Ciberseguretat Empresarial

A tots els sectors comercial, industrial, sanitari, educatiu i governamental, la ciberseguretat s'ha convertit en una de les principals preocupacions dels empresaris i autònoms. A causa de les vulnerabilitats de ciberseguretat, moltes empreses han estat atacades per pirates informàtics o han estat objecte de filtracions de dades.

Les dades són les que són i no deixen indiferent ningú, el 94% de les empreses va patir almenys un incident greu de ciberseguretat al llarg del 2021 , segons un estudi realitzat per Deloitte .

La digitalització de les empreses espanyoles ja és un fet i s’estén per tots els sectors d’activitat, ja sigui en l’àmbit comercial, industrial, sanitari, educatiu o governamental i, en conseqüència, les activitats delictives també han patit un procés d’evolució cap a allò digital creant noves amenaces contra les que la majoria d’empreses espanyoles encara no estan preparades.

La importància de la ciberseguretat a les empreses

Les dades són la moneda del futur. Les empreses els necessiten tant per interactuar amb els clients com per automatitzar els seus processos interns. I són precisament les dades, l’objectiu principal dels ciberdelinqüents.

Quan tenen lloc bretxes de seguretat informàtica, els resultats d’aquests incidents poden ser costosos i devastadors per a les empreses, tant a nivell econòmic com reputacional, cosa que pot ser encara més desastrosa.

De fet, la meitat de les empreses espanyoles ciberatacades ha acabat tancant en un termini de sis mesos després de l’atac, en no poder fer front als elevats costos, ja siguin derivats de la pròpia extorsió a què són sotmeses per part dels ciberdelinqüents, com de les quantiosíssimes sancions de l’Agència de Protecció de Dades que, de vegades, poden arribar a ser multes superiors a 200.000 euros.

És per això que les empreses han de donar la importància que es mereix a la seguretat de les seves dades i implementar solucions de ciberseguretat que garanteixin la seva protecció davant de possibles robatoris o fuites d’informació internes.

Les amenaces més comunes a què s’enfronta una empresa

Durant l’any 2021 a Espanya es va produir un increment d’un 125% d’ atacs informàtics , i les pimes van ser les empreses més perjudicades per aquests atacs. Més d’un 60% dels atacs tenien el seu objectiu a les petites i mitjanes empreses espanyoles.

Els atacs més freqüents a què han de fer front les pimes són:

Phising

Et sona l’expressió “picar a l’ham”? El phising és precisament això, l’intent de “pescar” dades personals a través de l’engany o la suplantació d’identitat d’una persona, una empresa o organisme de confiança.

Els atacs de pesca comencen amb la recepció d’un correu electrònic, un SMS o un missatge directe en xarxes socials com Instagram, en què el remitent suplanta la identitat d’una empresa de renom, incloent-hi un o més enllaços a un lloc web idèntic al de l’empresa real i en què se’ns convida a introduir les nostres dades personals. Normalment un correu electrònic i una contrasenya.

Ransomware

Els atacs de ransomware han crescut dramàticament en els darrers anys però porten amb nosaltres des de la dècada dels anys 80. El ransomware és, bàsicament, un malware o virus que s’introdueix al nostre sistema a través d’un fitxer (.pdf, .zip, .doc, ….) enviat mitjançant correu electrònic, SMS, Whatsapp… i que, en descarregar-lo, encripta la nostra informació, fent-nos impossible accedir a les dades emmagatzemades als ordinadors de l’empresa.

El pas següent dels ciberdelinqüents serà demanar un rescat (el pagament d’una quantitat econòmica) per desbloquejar la nostra informació.

En els darrers temps els atacs de ransomware estan afectant mòbils, tablets, Smart TV’s i fins i tot rellotges intel·ligents.

Els atacs de ransomware generen un autèntic caos per a les empreses , ja que mentre dura el bloqueig, la companyia sencera es para i no genera facturació. A més, la pèrdua de dades financeres o dades sensibles de clients poden generar posteriors sancions molt elevades, com ja hem comentat.

Cal tenir en compte que el pagament del rescat no garanteix la restauració de totes les dades i sistemes al seu estat original, i fins i tot podem continuar sent objecte de xantatges i amenaces al llarg del temps.

Denegació de serveis

Aquest tipus d’atacs tenen com a objectiu bloquejar l’operativa dels sistemes d’una empresa (lloc web, servidor, xarxa informàtica o un simple ordinador).

Són atacs molt habituals per als ciberdelinqüents, però també són molt senzills d’evitar, mitjançant la instal·lació d’un tallafoc adequat.

