Entrades

Abans de la pandèmia només 2 de cada 10 treballadors tenien l’opció de teletreballar i només el 4% d’empreses disposaven de sistemes i infraestructura preparada per realitzar teletreball.

Des del març a causa de la COVID va començar a implementar-se el teletreball de forma ràpida i amb molt poca organització, i moltes empreses no van pensar prou en la ciberseguretat. A causa d’això ha crescut la ciberdelicuencia exponencialment.

Per això hem de garantir que les nostres dades estiguin segures estiguem a l’oficina o teletreballant. Ens hem de basar en filosofia “zero-trust” o tolerància zero, que significa que tot el que no tinguem al nostre control ho hem de tractar com una amenaça. I hem de pensar que la seguretat és com una ceba, que te moltes capes i que seran els obstacles dels nostres atacants, en cas que una falli n’hi haurà d’altres que evitaran que accedeixin a la nostra informació.

A continuació, t’oferim 10 tips molt senzills per millorar la seguretat de les vostres dades en temps de teletreball.

  1. Seguretat perimetral Firewall. Que detecti i bloquegi comportament sospitós, i tenir-los sempre actualitzats i ben configurats.
  2. Antivirus. És important tenir-ne un i d’actualitzat. És interessant que el nostre equip de TI o el nostre proveïdor, monitoritzi l’estat amb eines de gestió centralitzada.
  3. Xifrat d’extrem a extrem Si ens connectem remotament a l’empresa, que sigui mitjançant una VPN amb un bon xifrat.
  4. No utilitzar eines gratuïtes com Any-Desk, TeamViewer, que ens obliga a mantenir 24/7 els nostres equips encesos, perquè els ciber-delinquents solen aprofitar les nits per a executar els atacs i no aixecar sospites
  5. Si tenim reunions o videotrucades ens hem d’assegurar que sigui segura i fer servir una eina de comunicació empresarial avançada com Microsoft Teams.
  6. És un bon moment per pensar amb les contrasenyes que utilitzes. Fer-les més complexes, que s’hagin de modificar amb més freqüència.
  7. Utilitza l’autentificació Multifactor (MFA) és un sistema de seguretat que requereix més d’una manera d’autentificació per assegurar que persones alienes tinguin accés.
  8. Posar permisos d’accés a les carpetes compartides dels nostres sistemes. L’usuari ha d’accedir només a les dades que realment necessita accedir per les seves tasques a l’empresa.
  9. Tenir els PCs actualitzats i a l’última versió disponible. Si veiem l’avís de Windows Update que hi ha una actualització per instal·lar, instal·leu-la!
  10. Si veus algun comportament estrany als teus dispositius notifica-ho immediatament al teu departament IT perquè puguin investigar que esta passant i així evitar danys.

 

Esperem que us siguin d’ajuda aquests consells i els ajudin a millorar. Si desitja informació posi’s en contacte amb nosaltres:

Vols més informació de com millorar la seguretat de la teva empresa?

 

Recentment el BOE ha publicat el RD 43/2021 de seguretat de les xarxes i sistemes d’informació indicant així a les empreses essencials l’obligatorietat de tenir un Responsable de la Seguretat de la Informació (RSI), també coneguda com Chief Information Security Office (CISO), com a la persona experta en la protecció dels sistemes d’informació de les empreses, tindrà les competències per elaborar i supervisar les polítiques de seguretat i les mesures tècniques i organitzatives a implantar a l’organització.

Així doncs, les empreses essencials han d’implementar un Sistema de Gestió de la Seguretat de la Informació (SGSI) i és el Responsable de la Seguretat de la Informació l’encarregat d’operar-lo i gestionar-lo.

Actualment existeixen diferents normatives o marcs reconeguts que regulen un SGSI, com és la ISO/IEC 27001 o l’Esquema Nacional de Seguretat (ENS) en el qual certifiquen aquestes polítiques i mesures tècniques i organitzatives.

