Blog

En aquesta època digital en la qual ens trobem, valgui dir que la tecnologia avança de manera vertiginosa i amb això l’ecosistema de proveïdors, plataformes tecnològiques i aplicacions de negoci que les empreses necessiten per a prestar els seus serveis de manera capdavantera, sostenible i eficient. Durant aquest camí cap a la transformació digital, a vegades forçosa, s’obre la porta a nous riscos de ciberseguretat que tenen un impacte cada vegada major en el negoci. Per això, des de Qualtic realitzen una anàlisi sobre quins són els 4 conceptes clau que les organitzacions han de treballar per a mantenir un nivell de ciberseguretat bàsic:

Mantenir la plataforma tecnològica actualitzada

Per defecte, tots els productes tecnològics contenen vulnerabilitats, és una cosa intrínseca a la tecnologia. Encara que les companyies de programari posen cada vegada més focus en la seguretat dels seus productes, és només qüestió de temps que grups organitzats amb grans habilitats informàtiques i recursos descobreixin vulnerabilitats, obrint forats de seguretat en totes les organitzacions que utilitzin aquests productes.

Només l’any 2021 es van fer públiques més de 28.000 vulnerabilitats en sistemes operatius, bases de dades, aplicacions, etc. Una vegada fetes públiques, les empreses de programari treballen a contrarellotge per a publicar una actualització de seguretat que corregeixi la vulnerabilitat descoberta. Per això, per a procurar la seva seguretat, les empreses necessiten tenir un programa sòlid de gestió contínua de vulnerabilitats, que els permeti descobrir i solucionar aquests forats de seguretat en la seva plataforma tecnològica tan aviat com es facin públics.

Conscienciació d’empleats

D’altra banda estan els empleats, que fan ús de la informació i els recursos tecnològics de l’empresa. Juntament amb l’Enginyeria Social, el desconeixement i el mal ús de la tecnologia (intencionat o no) per part dels empleats suposa un dels majors riscos per a la seguretat de les empreses.

La gran majoria dels ciberatacs, fins i tot alguns dels més elaborats, requereixen una certa interacció humana per a tenir èxit: des d’obrir un arxiu infectat o fer click a un enllaç per no saber identificar un correu maliciós, fins a utilitzar contrasenyes febles i predictibles per a accedir a recursos de la companyia exposats a Internet.

En aquesta línia, les empreses han de dedicar temps i recursos a conscienciar i formar en bones pràctiques de seguretat als seus empleats, així com a protegir els accessos de les seves identitats utilitzant polítiques de contrasenyes robustes (almenys 12 caràcters), complementades amb solucions de seguretat com MFA (Multi-Factor Authentication) o tendint al conegut com Passwordless.

Gestió de tercers

En els últims anys s’ha detectat una tendència creixent de ciberatacs a través de tercers, amb l’atac a SolarWinds a la fi de 2020 com a exemple més representatiu. No és suficient que les empreses mantinguin la seva tecnologia al dia i formin als seus empleats, sinó que a més han d’exigir el mateix a tot el seu ecosistema amb els quals col·laboren i comparteixen informació i riscos.

Continuïtat de negoci i resiliència

Encara amb tot, el risc zero no existeix en el món de la ciberseguretat. El terme “resiliència” porta anys sonant com a complement a la Continuïtat de Negoci. En moments de crisis, quan ja només queda actuar, no hi ha marge per a la improvisació i els passos a seguir pels equips de sistemes, ciberseguretat, comunicació, recursos humans i pels comitès de crisis, han d’estar clarament guiats per aquesta mena de plans. Tots aquests processos han de ser treballats i definits en moments de calma i pensant que avui dia cap organització està exempta de sofrir un ciberatac.