El teletreball suposa un risc per a la seguretat informàtica de les empreses

L’Agència Espanyola de Protecció de Dades (AEPD) ha assenyalat que les plataformes tecnològiques de productivitat utilitzades en les organitzacions s’han convertit en un dels actius més interessants per als ciberdelinqüents per la possibilitat d’accedir a informació estratègica i confidencial.

El correu professional, que abans era l’únic canal d’informació interna en moltes entitats, ha deixat pas a les plataformes tecnològiques de productivitat i ofimàtica en el núvol. A través d’aquestes plataformes flueix una gran part de la informació de l’organització, en particular, dades de caràcter personal i, en els últims temps, les plataformes s’han convertit en un dels actius més interessants per als ciberdelinqüents per la possibilitat d’accedir a informació estratègica i confidencial.

En la major part dels casos, ja no es requereix disposar d’una aplicació específica per a l’accés, n’hi ha prou simplement amb un navegador web, i una única direcció comuna per a l’accés dels empleats de totes les organitzacions que utilitzin la mateixa plataforma corporativa. Aquesta és una de les avantatges de tenir la informació en el núvol, però al seu torn un risc inherent a aquesta tecnologia.

A causa d’aquesta facilitat per connectar-se, i que la superfície d’atac a aquests sistemes sigui tot Internet, poden enumerar, entre altres, les següents amenaces:

  • Intents d’accés a plataformes corporatives per força bruta.
  • Intents d’accés a través de la reutilització de les credencials en altres serveis d’Internet que han estat objecte d’una bretxa de seguretat.
  • Robatori de les credencials a través d’atacs d’enginyeria social com el phishing, que acaben donant per resultat que l’usuari introdueixi les seves credencials corporatives en pàgines fraudulentes controlades pels ciber atacants.
  • Exposició d’informació personal al no diferenciar les eines emprades en l’entorn laboral de l’entorn privat.

El responsable del tractament ha d’adoptar mesures per minimitzar la probabilitat que es materialitzin les amenaces anteriors. Entre d’altres, podem destacar:

  • Triar solucions i prestadors de servei de confiança i amb garanties, i prestar atenció a la configuració de les opcions de seguretat i privacitat que ofereixen les plataformes de productivitat en el núvol.
  • Establir procediments i recomanacions d’accés a les eines corporatives en mobilitat i teletreball, que siguin fàcilment comprensibles i executades per tots els membres de la nostra organització.
  • Establir polítiques restrictives d’accés a les eines de productivitat corporatives per a ús personal o des de dispositius no corporatius. En cas de permetre-ho, establir mesures de seguretat apropiades i mecanismes de compartimentació de la informació que mantinguin separats l’àmbit personal de l’professional.
  • Utilitza un segon factor d’autenticació: aquesta és la mesura més recomanada en accés a serveis online. Les suites d’ofimàtica en línia solen comptar amb la possibilitat de no només accedir amb usuari i contrasenya, sinó afegir robustesa a l’autenticació mitjançant un símbol, un missatge SMS o l’ús d’una APP en un altre dispositiu.
  • Emprar contrasenyes robustes: l’ús de contrasenya difícils de predir i que no es facin servir en altres serveis és fonamental per protegir-se d’accés indeguts. Cal implementar una correcta política d’ús de contrasenyes en l’organització.

Trobareu més recomanacions i guies de seguretat al web de la AEPD