Perquè hi hagi una implantació d’un SGSI garantint la seguretat de la informació de les nostres dades recomanem:

  • Sponsors interns: és important el suport total de la junta directiva que impulsi totes les polítiques i normes que s’hauran d’aplicar, i sobretot els costos que pot implicar aventurar-se en un projecte com aquest.
  • A qui involucrem en el Comitè de Seguretat TIC? Com serà l’encarregat de prendre les decisions transcendentals en matèria de seguretat a l’organització que afectaran a tot l’organisme, és recomanable que sigui un comitè interdisciplinari amb les diferents àrees responsables d’àrea fent èmfasi amb els departaments legals, financers, operació/producció, RRHH, seguretat física i òbviament, Informàtica.
  • Elaborar una política de seguretat i normes de seguretat que siguin personalitzades a l’organització:
    • Seguretat per Defecte: Els sistemes es configuraran per a proporcionar les funcionalitats mínimes requerides perquè la persona i l’organització assoleixin els seus objectius.
    • Zero Trust o Confiança zero: Tot element del sistema que no hagi sigut configurat i estigui configurat per nosaltres, haurà de ser tractat com una amenaça.
    • Mínims privilegis: els usuaris i sistemes disposaran dels mínims privilegis i accessos per a l’operativa diària, i s’implementaran els processos d’autorització necessaris per a tasques fora dels habituals.
  • GAP Analisys, anàlisis d’insuficiències inicials, hem de ser molt objectius en aquest punt per evitar desviacions i possibles sobre costos. Amb aquest anàlisis tindrem una serie tasques i projectes a implementar i assignar-ho correctament a la persona adequada.
  • Definir una matriu RACI i establir sessions de controls trimestrals per al seguiment dels projectes identificats.
  • Escollir un bon software i metodologia de Gestió de Riscos i formar-se molt bé en aquest, doncs l’estratègia a escollir per a protegir els nostres sistemes, han d’estar basada en els riscos obtinguts.
  • Seguretat integral a tota l’organització: un SGSI es recolza en la comprensió i l’acceptació de les diferents polítiques i normes de seguretat per part de tota l’organització i treballadors. Comunicar-les i fer-les arribar de la forma adequada a tots els usuaris serà la clau de l’èxit d’aquest projecte.
  • Definir un bon calendari d’auditories tècniques i normatives per garantir que les diferents mesures i controls que s’hauran anat implementant segons el Pla, es mantenen i estan en el grau de maduresa requerit.
A Infordisa disposem d’un departament especialitzat en la implementació de Sistemes de Gestió de la Seguretat certificables per la ISO/IEC 21001 i l’Esquema Nacional de Seguretat (ENS).

Vols més informació dels nostres serveis en ciberseguretat?

 

És impossible garantir la seguretat total de la informació, la qual cosa significa que les empreses han d’estar preparades per reaccionar davant un possible desastre que pugui paralitzar ala seva activitat. Avui en dia, rebre un atac informàtic i perdre totes les dades és quelcom comú que de ben segur hem viscut amb més o menys proximitat. La informació amb la que treballen les empreses és un actiu essencial per al seu negoci, i quedar-se sense aquest actiu pot impedir treballar de manera temporal o permanent.

Davant d’una eventual pèrdua de dades per atac o per accident, cal que contemplem els següents aspectes que permetran assegurar la continuïtat de la nostra activitat i de l’empresa:

Pla de continuïtat de negoci

El pla de continuïtat de negoci és un recull de pautes que indiquen com actuar davant d’un possible desastre. Aquest pla es presenta com una política de seguretat que ha de definir un seguit de punts clau:

  • Identificar els actius crítics. Cal que tinguem reconeguts aquells actius que son condicionants per a la continuïtat del negoci. No és igual de crítica la documentació comercial en PDF que la base de dades del nostre sistema ERP.
  • Definir responsabilitats. Ha de quedar molt clar qui s’ha de fer càrrec de la situació en cas de desastre, per tant és important marcar rols i responsabilitats dels actors en aquesta situació.
  • Realitzar una anàlisi de riscs. Per tal de classificar els actius, determinarem quines dependències tenen, quant temps podem estar sense aquest actiu, i quin temps mínim de recuperació seria acceptable.
  • Definir política de comunicació. Davant un desastre, pot ser molt important la comunicació als afectats o a les autoritats pertinents, per tant cal definir el missatge que s’ha de transmetre i com fer-ho.
  • Marcar la periodicitat de revisió. Aquest pla no pot quedar-se obsolet, per aquest motiu ha de tenir una data de caducitat que asseguri que periòdicament es revisa i se’n comprova la validesa.
  • Escollir l’estratègia de continuïtat. Quina serà l’estratègia més adequada per a la nostra empresa? Haurem de valorar si podem plantejar solucions de backup estàndard o caldrà dissenyar sistemes Disaster Recovery (DR)

