7 maneres de destruir un negoci amb un sol clic

2024 Autora: Malcolm Clapton | [email protected]. Última modificació: 2024-01-15 16:41

Un correu electrònic maliciós i un empleat ingenu poden costar diners o reputació a la vostra empresa. Juntament amb Microsoft, t'informarem de quines normes de ciberhigiene has de parlar amb el teu equip.

Trobeu encara més consells sobre com protegir-vos de les amenaces digitals.

Cada dia apareixen nous tipus d'amenaces cibernètiques. Pot semblar que els pirates informàtics i els estafadors només estan darrere dels gegants del mercat. Però aquest no és el cas. El 63% de tots els atacs es dirigeixen a petites empreses i el 60% de les petites empreses tanquen després d'un ciberatac. A més, les víctimes dels atacs no són necessàriament startups de Silicon Valley. La Fiscalia General de la Federació Russa va registrar 180.153 ciberdelictes en els primers sis mesos del 2019. I això és un 70% més que el 2018.

Fins i tot si teniu tot un departament informàtic i hi ha antivirus instal·lats a tots els ordinadors, això no és suficient per a una protecció fiable. A més, sempre hi ha un factor humà: les accions equivocades dels empleats poden provocar un desastre digital. Per tant, és important parlar amb el vostre equip sobre les amenaces cibernètiques i explicar-los com protegir-se. Hem recollit set situacions en què la indiscreció d'una persona pot costar molt cara a la teva empresa.

1. Fent clic en un enllaç maliciós

Situació: s'envia un correu electrònic al correu de l'empleat, que sembla un correu ordinari d'un destinatari conegut. La carta conté un botó que condueix a un lloc que no desperta sospita en una persona. L'empleat segueix l'enllaç i és redirigit al lloc d'estafa.

El mecanisme descrit és l'anomenat atac de pesca. La investigació de Microsoft diu que aquest és un dels esquemes fraudulents més comuns. El 2018, el nombre d'aquests atacs va augmentar un 350%. El phishing és perillós perquè inclou elements d'enginyeria social: els atacants envien correus electrònics per correu electrònic en nom d'una empresa o d'una persona en qui segurament la víctima confia.

Els esquemes fraudulents són cada cop més complexos: els atacs tenen lloc en diverses etapes i els correus electrònics s'envien des de diferents adreces IP. Un correu electrònic de pesca fins i tot es pot disfressar com un missatge d'un executiu de l'empresa.

Per no quedar atrapat, heu de llegir atentament totes les cartes, notar discrepàncies en una lletra o símbol a l'adreça i, en cas de sospita, poseu-vos en contacte amb el remitent abans de fer alguna cosa.

2. Baixant un fitxer infectat

Situació: l'empleat necessita un programari nou per funcionar. Decideix descarregar el programa al domini públic i acaba en un lloc on el programari maliciós pretén ser un programari útil.

Els virus a Internet sovint es disfressen de programari de treball. Això s'anomena spoofing: falsificar el propòsit d'un programa per danyar l'usuari. Tan bon punt l'empleat obre el fitxer descarregat, el seu ordinador cau a la zona de risc. A més, alguns llocs descarreguen automàticament codi maliciós al vostre ordinador, fins i tot sense que intenteu descarregar alguna cosa. Aquests atacs s'anomenen descàrregues drive-by.

Altres conseqüències depenen del tipus de virus. El ransomware solia ser prevalent: bloquejava l'ordinador i exigia un rescat a l'usuari per tornar al funcionament normal. Ara, una altra opció és més habitual: els atacants utilitzen ordinadors d'altres persones per explotar criptomonedes. Al mateix temps, altres processos s'alenteixen i el rendiment del sistema disminueix. A més, tenint accés a un ordinador, els estafadors poden obtenir dades confidencials en qualsevol moment.

Artyom Sinitsyn Director de Programes de Seguretat de la Informació a Europa Central i Oriental, Microsoft.

Els empleats de l'empresa han de ser conscients que el programari en funcionament no es pot descarregar d'Internet. Les persones que publiquen programes al web no assumeixen cap responsabilitat per la seguretat de les vostres dades i dispositius.

Una de les primeres regles de la ciberseguretat és utilitzar programari amb llicència. Per exemple, ofereix totes les solucions que necessiteu per al vostre negoci, alhora que garanteix una protecció completa de la vostra informació.

No només és segur, també és convenient: amb Microsoft 365, podeu utilitzar totes les aplicacions d'Office, sincronitzar el vostre correu electrònic d'Outlook amb el vostre calendari i mantenir tota la vostra informació important al núvol de OneDrive d'1 TB.

3. Transferència d'arxius per canals no protegits

Situació: l'empleat ha de compartir un informe de treball amb informació confidencial amb un company. Per fer-ho més ràpid, penja el fitxer a les xarxes socials.

Quan els empleats troben incòmode utilitzar xats corporatius o un altre programari d'oficina, busquen solucions alternatives. No per fer mal deliberadament, sinó simplement perquè així és més fàcil. Aquest problema és tan comú que fins i tot hi ha un terme especial per a ell: shadow IT. Així descriuen una situació en què els empleats creen els seus sistemes d'informació contràriament als que prescriu la política informàtica de l'empresa.

És obvi que la transferència d'informació i fitxers confidencials a través de xarxes socials o canals sense xifratge comporta un alt risc de fuga de dades. Expliqueu als empleats per què és important respectar els protocols controlats pel departament d'informàtica perquè, en cas de problemes, els empleats no siguin personalment responsables de la pèrdua d'informació.

