Decàleg en ciberseguretat

22 setembre 2023

Temps de lectura 3 minuts

Quin és el grau de maduresa del tercer sector en matèria de ciberseguretat? Les entitats poden ser objecte d’atacs maliciosos? Com podem dissenyar una bona estratègia per protegir-nos? Javier Sierra, expert en ciberseguretat de Telefónica, va repassar aquests i altres aspectes i va compartir un decàleg en ciberseguretat i una sèrie de recomanacions bàsiques en la masterclass que va oferir en el Congrés de Transformació Digital del Tercer Sector Social de Catalunya

Per Sierra les entitats poden ser possibles objectius pels atacants i és imprescindible que comptin amb una estratègia preventiva i vagin enfortint-la per saber com gestionar els riscos de forma adequada. Els principals incidents a què s’exposen tenen a veure amb la suplantació d’identitat, les bretxes de dades i la disponibilitat d’actius a través d’atacs de ransomware, malware o phishing. A més, així com les organitzacions utilitzen la IA per millorar la seva ciberseguretat, els atacants també s’ajuden d’ella per ser més efectius. 

 

Javier Sierra


REPTES:

  • Manca de visibilitat.
  • Sobrecàrrega de vulnerabilitat.
  • Dificultat per a avaluar el risc.

DECÀLEG EN CIBERSEGURETAT:

  • Política i normativa: les entitats han d’analitzar el seu estat de seguretat i definir les polítiques i normatives que els hi poden permetre arribar a l’estat desitjat. Per això és imprescindible comptar amb un Pla Director de Seguretat, un mapa que et permet conèixer la teva situació actual, el teu estat de maduresa, analitzar els riscos i definir prioritzar els projectes a realitzar.
  • Control d’accés: controlar l’accés als recursos d’informació de l’empresa és la primera manera de protegir-los.
  • Còpies de seguretat: són la salvaguarda bàsica per a protegir la informació de l’empresa. Els atacants intenten dirigir-se a les còpies de seguretat. Per protegir-se, s’ha de seguir la regla del 3-2-1-1-0: sempre ha d’haver-hi almenys 3 còpies de les dades importants, en almenys 3 tipus de suports diferents, amb almenys una còpia fora de les instal·lacions i una altra sense connexió.
  • Protecció antimalware: la seguretat antimalware ha d’aplicar-se a la totalitat dels equips corporatius per a poder protegir la nostra informació. 
  • Actualitzacions
  • Seguretat de la xarxa: el nivell de seguretat de la xarxa corporativa és un altre dels punts clau per a mantenir la nostra empresa dins d’uns paràmetres acceptables de ciberseguretat.
  • Informació en trànsit: la mobilitat ens aporta grans avantatges, però cal ser conscient de tots els riscos que comporta i com gestionar-ho. La informació és un dels nostres valors fonamentals i el robatori de dades pot afectar molt a l’organització. 
  • Gestió de suports: els suports extraïbles o els recursos gratuïts constitueixen una de les principals amenaces de fugida d’informació i infecció per malware per a les entitats.
  • Registre d’activitat: les entitats han d’estar preparades per a prevenir, protegir-se i reaccionar davant incidents de seguretat que puguin afectar-les i que podrien impactar en els seus negocis i registrar la informació en un lloc centralitzat.
  • Continuïtat de negoci: cada organització estableix les mesures necessàries proporcionals a les seves necessitats per a garantir la seva continuïtat

RECOMANACIONS BÀSIQUES:

  • Utilitzar mesures i controls de seguretat per a protegir la informació.
  • Xifrar la informació confidencial.
  • Realitza regularment còpies de seguretat. 
  • Mantenir tot el programari actualitzat fins a l’última versió. 
  • Fer servir credencials d’accés robustes i úniques per a cada servei.
  • Habilitar el doble factor d’autenticació sempre que sigui possible.

Pots recuperar la classe de Javier Sierra i l’streaming complet del Congrés de Transformació Digital del Tercer Sector Social de Catalunya aquí.