Backup

El backup és un sistema que te com a objectiu emmagatzemar de tota la informació i el seu històric, de manera continuada, i ser capaç de poder-lo restaurar en qualsevol moment sense afectar a la integritat de les dades. Com a sistema pot suposar un temps alt de recuperació, però és imprescindible per recuperar la normalitat.

Seguint estratègies com el backup 3-2-1, qualsevol empresa pot obtenir les màximes garanties amb els mínims recursos. Aquesta estratègia respon a les següents claus:

3: Disposar de 3 còpies de cada arxiu (l’original i dues còpies)

2: Utilitzar 2 suports de còpies diferent, per plantejar diferents escenaris de desastre

1: Ubicar 1 de les còpies fora del centre principal, per evitar desastres físics com incendis o inundacions.

És un sistema amb un cost baix però amb un temps de restauració més alt.

Disaster Recovery (DR)

Un sistema DR o Disaster Recovery va molt més enllà d’un sistema de backup. El que busca és garantir les dades i també els processos, fent-los disponibles amb una menor finestra temporal.

El sistema Disaster Recovery planifica el sistema necessari per tal que en un cas de desastre, existeixi una alternativa disponible de manera immediata que afecti molt menys la continuïtat del negoci. Permet no dependre de temps de recuperació o restauració, i proposa derivar l’activitat a un sistema alternatiu que, encara que sigui de manera temporal, es presenti com a sistema principal. D’aquesta manera el temps de recuperació del sistema afectat no perjudica la continuïtat de l’activitat.

Es tracta d’un sistema amb un cost més alt però amb un temps de restauració mínim.

Si vol valorar quin és el plantejament de continuïtat de negoci que més s’ajusta a les seves necessitats, el nostre equip de professionals aportarà una visió crítica i conclourà la millor estratègia per a la seva empresa.

Ja hem parlat de la conscienciació de l’usuari i com aquest pot ajudar a prevenir desastres, tot i això cal que a nivell tècnic l’empresa disposi de les mesures de seguretat oportunes per garantir un entorn laboral segur. Aquestes mesures passen per la utilització d’eines de seguretat perimetral que protegeixin activament l’entorn i xarxa de l’empresa.

Definim com a seguretat perimetral totes les eines i tècniques de protecció informàtica que tenen l’objectiu d’esdevenir una línia de defensa del nostre sistema informàtic. Aquestes eines no només ens protegeixen d’aquells atacs intencionats que volen entrar a la nostra infraestructura, sinó que també acompanyen a l’usuari per protegir la seva activitat.

 

Algunes de les principals eines de seguretat perimetral informàtica son:

Tallafocs o firewalls

Els tallafocs son eines de seguretat bàsiques en qualsevol entorn empresarial i que mitjançant una política d’accessos determinen què pot i què no pot accedir a la xarxa. En termes generals aquests dispositius poden aplicar mesures:

  • A nivell de xarxa filtrant IP concretes
  • A nivell de passarel·la controlant aplicacions específiques
  • A nivell personal aplicant-se als mateixos dispositius dels usuaris

Detecció i prevenció d’intrusos

Els sistemes de detecció (IDS) i prevenció (IPS) d’intrusos s’utilitzen per monitoritzar i controlar els accessos als equips de la xarxa de l’empresa. La seva principal missió és identificar un possible atac, registrar-ne els esdeveniments, bloquejar l’atac i notificar-ne als administradors o responsables de seguretat.

