Entrevista a Jordi Rabinat, CEO d’HST, a LleidaTV sobre ciberseguretat
Subvencions públiques per a la digitalització de Pimes “Next Generation EU”
Teletreball i protecció de dades
Teletreball i Protecció de Dades
Si bé el teletreball no és una novetat, amb la COVID-19 ha passat de ser una opció minoritària a ser una necessitat. El teletreball, en si mateix, incrementa els riscos per a la seguretat de la informació, però haver-lo d’adoptar ràpidament i sense planificació prèvia, com ha comportat la COVID-19, els ha magnificat.
Amb el temps, les organitzacions han ajustat els seus sistemes a les necessitats del teletreball (equips portàtils, connexions segures, etc.), però hi ha un punt on les organitzacions no tenen un control total: el seu personal i l’ús que fa dels sistemes d’informació.
Amenaces i recomanacions pel Teletreball
- Treballar en un entorn remot normalitza el respondre a peticions rebudes de forma telemàtica. Els atacants ho aprofiten per fer atacs d’enginyeria social (particularment, phising), per exemple demanar credencials o pagaments via correu electrònic. Segons estadístiques, el 50% dels treballadors han patit un atac de phising en els darrers 6 mesos i un 10% el pateix cada setmana.
Unes senzilles pautes poden ajudar-nos evitar molts d’aquests atacs: no donar mai les nostres credencials com a resposta a una petició telemàtica, no seguir enllaços ni descarregar fitxers de correus electrònics no sol·licitats i confirmar les peticions que se surten del procediment habitual. Cal no confiar-se, ja que alguns atacs són difícils de detectar.
- Les dificultats del teletreball a l’hora de desenvolupar certes tasques fa que hi hagi tendència a esquivar algunes mesures de seguretat establertes per l’organització.
Per exemple, segons les estadístiques, el 25% dels treballadors han compartit les seves credencials amb companys. Aquesta pràctica, ja per si mateixa perillosa, ho és més si tenim en compte la tendència a reutilitzar contrasenyes. Compartir una contrasenya amb un company pot facilitar-li accés altres serveis de l’organització o personals als quals no es volia donar accés.
- El tractament de la informació fora de les instal·lacions d’una organització incrementa els riscos per a la informació. La informació en format paper és especialment vulnerable, però també ho és la que es guarda en suport digital. Els riscos són variats. Per exemple, treballar en un lloc públic pot posar la informació a l’abast de tercers no autoritzats (escoltar converses, veure la pantalla de l’ordinador, etc.) i mantenir la informació en el dispositiu de teletreball pot comprometre’n la disponibilitat (en cas d’incident).
- L’ús de dispositius fora de l’organització incrementa el risc que persones alienes hi tinguin accés. El risc es dóna, sobretot, fora del domicili del teletreballador: pèrdua, robatori, etc.
Cal bloquejar els dispositius quan no s’estan utilitzant, no deixar-los desatesos en llocs públics i ser curós amb les dades sensibles.
- La comunicació és essencial en el teletreball, però l’ús de xarxes públiques és perillós. Una xarxa sense xifratge fa que es puguin llegir les nostres comunicacions, un atacant pot crear una xarxa i esperar que la gent s’hi connecti, etc.
- Cal limitar l’ús de les xarxes públiques i, si s’utilitzen, emprar protocols segurs extrem a extrem (VPN, https, etc.). Si això no és possible, cal limitar al màxim la transmissió d’informació sensible.
- Dificultat de l’organització per controlar i fer el manteniment dels equips.
A HST som consultors en Protecció de Dades i experts en seguretat informàtica a Lleida. Si necessites teletreballar de forma segura, contacta amb nosaltres. T’ajudem
Font: Autoritat Catalana de Protecció de Dades