La ciberseguretat en el telebreball: 9 mesures indispensables

Amb l’augment de la feina en remot s’han incrementat també els casos de ciberdelinqüència dirigits a empreses.

Amb la situació viscuda els darrers mesos a causa de la propagació de la pandèmia de la covid-19 i el conseqüent confinament, moltes empreses han optat pel teletreball. En la immensa majoria d’aquests casos, els dispositius mòbils han estat i són una eina fonamental, i la connexió a Internet, bàsica per poder desenvolupar les rutines de feina.

Aquesta transició sobtada entre la feina presencial i el teletreball ha estat i és encara una finestra oberta per als ciberdelinqüents. Aquests han trobat en l’ús d’equips personals no prou protegits, l’increment d’hores que els treballadors passen davant dels dispositius, i, en moltes persones també, la necessitat de conèixer novetats informatives i maneres de prevenir-se de la pandèmia, el camp perfecte per perpetrar ciberatacs. A més a més, ara des de la llar i, sovint, des d’equips que no són els que s’usaven al despatx o a l’oficina, es comparteixen i s’emmagatzemen dades importants o sensibles de l’empresa, tant internes de l’organització com dels seus clients i proveïdors.

Els ciberatacs que estan duent a terme els ciberdelinqüents en aquests temps de pandèmia, a individus però també, i molt especialment, a empreses i negocis, són molt variats, però les fonts policials alerten sobretot de campanyes de phishing per distribuir programari maliciós i programari de segrest (ransomware). També s’han detectat intents d’estafa més orientats com el BEC (Bussiness Email Compromise, que podríem traduir com ‘compromís de correu electrònic empresarial’), atacs que tenen com a objectiu alts directius i que pretenen controlar comptes empresarials per interceptar i redireccionar les transaccions financeres.    

Tots aquests motius fan que calgui establir mesures sobre ciberseguretat en el teletreball des del minut zero. Si a la seu habitual de feina els dispositius ja estaven cibersegurs, no menys ho han d’estar els equips amb els quals es fa la mateixa tasca des de casa, i a més s’haurien de tenir en compte aspectes com la manera de connectar-se a la xarxa des de la llar. Les mesures de ciberseguretat imprescindibles en situacions de telebreball són les següents:

  1. Seguir i donar a conèixer als empleats tots els consells bàsics per tenir uns dispositius cibersegurs (instal·lació i actualització d’antivirus, ús de contrasenyes complicades i modificant-les periòdicament, descàrrega d’aplicacions només des de botigues oficials…).

  2. Exposar als treballadors que evitin fer còpies innecessàries de dades sensibles. A ser possible desar-les només de manera temporal i excepcional als dispositius del domicili.

  3. Establir mecanismes i normes que regulin l’ús de dispositius no corporatius (BYOD) i mecanismes que n’assegurin el compliment, allí on estigui autoritzat.

  4. Mantenir actualitzats els sistemes VPN (xarxa virtual privada), l’equipament d’infraestructura de xarxa i els equips utilitzats per al treball en remot.

  5. Assegurar la traçabilitat dels mecanismes establerts per oferir connexió des de l’exterior i la vinculació d’aquests mecanismes amb els sistemes de protecció de l’organització (per exemple, vinculació amb solucions IPS de l’organització).

  6. Implementar l’ús de mecanismes d’autenticació multi-factor (MFA) als serveis exposats a Internet i dissenyats per l’ús intern (VPN i servei de correu inclosos).

  7. Implementar mecanismes per a assegurar que es compleixen les polítiques de renovació de credencials i, en cas d’utilitzar paraules de pas, que aquestes siguin robustes. Especialment en els serveis exposats a Internet i dissenyats per a l’ús intern (VPN i servei de correu inclosos).

  8. Avaluar les limitacions de la infraestructura d’accés remot i establir mecanismes de gestió de la demanda que es considerin adients.

  9. Notificar al personal l’increment de campanyes malicioses que persegueixen obtenir accés a les xarxes corporatives mitjançant el compromís de credencials o del sistema utilitzat en remot. Informar-los o recordar-los rutines com no obrir correus de remitent desconegut, no donar dades sensibles per correu electrònic…

Per ajudar el teixit empresarial a aprofitar al màxim les eines tecnològiques i de teletreball, el Departament de Polítiques Digitals i Administració Pública va posar en funcionament el mes de març el web  L’oficina des de casa. L’espai aglutina les iniciatives, productes i serveis oferts per les empreses i les distribueix  per categories (treball col·laboratiu, e-Learning, seguretat, integradors, connectivitat, etc.) i cost (gratuït o amb descompte superior al 25%). D’aquesta manera, la persona o empresa usuària pot cercar i accedir fàcilment al producte o servei que més s’ajusta a la seva demanda, veure’n la descripció i conèixer les indicacions que ha de seguir per utilitzar-lo.