Es tracta de sistemes que contínuament monitoritzen el tràfic entrant i el comparen amb bases de dades actualitzades d’atacs ja coneguts, per tal d’identificar-ne activitats sospitoses i notificar-ho per a la seva eliminació. Son elements sovint integrats als mateixos tallafocs per dotar-los de millors funcionalitats.

Honeypots

Els honeypots son sistemes de hardware o software pensats com a trampes per atraure els atacants i poder identificar així el seu comportament. Aquests sistemes simulen equips vulnerables que s’esposen sense cap risc per a l’empresa i recullen informació que servirà per prevenir atacs futurs a sistemes més importants.

Aquests honeypots han evolucionat molt els últims anys i actualment s’implementen en forma de honeynets o xarxes de honeypots que simulen sistemes complets que permeten recopilar així més i millor informació sobre els atacs.

Control d’accessos i identitat

Es tracta de productes destinats a dotar a l’empresa de mecanismes que permetin gestionar els usuaris i les seves dades d’identificació, associar-hi rols, permisos i polítiques de seguretat, i controlar-ne així els accessos als recursos. És bàsic disposar d’un servidor de domini que gestioni amb èxit aquesta informació, però sempre és interessant complementar-los de més tècniques per aportin gestió dels accessos a la xarxa corporativa per part d’usuaris interns i externs, o eines Sign-On que unifiquin els accessos a diferents sistemes i aplicacions amb un mecanisme d’identificació comú.

En un entorn com l’actual, on totes les empreses estan digitalitzades o en procés de fer-ho, la tecnologia és protagonista indiscutible. Els treballadors utilitzen de manera natural i diària infinitat d’eines digitals amb les que mouen informació i dades arreu del planeta en qüestió de segons. Si a més hi sumem el fet que en plena pandèmia per COVID molts d’aquests treballadors realitzen les seves tasques de manera remota fent teletreball, l’ús d’aquestes eines és encara superior. Responem correu, descarreguem informació, accedim a portals web, comprem online i compartim tot tipus d’informació sense cap limitació.

Aquesta gran obertura al món que ens fa més competitius, també ens exposa a riscos fins ara desconeguts. Uns riscos que muten diàriament i s’adapten als interessos d’aquells que volen treure profit de la nostra informació. Un simple correu electrònic maliciós, pot desencadenar un segrest de dades total. Un falta de comprovació pot generar una fuga econòmica descontrolada i irrecuperable. Un descuit al lloc de treball pot provocar el robatori d’informació rellevant i confidencial. Son molts els riscos als que estem sotmesos, i no sempre poden evitar-se amb eines de seguretat informàtica.

Eines com els tallafocs poden evitar accessos indesitjats a la nostra informació, tot i això, aquestes son eines pensades com a portes digitals que impedeixin l’accés a qui no se li permet. Però què passa quan un usuari de l’empresa obre la porta involuntàriament? Què passa quan un usuari, per falta de reconeixement d’un risc, es converteix en el desencadenant del problema?

Segons les estadístiques, un 60% dels atacs a les empreses son a conseqüència de comportaments no intencionats dels seus usuaris. Això significa que un usuari no format és un risc enorme per a la integritat i seguretat de la informació de l’empresa.

Un usuari no format pot suposar que aquest caigui a una de les infinites trampes que ens envolten contínuament. Un simple correu electrònic fent-se passar per un directiu, o una pàgina web imitant-ne una altra, pots desencadenar una pèrdua econòmica molt important.

La Prevenció de Riscos Informàtics (PRI) o Conscienciació, busca educar i formar a l’usuari sobre les tècniques més utilitzades pels atacants, i les bones pràctiques que garanteixen identificar les trampes per evitar-les satisfactòriament.

En aquest article, volem aportar uns consells bàsics per garantir un ús segur de les tecnologies en l’empresa.

Comprovació de la validesa del correu electrònic

Existeixen infinitat de correus electrònics maliciosos. La major part, son filtrats per sistemes antispam, d’altres acaben accedint al sistema però son evidents enganys, però alguns d’aquests estan molt ben pensats i utilitzen estratègies no tan populars que poden confondre l’usuari.

