La tecnologia ha transformat per complet la nostra manera de treballar, i també la de fer negocis. Avui dia, gran part de l’activitat de les empreses es troba en núvols, servidors, ordinadors i dispositius mòbils connectats. Per això el terme ciberseguretat és cada cop més present a les companyies.
És comprensible: el percentatge d’empreses que han declarat haver patit un ciberatac va passar del 38 % el 2020 al 43 % el 2021, segons l‘Informe de ciberpreparació d’Hiscox 2021. Tenint en compte que el 28 % d’aquests ciberatacs es produeixen per spoofing —suplantació d’identitat— o robatori de dades a treballadors —phishing—, convertir aquests treballadors en el primer tallafocs de l’empresa sembla una bona estratègia.
Et donem cinc claus per aconseguir-ho.
Explicar als treballadors els trucs més comuns que utilitzen els ciberdelinqüents per guanyar-se la seva confiança i/o accedir a la informació que necessiten pot ser el punt de partida. Entre aquestes tècniques destaquen les suplantacions d’identitat per fer-se passar per un proveïdor o un superior a través de missatges o trucades telefòniques.
Aquesta és la base d’estafes com el frau del CEO, el frau de factures o alguns dels atacs de ramsomware (segrest d’informació per demanar un rescat). Si els treballadors les coneixen, els resultarà molt més senzill distingir una petició legítima d’una altra que no ho és.
Un altre dels ganxos que proven els ciberdelinqüents per obrir les portes d’una empresa són els enllaços maliciosos o els documents adjunts que amaguen algun troià. Se solen enviar per correu electrònic, però també mitjançant aplicacions de missatgeria instantània.
Tot i que hi ha eines com els antivirus, els tallafocs o el programari de protecció de correu electrònic que han estat especialment dissenyades per contrarestar aquestes amenaces, la intuïció d’un ésser humà pot ser fins i tot més efectiva si ha estat correctament entrenada. Es tracta de no confiar a cegues en la tasca d’aquesta mena de programari, que pot arribar a fallar en la detecció.
Entre els hàbits que es poden promoure en els treballadors hi ha la comprovació d’enllaços o arxius sospitosos abans d’obrir-los. N’hi ha prou amb passar el ratolí per damunt d’un enllaç per veure si es correspon amb el text que l’enllaça o amb avisar el departament corresponent dins l’empresa perquè faci la verificació oportuna.
Una altra comprovació que es pot recomanar és analitzar sempre el remitent, però no fixant-se únicament en el nom, sinó en l’adreça electrònica que envia el missatge. El ciberdelinqüent pot despistar-nos canviant una lletra o afegint-hi una paraula. Tot i que sembli real, pot ser il·legítim.
Sovint, una formació teòrica pot no ser suficient per augmentar la ciberseguretat a l’empresa. Per això, des de l’empresa especialitzada en seguretat informàtica Kaspersky recomanen fer exercicis amb els treballadors perquè posin en pràctica els seus coneixements i es preparin per a possibles incidents reals.
D’aquesta manera, proposen enviar correus electrònics de phishing controlats per la mateixa empresa de prova. En funció dels resultats, aquesta pràctica serà útil també per comprovar quines persones o àrees de l’empresa necessiten un reforç sobre el que han après.
En aquest tipus d’entrenaments seria interessant incloure com a temàtiques situacions d’actualitat (COVID, guerra d’Ucraïna…), ja que els ciberdelinqüents solen utilitzar-les molt sovint per incrementar les possibilitats que es cliqui en els enllaços.
Les tècniques dels ciberdelinqüents se sofistiquen cada cop més i, amb això, les relacionades amb la suplantació d’identitat. Tant és així, que l’FBI ha declarat l’ús de l’hipertrucatge —vídeos o àudios que manipulen la realitat— com una amenaça important per a les empreses, amb un gran potencial per causar danys reputacionals i financers.
En aquest sentit, el millor és encoratjar el personal de l’empresa perquè desconfiï davant qualsevol requeriment urgent fora del normal i que es posi en contacte amb la persona que suposadament ha fet la petició per comprovar les seves intencions. Si és possible, a través d’un canal diferent de l’utilitzat per fer la petició. Si, a més, són capaços de detectar imperfeccions en els vídeos, com ara incoherències en els gestos o pestanyejos poc freqüents, ho tindran més fàcil per evitar enganys.
A vegades, els atacs se centren en danys reputacionals mitjançant l’ús fraudulent dels perfils de les companyies en xarxes socials. En aquests casos, promoure l’ús de contrasenyes segures, fomentar l’ús de gestors de contrasenyes i fins i tot de tècniques d’autenticació en dos passos pot evitar molts disgustos a una empresa.
Encara que tenim certes vulnerabilitats, els éssers humans disposem d’una eina única que ni les màquines més sofisticades han aconseguit replicar: la nostra intuïció i el nostre sentit comú. Si l’entrenem adequadament i la complementem amb coneixements, ens ajudarà a evitar molts problemes. Aquesta és la raó per la qual un empleat pot esdevenir el millor tallafocs d’una empresa.
