1. Teletreball

En l’estat d’alarma en què ens trobem han de limitar-se els desplaçaments tant com sigui possible. Les grans empreses ja disposen de processos i tecnologia que resolen aquesta problemàtica, però per a les empreses que requereixen la presència física dels treballadors no és possible canviar la seva política de treball d’un dia per l'altre... treballar amb un equip de mínims pot ser la millor manera de reduir riscos mentre es manté l’estat d’alarma. Tanmateix, a les companyies en les quals sigui possible el teletreball, unes senzilles mesures de seguretat poden ajudar a reduir el seu risc digital:

• Assegurar-se que qualsevol dispositiu que s’estigui utilitzant fora de l’oficina pugui ser rastrejat i desactivat de manera remota en cas de pèrdua o robatori.
• Tot dispositiu, incloses les targetes de memòria i les memòries USB, que es fa servir per “endur-se feina a casa” cal que estigui encriptat per evitar que dades importants de la companyia caiguin en mans equivocades. L’ideal per reforçar la seguretat és que tot el disc dur dels portàtils que surtin de l’oficina estigui també encriptat.
• Cal utilitzar sistemes d’accés remot com ara VPN i escriptoris virtuals (VDI) per evitar que tercers puguin espiar les seves connexions.

 

 

2. Eviteu atacs de pesca (phishing)

Si tot el personal està teletreballant, s’incrementarà l’ús del correu electrònic. I els dolents en són conscients. Es convertirà en un objectiu clar per a atacs de pesca.

Però, una vegada més, prenent una sèrie de mesures de seguretat es pot disminuir aquest risc:

• Informeu tot el personal que tracti amb cautela tots els correus sospitosos, sobretot els que aparenten provenir d’una entitat bancària i aquells en els quals se sol·licitin claus i dades personals. Recomaneu verificar tots els enllaços abans de fer-hi clic. També és important comparar la informació rebuda amb altres d’anteriors de la mateixa font.
• Assegureu-vos que les transaccions econòmiques estan correctament autoritzades, idealment per més d’una persona. S’hi podrien afegir passos addicionals com ara trucar als proveïdors per assegurar-ne la veracitat o suspendre els pagaments automàtics.
• Recomaneu als empleats que informin de qualsevol cosa que els resulti sospitosa i que comparteixin atacs contrastats de pesca amb la resta de companys per augmentar la conscienciació sobre aquest tema.

 

3. Gestió dels accessos a les aplicacions

Si cal, proporcionar accés remot a les aplicacions, l’ús d’una VPN i escriptoris virtuals VDI pot millorar la seguretat, sobretot si es disposa d’aplicacions que només són accessibles des de l’oficina. Elaboreu un pla i una política clara per gestionar “qui necessita” i “qui aconsegueix” accés; això ajudarà a entendre les mesures que cal posar en marxa. Moltes aplicacions empresarials tenen habilitades eines per fer l’accés més segur i s’haurien d’utilitzar en situacions com aquesta.

• Habiliteu l’autenticació en diversos passos. Si confieu en els SMS per a l’autenticació, el millor és utilitzar un número de telèfon de la companyia. Si és possible, utilitzeu la restricció d’accessos per IP que permeti establir llistes d’IP segures o rangs d’IP, des dels quals els empleats podran accedir als dominis de l’empresa.
• Implementeu l’ús d’un administrador de contrasenyes per evitar que aquestes es desin o es comparteixin per correu electrònic o a través d’altres aplicacions.
• Si es decideix continuar amb els projectes de desenvolupament durant l’estat d’alarma, cal assegurar-se que l’accés remot al servidor està restringit i és segur. No utilitzeu dades reals en cap entorn de desenvolupament en núvol. Si és possible, verifiqueu el sistema amb un proveïdor de serveis extern especialitzat en proves de penetració que l’auditi i us informi de possibles vulnerabilitats, per poder corregir-les i garantir així la seguretat completa del sistema.
   

Reduir el risc digital en qualsevol moment és simplement un bon negoci

Fins i tot les empreses amb els millors processos i sistemes de seguretat a la seva seu són vulnerables als atacs. Per exemple, els atacs a empreses amb targetes de fidelització poden ser provocats per robatoris de credencials inconnexos. Quan el robatori de credencials implica adreces de correu electrònic d’empreses el desafiament és més gran, sobretot si les empreses proporcionen accés remot a les seves aplicacions per primera vegada.

La detecció primerenca de vulnerabilitats en credencials compromeses permetrà al vostre negoci estar més ben equipat per prendre mesures proactives. Es pot fer molt per minimitzar el mal, com més aviat es prenguin mesures, més ràpid es reduirà el risc i les seves conseqüències.

 

Autor: Marcelino Pérez Zamarrón