Els atacs de Denegació de Serveis o DoS (per les sigles en anglès Denial of Service) consisteixen en l’enviament d’una quantitat massiva de peticions al servei, amb l’objectiu de consumir tots els recursos que aquest ofereix, veient-se obligat a rebutjar la resta de peticions.

Com per exemple, una botiga en línia pot veure’s completament bloquejada si un ciberdelinqüent decideix enviar trànsit mésiu al lloc web de la botiga en un període curt de temps. Això farà que els recursos del servidor se centrin a donar servei al trànsit maliciós fins que els seus recursos es consumeixin completament i caigui.

Les pèrdues econòmiques per aquest tipus d’atacs poden ser molt elevades ja que, fins que l’atac no finalitzi, l’operativa de l’empresa estarà completament paralitzada.

Atac al núvol

Amb l’ auge del teletreball l’emmagatzematge al núvol i el treball col·laboratiu han pres una important rellevància a les empreses i han suposat un nou filó per als ciberdelinqüents.

Les plataformes d’emmagatzematge al núvol més conegudes com AWS (Amazon Web Services), One Drive, Dropbox, Google Drive… són també les més atacades, per la qual cosa moltes empreses estan apostant per la creació de núvols propis als quals només tinguin accés els seus empleats.

Els atacs més comuns a un núvol consisteixen en el robatori de credencials d’accés dels seus usuaris , mitjançant campanyes de phising o ransomware , encara que els ciberdelienqüents també intenten accedir al núvol mitjançant l’ explotació de vulnerabilitats presents als equips o aprofitant males configuracions de seguretat i programaris obsolets .

L’èxit d’un atac sobre el núvol d’una empresa pot ser completament devastador, ja que tota la informació i dades sensibles es poden veure afectades, arribant fins i tot a la pèrdua total dels arxius.

Recomanacions bàsiques per evitar atacs informàtics

Segons les estadístiques, el 45% de les pimes espanyoles suspenen en ciberseguretat , percentatge que augmenta considerablement quan parlem d’autònoms. Possiblement sigui perquè encara no hi ha una conscienciació clara sobre la necessitat de protegir-se d’aquesta modalitat delictiva en auge.

Molts autònoms i petites i mitjanes empreses espanyoles veuen la ciberseguretat com una despesa afegida a les seves, ja de per si mateix, malparades economies. Però res més lluny de la realitat.

La protecció davant d’atacs informàtics hauria de ser vist com una inversió de futur. Una adequada inversió en ciberseguretat garantirà que el negoci pugui operar amb tranquil·litat, generant confiança i més reputació entre els seus clients.

Però com implementar la ciberseguretat en una empresa?

Instal·lar un Tallafocs o firewall

Un tallafocs o tallafocs és un dels elements essencials per garantir la protecció de qualsevol empresa davant d’un possible atac informàtic.

Un firewall és un sistema (programari o maquinari) que introduirà a la xarxa interna de l’empresa una política de control d’accessos per evitar tant intrusions com fuites a l’exterior.

Instal·lar un antivirus o antimalware

L’antimalware programa informàtic (programari) creat per prevenir, detectar i posar remei a programari maliciós en els dispositius informàtics individuals i sistemes TI.

Protegir les contrasenyes

Si ets dels que encara poses el teu DNI, data de naixement, ciutat, o el típic 1234… per recordar les teves contrasenyes, tens un seriós problema de seguretat…

Com crear una contrasenya segura? Perquè una contrasenya es consideri segura ha de tenir les característiques següents:

Longitud entre 8 i 20 caràcters. Mai no ha de ser inferior a 8 caraceters.
Combinar majúscules i minúscules.
Heu d’incloure caràcters especials del tipus: – * ? ! @ # $ / () {} = . , ; :
Evita els espais en blanc

Recordar aquest tipus de contrasenyes pot ser molt difícil, per això és molt recomanable utilitzar gestors de contrasenyes on podràs emmagatzemar totes les contrasenyes personals i d’empresa en un mateix lloc amb totals garanties de seguretat.

Securitzar el teu correu electrònic

El correu electrònic és la principal porta d’entrada de programari maliciós i per això hauries de disposar d’un sistema de correu electrònic que s’encarregui de bloquejar de manera automàtica qualsevol amenaça (spam, phising, APT…).

La majoria dels ciberatacs a empreses s’inicien mitjançant el robatori de credencials d’accés d’empleats, per això, evitar que les amenaces arribin a les safates d’entrada dels empleats és la clau perquè cap caigui al parany dels ciberdelinqüents i obrin involuntàriament les portes de la teva empresa als hackers.

