Descobreix els errors més comuns de ciberseguretat
La meitat de les petites i mitjanes empreses han estat víctimes d’algun ciberatac durant l’any passat, sovint sense adonar-se’n. Malgrat que ens estimem més pensar que un petit comerç no li interessa a ningú, la realitat és que justament, aquestes empreses són vistes com “objectius fàcils” pels ciberdelinqüents. El teu catàleg, les dades de clients o les claus d’accés valen molt —i el teu grau de protecció, si és baix, les fa més accessibles.
Però no volem espantar-te. Estem aquí per ajudar-te.
Els riscos van més enllà del món purament digital. A part del malware (software maliciós com virus, ransomware o troians que poden xifrar o robar dades), el phishing —quan algú es fa passar per una persona o empresa de confiança per obtenir credencials o informació sensible— és la via més habitual d’incursió.
Tres passos bàsics per blindar la teva empresa
Protegeix la teva porta d’entrada digital (emails, navegadors, accessos)
Primer de tot, aplica una protecció en múltiples capes: filtres que bloquegin enllaços sospitosos abans d’arribar als usuaris, autenticació multifactor (MFA) i protecció d’estacions de treball actualitzada. És vital formar l’equip perquè aprengui a reconèixer un phishing. No és només una qüestió tècnica, és pràctica professional.
- Filtres antiphishing: serveis com Proofpoint, Mimecast o fins i tot els filtres avançats de Google Workspace i Microsoft 365 poden detectar i bloquejar correus sospitosos abans que arribin als empleats.
- Autenticació multifactor (MFA): afegir un segon pas de verificació (SMS, app com Google Authenticator o Microsoft Authenticator, o fins i tot claus físiques com YubiKey). Això fa que, encara que algú robarà la contrasenya, no pugui accedir.
- Protegeix les teves estacions de treball: antivirus i sistemes EDR (Endpoint Detection & Response) com CrowdStrike, Bitdefender o SentinelOne que monitoritzen en temps real comportaments sospitosos.
- Forma’t tu, i forma el teu equip: tallers pràctics on es mostren exemples reals de phishing. Hi ha plataformes com KnowBe4 que envien correus falsos de prova i així els empleats aprenen a identificar-los.
Prepara una resposta clara
Plantejar un pla de resposta a incidents vol dir anticipar-te al caos. Què faràs si un dia un empleat cau en un phishing? O si un ransomware et bloqueja els arxius? Aquí no val improvisar: cal saber qui avisa primer, qui bloqueja accessos, com es notifica a l’equip i fins i tot si cal informar clients o autoritats. També has de preveure com recuperaràs dades (amb còpies de seguretat al núvol o en discos externs) i com restabliràs els serveis crítics perquè el negoci no s’aturi.
La realitat és que només un 54 % de les petites empreses tenen un pla així i un 65 % no actua després d’un incident. Tenir-lo és com disposar d’un pla d’evacuació en cas d’incendi: si passa, tothom sap què fer i es redueixen els danys al mínim.
I tenir còpies de seguretat, de les de veritat
És fàcil caure en l’error de creure que si un ordinador guarda automàticament al núvol o que hi ha un disc dur a l’oficina ja tenim una còpia de seguretat. Però aquí és on s’acumulen els errors més cars: còpies que fa mesos que no es revisen i estan corruptes, discos externs que ningú ha comprovat si funcionen o còpies que es guarden al mateix ordinador que després pateix l’atac.
També passa sovint que no es fan còpies de totes les dades crítiques, sinó només d’una part. La clau és tenir un sistema de backup automatitzat, duplicat (núvol + físic), i sobretot comprovar periòdicament que pots restaurar els fitxers. Perquè una còpia que no es pot recuperar… no és una còpia.
És cert que els riscos digitals són cada vegada més freqüents —des d’un atac de ransomware fins a un phishing que roba dades de clients—, però no són els únics que afronta una empresa. Tenir un negoci vol dir conviure amb imprevistos de tota mena: avaries, responsabilitats legals, incidències amb proveïdors o fins i tot crisis de reputació.
