L’Agència Espanyola de Protecció de Dades ha publicat una sèrie de posts sobre les bretxes de seguretat des de diferents àmbits; en aquest darrer, analitza els riscos de les plataformes de productivitat cada vegada més utilitzades a les organitzacions i més atacades per part dels ciberdelinqüents.
Correu electrònic i plataformes
El correu electrònic abans era l’únic canal d’informació interna a moltes entitats, però actualment és un complement més a les plataformes de productivitat i ofimàtica al núvol com ara office365, trello, asana, slack, etc. Aquestes plataformes han esdevingut uns dels actius més interessants per als ciberdelinqüents per la possibilitat d’accedir a informació estratègica i confidencial.
Riscos per a la privacitat
Aquest tipus de plataformes, així com el correu electrònic ja no requereixen una instal·lació del programa a local (servidor corporatiu) sinó que podem accedir des de qualsevol dispositiu amb un navegador web i internet.
Degut aquest nou context poden aparèixer amenaces com:
- Intents d’accés a plataformes corporatives per força bruta.
- Intents d’accés a través de la reutilització de les credencials a altres serveis d’internet que han estat objecte d’una bretxa de seguretat.
- Robatori de les credencials a través d’atacs d’enginyeria social com a phishing, que acaben donant per resultat que l’usuari introdueixi les credencials corporatives en pàgines fraudulentes controlades pels ciberatacants.
- Exposició d’informació personal en no diferenciar les eines emprades en l’entorn laboral de l’entorn privat.
El responsable de tractament ha d’adoptar mesures per minimitzar la probabilitat que es materialitzin les amenaces anteriors com:
- Triar solucions i prestadors de servei fiables i amb garanties parant atenció a la configuració de les opcions de seguretat i privacitat.
- Establir procediments i recomanacions daccés a les eines corporatives en mobilitat i teletreball.
- Establir polítiques restrictives d’accés a les eines de productivitat corporatives des de dispositius no corporatius.
- Usa un segon factor d’autenticació: les suites d’ofimàtica online solen comptar amb la possibilitat de no només accedir amb usuari i contrasenya, sinó afegir robustesa a l’autenticació mitjançant un token, un missatge SMS o l’ús d’una app en un altre dispositiu. Això també és important activar-lo al correu electrònic.
- Emprar contrasenyes robustes mitjançant una política corporativa dús de les mateixes.
- Podem consultar a pàgines com aquesta si algun compte ha patit una bretxa de seguretat a altres webs per valorar si s’han exposat credencials.
- Comprovar accessos indeguts: realitzar una gestió correcta dels registres d’accés a aquests portals ens pot donar molta informació, com accessos produïts durant hores en què no s’hauria d’accedir, adreces IP geolocalitzades a llocs sense presència de l’organització, o constants errors d’accés a algun dels comptes. Aquests rastres ens donarien pistes sobre un possible atac.
- Comprovar les redireccions a les bústies de correu: un cop s’han compromès les credencials d’accés, una de les primeres accions que fan els ciberdelinqüents és crear una regla de redirecció de correu per intervenir els nostres correus. A l’office 365, per exemple, a l’apartat regles ho podem comprovar.
- Formar els integrants de l’empresa a la cultura de la protecció de dades i seguretat. A banda de complir amb la normativa és de vital importància que tots els treballadors coneguin els riscos que implica la gestió de dades al seu dia a dia i les directrius a seguir en cas d’incidència.
- Establir sistemes d’auditoria periòdica (especialment a les empreses que tenen designat DPD) per revisar accions anòmales sobre el sistema i protocols.
Si la vostra empresa ha estat afectada per algun tipus d’atac i s’han pogut veure compromeses les dades personals de clients, usuaris, treballadors, etc. serà important notificar la bretxa davant de l’AEPD (abans de 72h). Contacteu amb nosaltres i us ajudarem amb aquest tràmit.