Des de fa 5 setmanes, la present situació extraordinària a causa de l'estat d'alarma del Covid19, la lenta desescalada del confinament i la possible ampliació de dos mesos del teletreball, ens ha posat de manifest la total dependència del nostre treball i la nostra vida personal de la tecnologia digital. A causa d'això, els riscos cibernètics han incrementat i com més usuaris treballen o estudien a casa, més gran és la probabilitat de que hi hagi incidents cibernètics.

Els ciberdelinqüents, saben que, al connectar gran nombre d'usuaris en xarxa, interactuen de formes diferents. De vegades, alguns ho fan per primera vegada. Això incrementa la possibilitat de ser enganyats per part de ciberdelinqüents que volen accedir a tota mena d'informació sensible. Alhora, els equips informàtics dediquen llargues jornades a mantenir les xarxes en continu funcionament, el que pot afectar a la velocitat de detecció d'activitat maliciosa. Tot això dificulta més que mai la protecció de la informació. Dracma, amb la missió d'ajudar a protegir els actius dels seus clients, us vol transmetre els suggeriments que Chubb ha redactat, com a possibles maneres de prevenir aquest tipus de problemes. Seguir aquestes deu millors pràctiques per a l'empresa i per als seus empleats pot permetre gaudir de millor ciberseguretat fins i tot en èpoques d'incertesa.

Les millors pràctiques per l’empresa

• Anticipar-se a problemes de recursos informàtics tant des de la perspectiva de personal com des de la tecnològica

Quan els serveis d'atenció a client s'enfronten a un increment de trucades, hi ha necessitat de més recursos fora de l'horari de treball habitual. Al mateix temps, es posen a prova l'ample de banda de la xarxa, la capacitat d'emmagatzematge de dades i la potència de processament. Tot i aquest augment de trànsit, l'atenció als detalls no es pot veure minvada. Seria bo preparar un pla per reassignar els recursos a la situació i ampliació futura.

• Tenir sempre la xarxa, els programaris i aplicacions instal·lades actualitzades.

Els ciberdelinqüents saben els punts febles de la tecnologia en remot, i s'aprofiten d'ells per accedir a informació protegida.

• L'ordre en els recursos és indispensable

Les organitzacions han de tenir un pla de continuïtat de negoci, comptar amb un equip de recuperació de pèrdues i un pla d'actuació davant incidents cibernètics. Ser conscients de la vulnerabilitat per la dependència de la xarxa i la seva disponibilitat, a l'haver major nombre d'usuaris que accedeixen de forma remota, per fer front a possibles atacs cibernètics.

• Comprovar les polítiques actuals i aplicar les excepcions de seguretat necessàries

Quan els recursos informàtics són insuficients, és possible que les organitzacions hagin de dur a terme determinades excepcions en polítiques, normatives o pràctiques de seguretat. Engegar un procés exhaustiu de comprovació per garantir que aquestes excepcions estiguin minuciosament controlades i es resolguin. D'altra banda, les polítiques de treball utilitzades en remot, no van ser elaborades per aplicar-se en aquest tipus de situació de treball en remot actual, de manera que les organitzacions també han de comprovar si les polítiques estan prou adaptades a la realitat.

• Emprar l'autenticació de múltiples factors, mínim doble vector de verificació

Implantar a l'almenys dos mètodes d'autenticació, prova o identificació, previ accés a la informació protegida, dotant-li d'una segona barrera de seguretat enfront de l'activitat criminal. Aquest nivell de protecció addicional resulta especialment important quan un gran nombre d'usuaris es connecten a xarxes de forma remota.

Les millors pràctiques per els empleats

• Connectar-se a Internet únicament des d'una xarxa segura

Mai connectar-se a una xarxa pública, oberta sense contrasenya o amb contrasenya pública, perquè terceres persones poden accedir a tota la informació que compartim en línia o mitjançant una aplicació de mòbil. Utilitzar sempre una Xarxa Privada Virtual (VPN) per xifrar la teva activitat. Canviar la configuració del router de casa per defecte.

• Fer servir contrasenyes robustes

No utilitzar la mateixa contrasenya o una de semblant per a totes les aplicacions connectades, tant a la feina com a casa. Amb robar una única contrasenya, els hackers es freguen les mans al poder accedir a desenes de comptes. A l'ésser difícil recordar contrasenyes segures i complexes per cada compte, és millor utilitzar un programa de gestió de contrasenyes. Mai compartir contrasenyes ni sessions d'usuari.

• Accedir només a enllaços, arxius adjunts i programes descarregables de fonts fiables

Si no estem segurs de la font, accedir a la pàgina web de l'organització. Si és informació rellevant, s’hi trobarà publicada allà també. Els ciberdelinqüents són conscients que la majoria dels usuaris volen estar al dia de les novetats, sobretot en períodes d'incertesa com el d’ara i pretendran emmascarar enllaços maliciosos sota material informatiu. Una vegada que entrem a l'enllaç maliciós, aquest permet accedir a la informació privada de l'usuari o de l'organització i / o paralitzar els seus ordinadors o xarxes.

• Verificar els enllaços web (HTTPS) abans de compartir informació confidencial

Els ciberdelinqüents creen llocs web falsos, l'enllaç i pàgina d'inici són molt semblants a la web original, com el proveïdor de serveis sanitaris, el banc o el correu electrònic. És recomanable teclejar manualment l'enllaç en lloc d'accedir-hi des del correu electrònic rebut. És important assegurar-se que el web que es visita utilitza el protocol HTTPS, aquests enllaços són més segurs que els que utilitzen HTTP.

• No contestar a sol·licituds d'informació de fonts desconegudes, especialment si exigeixen informació identificativa o contrasenyes

Els ciberdelinqüents intenten incitar els usuaris a proporcionar informació confidencial suplantant la identitat d'un conegut o d'un company de treball. Posar especial atenció en identificar a qui sol·licita dades, fins i tot si la sol·licitud prové d'una organització, persona coneguda o font fiable. No fer-ho amb pressa, prendre un temps per recollir informació sobre la sol·licitud i plantejar-se si convé, abans de respondre. La suplantació de persones és una pràctica habitual a ciberdelinqüència.

L’ordre i base de la informació descrita s’ha extret del document que Chubb ha facilitat als seus assegurats per Ciberriscos.