El treball híbrid i el teletreball han deixat de ser una excepció per convertir-se en la norma en moltes empreses. Però aquesta transformació ha canviat dràsticament el perímetre de seguretat: ja no n'hi ha prou amb protegir la xarxa de l'oficina quan els empleats treballen des de casa, cafeteries o espais de cotreball. Implementar el teletreball de manera segura requereix una estratègia específica, però no cal que sigui complexa ni cara.

Per què el teletreball ha canviat el panorama de seguretat

En el model de treball tradicional, la seguretat informàtica se centrava a protegir el perímetre de la xarxa corporativa: un bon firewall, accés controlat a l'oficina, i els equips sempre dins de la xarxa interna. Quan tothom treballa desde casa, aquest model es trenca completament.

Els principals riscos nous que introdueix el teletreball inclouen:

  • Xarxes domèstiques insegures: el router del domicili rarament té la mateixa configuració de seguretat que el de l'empresa. Sovint usa contrasenya per defecte o firmware desactualitzat.
  • Ús de dispositius personals (BYOD): els portàtils personals poden tenir software no autoritzat, sense xifrat de disc o amb sistemes operatius desactualitzats.
  • Xarxes Wi-Fi públiques: connexions en cafeteries o aeroports que poden ser monitoritzades per tercers o directament falsificades (atacs "evil twin").
  • Barreja d'usos personal i professional: el mateix dispositiu per a feina i oci augmenta el risc d'infecció per programari maliciós.

VPN: el túnel segur cap a l'empresa

Una Xarxa Privada Virtual (VPN) crea un canal xifrat entre el dispositiu de l'empleat i la xarxa de l'empresa, fent que tot el tràfic de dades viatgi de manera segura encara que la connexió subjacent sigui una Wi-Fi pública no fiable. Per a moltes PIMES, una VPN ben configurada és la mesura de seguretat per a teletreball amb millor relació cost-benefici.

Aspectes a tenir en compte a l'hora d'implementar una VPN empresarial:

  • Split tunneling: permet decidir quin tràfic va per la VPN (les aplicacions corporatives) i quin surt directament a internet (streaming, xarxes socials), reduint la càrrega del servidor VPN sense sacrificar seguretat.
  • Autenticació robusta: la VPN ha d'exigir MFA, no sols una contrasenya, per prevenir accesos no autoritzats si les credencials es veuen compromeses.
  • Zero Trust com a alternativa avançada: models com ZTNA (Zero Trust Network Access) van un pas més enllà: en lloc de confiar en tothom que es connecta a la VPN, verifiquen contínuament la identitat i l'estat de seguretat del dispositiu per a cada aplicació a la qual s'accedeix.

Autenticació de doble factor (MFA): la barrera més eficaç

L'autenticació multifactor és probablement la mesura de seguretat amb el millor rendiment per inversió que existeix. Quan un empleat inicia sessió, a més de la contrasenya se li demana un segon factor de verificació: un codi temporal generat per una aplicació, una notificació push al mòbil, o una clau de seguretat física. Això fa que, fins i tot si la contrasenya és robada o filtrada, l'atacant no pugui accedir al compte sense el segon factor.

Sobre les opcions de segon factor, no totes són igual de segures:

  • Aplicacions d'autenticació (Google Authenticator, Microsoft Authenticator, Authy): generen codis TOTP de 6 dígits que caduquen cada 30 segons. Molt segures i no depenen de la cobertura mòbil.
  • SMS: convenient però menys segur; vulnerable al SIM swapping (quan un atacant convença l'operadora de transferir el número al seu SIM). Acceptable per a serveis de baixa criticitat, però no recomanable per a sistemes crítics.
  • Claus de seguretat físiques (YubiKey, claus FIDO2): el màxim nivell de seguretat; resistents al phishing perquè verifiquen el domini web al qual s'accedeix.

El MFA s'hauria d'activar com a mínim en: correu corporatiu, VPN, panells d'administració, serveis cloud, i qualsevol eina que contingui dades sensibles de clients o finances.

Gestió de dispositius: qui controla els portàtils del teu equip?

Quan els equips de l'empresa estan repartits per les cases dels empleats, cal una manera de garantir que tots compleixen uns estàndards mínims de seguretat. Les solucions MDM (Mobile Device Management) permeten gestionar centralment tots els dispositius corporatius, tant portàtils com mòbils i tauletes.

Amb un MDM, el departament d'IT pot:

  • Assegurar que tots els dispositius tenen el xifrat de disc activat (BitLocker en Windows, FileVault en macOS).
  • Aplicar actualitzacions i pedaços de seguretat de manera remota i automàtica.
  • Esborrar remotament les dades corporatives d'un dispositiu en cas de robatori o pèrdua.
  • Garantir que els dispositius tenen l'antivirus actualitzat i el tallafoc activat.
  • Separar les aplicacions i dades corporatives de les personals en cas de BYOD.

Per a empreses que no volen o no poden gestionar una MDM pròpia, els serveis de gestió IT externalitzats —com el que oferim a PATH— proporcionen aquestes capacitats sense necessitat de personal intern dedicat.

Formació i conscienciació: l'eslabó humà

La tecnologia sola no és suficient si les persones no saben com comportar-se de manera segura. La majoria d'incidents de seguretat comencen amb un error humà: clicar un enllaç de phishing, descarregar un fitxer adjunt maliciós, o utilitzar una contrasenya feble. La formació periòdica en ciberseguretat no és un luxe, és una necessitat.

Les mesures de conscienciació més eficaces inclouen:

  • Simulacres de phishing: enviar correus de phishing controlats per mesurar quants empleats hi cauen i, posteriorment, formar-los específicament sobre com detectar-los.
  • Formació breu i periòdica: sessions curtes (15-20 minuts) cada trimestre sobre temes concrets: contrasenyes, dispositius mòbils, xarxes socials, etc.
  • Polítiques clares i escrites: els empleats han de saber exactament què poden i no poden fer: quins dispositius estan autoritzats, quins serveis cloud estan permesos, com gestionar dades de clients.
  • Canal de reporte senzill: els empleats han de saber a qui avisar si sospiten d'un incident, i sentir-se còmodes per fer-ho sense por de represàlies.

Una cultura de seguretat sana és aquella on tothom entén que la ciberseguretat és responsabilitat de tots, no solament del departament d'IT.

Tens dubtes sobre el teletreball segur a la teva empresa? A PATH t'ajudem a avaluar la situació i a implementar les mesures adequades. Contacta'ns sense compromís.