És vital que qualsevol missatge que no esperem, que demana accions importants o que implica transaccions econòmiques, sigui validat i se’n comprovi l’origen. Comprovar el remitent del correu és bàsic per donar-li validesa. Els atacants poden enviar utilitzant noms d’altres persones i sovint en el moment de respondre estarem enviant a un correu electrònic. Comprovar-ne les capçaleres també és una bona acció per assegurar-ne la validesa. Eines com Messageheader de Google ens ajuden a validar-ne el contingut.

Altres detalls del cos del missatge poden revelar males intencions. Arxius adjunts amb extension .exe, .vbs, .docm o .xlsm poden simular arxius Office legítims però en realitat amaguen malware perillós. Analitzar-lo amb l’antivirus és la millor opció.

Revisar la redacció del missatge, analitzant si és lògica o està ben escrita, i comprovar que la firma del correu existeix i és la normal en aquest remitent, ajudarà també a donar per bo el missatge.

Protegir el lloc de treball

Pot semblar irrellevant però tenir un lloc de treball en condicions és un dels principals requisits per garantir la informació de l’empresa. Alguns de les principals pràctiques a tenir en compte son:

  • Mantenir ordenat el lloc de treball: ja no només per higiene sinó també per seguretat. No hem de deixar mai papers innecessaris, dispositius USB descontrolats ni contrasenyes a la vista
  • Sessió bloquejada: pot semblar irrellevant però aixecar-nos momentàniament del nostre lloc de treball sense bloquejar la sessió pot exposar innecessàriament les dades a les que tenim accés. No costa res prémer Win+L i bloquejar la sessió.
  • Software actualitzat: totes les aplicacions del nostre equip tenen actualitzacions de seguretat que reaccionen i prevenen possibles nous atacs. Mantenir el software al dia és la millor manera que les nostres aplicacions ens ajudin a mantenir segura la informació.
  • Antivirus: els softwares antivirus no només reaccionen davant de software maliciós que pot entrar al nostre equip, sinó que també ens ajudarà a detectar webs fraudulentes i evitarà contagis per ransomware.

Contrasenyes complexes

Tots tenim un gran volum de contrasenyes que a més no para d’augmentar. Una bona política de generació i manteniment d’aquestes és clau per mantenir segurs els sistemes de l’empresa. Les contrasenyes no s’han de compartir, han de ser úniques i han de ser robustes (mínim 8 caràcters, amb majúscules, minúscules, números i símbols). Aquestes 3 claus fan que possiblement necessitem ajuda per gestionar-les i per tant els gestors de contrasenyes seran de gran ajuda. Eines com els mateixos gestors dels navegadors web o plataformes com 1Password entre altres son ideals per tenir sota control tota aquesta informació.

Còpies de seguretat

Més val tard que mai. Això és aplicable també a la seguretat informàtica. Si tot i les mesures de control i prevenció de l’usuari els atacants aconsegueixen penetrar a la nostra organització, les còpies de seguretat seran l’última mesura per recuperar la normalitat. Si totes les barreres fallen, hem de tenir la capacitat de recuperar la normalitat i sobretot, recuperar la informació. Per aquest motiu, una bona política de còpies de seguretat ens pot salvar d’un enorme problema que podria acabar amb la continuïtat de l’empresa.

L’estratègia de còpia més interessant i equilibrada és la coneguda com a estratègia 3-2-1. Les seves claus son:

3: Mantenir 3 còpies de cada arxiu, l’arxiu original i dues còpies

2: Utilitzar 2 suports de còpia diferents per protegir la informació de diferents riscos

1: Ubicar una de les còpies fora de l’empresa, ja sigui al cloud o en una altra ubicació

Aquest plantejament és capaç de donar resposta i solució a infinitat de possibilitats i per tant és l’estratègia més completa i simple possible.

Si vols seguir aprofundint més sobre com aportar formació als usuaris i garantir el correcte ús de les eines de l’empresa, disposem de propostes de conscienciació que centren els esforços en transmetre a l’usuari tota aquella informació que l’ajudarà a anticipar-se i prevenir qualsevol atac.

 

 

 

La formació és sempre la millor de les estratègies.