Còpies de seguretat al núvol i físiques

Tenir còpies de seguretat de la teva informació al núvol està molt bé, però és convenient disposar d’una còpia de seguretat física que no estigui connectada a la xarxa i que s’actualitzi automàticament de forma periòdica. És més, si pots i la teva economia ho permet, l’ideal és disposar de diverses còpies de seguretat en diferents núvols i almenys dues còpies de seguretat físiques, emmagatzemades en discs durs ubicats a diferents oficines.

Nacho Baile

Socio Fundador de Balui Digital. Experto en Diseño Web, SEO y Marketing Digital.

Name	Domain	Purpose	Expiry	Type
elementor	balui.es	Esta cookie es utilizada por el tema de WordPress del sitio web. Permite al propietario del sitio web implementar o cambiar el contenido del sitio web en tiempo real.	365 días	HTTP
XSRF-TOKEN	tree-nation.com	Wix establece esta cookie y se utiliza con fines de seguridad.	2 horas	HTTP
laravel_session	tree-nation.com	laravel usa laravel_session para identificar un inicio de sesión de un usuario, esto se puede cambiar	sesión	HTTP
PHPSESSID	balui.es	cookie técnica y estrictamente necesaria que contiene el identificador de la sesión. Se elimina al cerrar el navegador.	sesión	HTTP
_lang	balui.es	cookie técnica y estrictamente necesaria que contiene el idioma de la sesión. Se elimina al cerrar el navegador.	sesión	HTTP
ac_cookies	balui.es	cookie técnica y estrictamente necesaria que contiene el valor de si se ha aceptado la instalación de cookies. Caduca en 1 año desde la última actualización.	365 días	HTTP

Name	Domain	Purpose	Expiry	Type
__gads	balui.es	Google advertising cookie set on the websites domain (unlike the other Google advertising cookies that are set on doubleclick.net domain). According to Google the cookie serves purposes such as measuring interactions with the ads on that domain and preventing the same ads from being shown to you too many times.	1 year	HTTP
fr	facebook.com	la cookie "fr" se usa para entregar anuncios, medirlos y mejorar su relevancia, y tiene una duración de 90 días.	90 días	HTTP

Name	Domain	Purpose	Expiry	Type
_ga	balui.es	Google Universal Analytics long-time unique user tracking identifier.	2 years	HTTP
_gid	balui.es	Google Universal Analytics short-time unique user tracking identifier.	1 days	HTTP
IDE	doubleclick.net	Google advertising cookie used for user tracking and ad targeting purposes.	2 years	HTTP
_gat	google.com	Esta cookie se asocia con Google Analytics Universal. Se utiliza para limitar la velocidad de petición – la limitación de la recogida de datos en los sitios de alto tráfico. Caduca a los 10 minutos.	10 minutos	HTTP
_utma	google.com	cookie de Google Analytics que registra la fecha de la primera y última vez que el usuario vistió el sitio web. Caduca a los 2 años desde la última actualización.	2 años	HTTP
_utmb	google.com	cookie de Google Analytics que registra la hora de llegada a la página web. Caduca a los 30 minutos desde la última actualización.	30 minutos	HTTP
_utmc	google.com	cookie de Google Analytics utilizada para la interoperabilidad con el código de seguimiento urchin.js. Se elimina al cerrar el navegador.	sesión	HTTP
_utmt	google.com	cookie de Google Analytics. Esta cookie se utiliza para procesar el tipo de solicitud pedida por el usuario. Caduca al finalizar la sesión.	sesión	HTTP
_utmv	google.com	cookie de Google Analytics.Esta cookie se utiliza para segmentar datos demográficos. Caduca al finalizar la sesión.	sesión	HTTP
_utmz	google.com	cookie de Google Analytics que almacena la fuente de tráfico o una campaña para explicar cómo el usuario llegó al sitio web. Caduca a los 6 meses desde la última actualización.	6 meses	HTTP
_fbp	facebook.com	la cookie "_fbp" identifica navegadores para proporcionar servicios de análisis de sitios y publicidad, y tiene una duración de 90 días.	90 días	HTTP

Name	Domain	Purpose	Expiry	Type
_ga_H6SBC3HEN9	balui.es	---	2 years	---
_gcl_au	balui.es	---	3 months	---
_gat_gtag_UA_165446587_1	balui.es	---	Session	---
__gpi	balui.es	---	1 year	---

Blog Digital

Tips y Consejos para digitalizar tu negocio

Ciberseguretat Empresarial

Tabla de contenidos

La importància de la ciberseguretat a les empreses