Artyom Sinitsyn Director de Programes de Seguretat de la Informació a Europa Central i Oriental, Microsoft.

4. Programari obsolet i manca d'actualitzacions

Situació: l'empleat rep una notificació sobre el llançament d'una nova versió de programari, però tot el temps posposa l'actualització del sistema i treballa amb l'antiga, perquè no hi ha "temps" i "molta feina".

Les noves versions de programari no són només solucions d'errors i interfícies boniques. També és l'adaptació del sistema a les amenaces sorgides, així com la superposició de canals de fuites d'informació. Flexera informa que és possible reduir la vulnerabilitat del sistema en un 86% simplement instal·lant les últimes actualitzacions de programari.

Els ciberdelinqüents troben regularment maneres més sofisticades de piratejar els sistemes d'altres persones. Per exemple, el 2020, la intel·ligència artificial s'utilitza per als ciberatacs i el nombre de pirates d'emmagatzematge al núvol està creixent. És impossible proporcionar protecció contra un risc que no existia quan es va sortir del programa. Per tant, l'única oportunitat per millorar la seguretat és treballar amb l'última versió tot el temps.

La situació és similar amb el programari sense llicència. Aquest programari pot mancar d'una part important de les funcions i ningú és responsable del seu correcte funcionament. És molt més fàcil pagar per programari amb llicència i suport que arriscar informació corporativa crítica i posar en perill el funcionament de tota l'empresa.

5. Ús de xarxes Wi-Fi públiques per a la feina

Situació: L'empleat treballa amb un ordinador portàtil en una cafeteria o aeroport. Es connecta a la xarxa pública.

Si els vostres empleats treballen de forma remota, informa'ls dels perills de la connexió Wi-Fi pública. La xarxa en si pot ser una falsificació, a través de la qual els estafadors roben dades dels ordinadors quan intenten connectar-se. Però encara que la xarxa sigui real, poden sorgir altres problemes.

Andrey Beshkov Cap de desenvolupament de negocis de Softline.

Com a resultat d'aquest atac, es poden robar informació important, inicis de sessió i contrasenyes. Els estafadors poden començar a enviar missatges en nom vostre i comprometre la vostra empresa. Connecteu-vos només a xarxes de confiança i no treballeu amb informació confidencial mitjançant Wi-Fi pública.

6. Còpia d'informació important als serveis públics

Situació: l'empleat rep una carta d'un company estranger. Per entendre-ho tot exactament, copia la carta al traductor al navegador. La carta conté informació confidencial.

Les grans empreses desenvolupen els seus propis editors de text i traductors corporatius i indiquen als empleats que només els utilitzin. El motiu és senzill: els serveis públics en línia tenen les seves pròpies regles per emmagatzemar i processar la informació. No són responsables de la privadesa de les seves dades i poden cedir-les a tercers.

No hauríeu de carregar documents importants o fragments de correspondència corporativa als recursos públics. Això també s'aplica als serveis de proves d'alfabetització. Ja hi ha casos de fuga d'informació a través d'aquests recursos. No cal crear el vostre propi programari, n'hi ha prou amb instal·lar programes fiables als ordinadors de treball i explicar als empleats per què és important utilitzar-los només.

7. Ignorant l'autenticació multifactor

Situació: el sistema demana a l'empleat que associ una contrasenya amb un dispositiu i una empremta digital. L'empleat omet aquest pas i només utilitza la contrasenya.

Si els vostres empleats no emmagatzemen les contrasenyes en un adhesiu enganxat al monitor, això és genial. Però no n'hi ha prou per eliminar el risc de pèrdua. Els paquets "contrasenya - inici de sessió" no són suficients per a una protecció fiable, sobretot si s'utilitza una contrasenya feble o no prou llarga. Segons Microsoft, si un compte cau en mans de ciberdelinqüents, en el 30% dels casos necessiten uns deu intents per endevinar la contrasenya d'altres comptes humans.

Utilitzeu l'autenticació multifactor, que afegeix altres comprovacions al parell d'inici de sessió/contrasenya. Per exemple, una empremta digital, Face ID o un dispositiu addicional que confirmi l'inici de sessió. L'autenticació multifactor protegeix contra el 99% dels atacs dirigits a robar dades o utilitzar el vostre dispositiu per a la mineria.

Artyom Sinitsyn Director de Programes de Seguretat de la Informació a Europa Central i Oriental, Microsoft.

Per protegir la vostra empresa dels atacs cibernètics moderns, com ara el phishing, la pirateria de comptes i la infecció de correu electrònic, heu de triar serveis de col·laboració fiables. Les tecnologies i mecanismes per a una protecció eficaç s'han d'integrar al producte des del principi per tal d'utilitzar-lo de la manera més còmoda possible, sense haver de comprometre problemes de seguretat digital.

És per això que Microsoft 365 inclou una sèrie de funcions de seguretat intel·ligents. Per exemple, protegir els comptes i els procediments d'inici de sessió contra el compromís amb un model d'avaluació de riscos integrat, l'autenticació multifactorial per a la qual no cal comprar llicències addicionals o l'autenticació sense contrasenya. El servei ofereix un control d'accés dinàmic amb avaluació de riscos i tenint en compte un ampli ventall de condicions. Microsoft 365 també conté automatització i anàlisi de dades integrades, i també us permet controlar els dispositius i protegir les dades de fuites.