L’usuari perd el control sobre les dades i el hacker exigeix el pagament d’un rescat per desbloquejar l’accés. Sovint perque aquest atac sigui efectiu cal la interacció d’algun usuari intern amb l’atacant.
Spyware: ciberatacs que violen la teva intimitat
Aquest codi maliciós és un programa que s’instal·la a l’ordinador i recopila la informació de l’usuari, com ara números de targetes de crèdit, dades de formularis o contrasenyes.
Troià, potent transmissor de virus
El troià és un codi maliciós que pot ser el vehicle de transmissió d’un virus amb què espiar, robar dades o prendre el control del dispositiu.
Enginyeria social, tècnica de manipulació
Es refereix a un conjunt de diferents tècniques de manipulació que usen els ciberdelinqüents per obtenir informació delicada dels usuaris.
El factor humà, un actiu important i a la vegada el graó més dèbil davant la ciberseguretat
Actualment, el modus operandi dels atacants ha passat “d’atacar els sistemes” a “atacar les persones que manegen els sistemes”. Això és degut en gran part, al fet que hi ha més informació sensible de les persones disponible públicament (e-mail, números telefònics, contactes, llocs de treball, entre d’altres) i a la interconnexió global, gràcies a la nova realitat del teletreball, a conseqüència de la pandèmia.
Això fa palesa la necessitat d’optar polítiques de formació en matèria de ciberseguretat, que permetin conèixer als treballadors les millors pràctiques per preservar la seguretat de l’organització.
El teletreball una modalitat que va venir per quedar-s’hi
A causa de la COVID-19 i de la seva propagació, empreses en l’àmbit mundial han hagut de plantejar la possibilitat del teletreball. Això comporta alguns aspectes que compliquen a l’àrea de ciberseguretat complir amb el seu objectiu principal: protegir els actius de l’organització.
Alguns d’aquests aspectes que planteja l’escenari del teletreball són:
- Fiabilitat del servei VPN: Abans de la pandèmia, els serveis VPN estaven concebuts per a un nombre d’usuaris concurrents limitats. Tot i això, amb el teletreball aquest servei ha hagut de suportar la connexió massiva d’usuaris concurrents per tal de garantir una connexió segura a la seva xarxa interna.
- Controlar una xarxa de dades “estesa”: El treballador es connectarà des de fora de l’oficina, sigui des del domicili propi o fins i tot des d’altres llocs, com una cafeteria, que probablement no compti amb els estàndards exigits per les polítiques de ciberseguretat de l’organització.
- Ús de dispositius personals: Absència de polítiques per a l’ús de dispositius electrònics en el moment d’accedir a recursos de la xarxa interna de l’organització.
Mesures de seguretat d’informàtica davant el teletreball
Les mesures que les organitzacions poden adoptar per mitigar les bretxes produïdes pel teletreball son:
- Establir directrius clares per a l’ús de dispositius personals. Una d’aquestes polítiques hauria de ser mantenir els equips actualitzats pel que fa a les bretxes de seguretat.
- Implementació de solucions tecnològiques que permetin protegir serveis importants i d’ús diari, com, per exemple: servei web, de correu i protecció antivirus.
- Polítiques clares per al treball remot, tenir una política definida de Treball Remot o Teletreball és imprescindible si la teva empresa permet que el personal treballi des d’ubicacions fora de l’oficina.
- Capacitació i millors pràctiques. Tenir una política i recolzar-la amb les eines adequades és important, però educar i capacitar els empleats sobre les millors pràctiques ajudarà a explicar i descriure per què necessiten seguir la política i fer servir les eines.