El cost d'ignorar la seguretat
El 60% de les pimes que pateixen un ciberatac greu tanquen en menys de 6 mesos. La bona notícia: la majoria d'atacs es poden prevenir amb mesures bàsiques que no requereixen gran inversió.
1. Política de contrasenyes
Mínim exigible:
- 12 caràcters, combinant majúscules, minúscules i números
- Prohibir contrasenyes reutilitzades entre serveis
- Gestor de contrasenyes obligatori (Vaultwarden o KeePassXC)
- MFA (autenticació multifactor) per a tot el que ho permeti — correu, VPN, serveis cloud
No fer: canvis forçats cada 30 dies (genera contrasenyes pitjors, no millors — el NIST ja no ho recomana).
2. Backup 3-2-1
La regla d'or:
- 3 còpies de cada dada important
- 2 suports diferents (ex: NAS local + cloud)
- 1 còpia offsite (fora de l'oficina)
Testar el backup: un backup que no s'ha provat restaurar no és un backup. Programar una restauració de prova trimestral.
Immutabilitat: si el pressupost ho permet, activar snapshots immutables al NAS o al cloud. El ransomware no pot xifrar el que no pot modificar.
3. Actualitzacions i parcheig
- Estacions de treball: Windows Update automàtic amb reboot programat fora d'horari laboral
- Servidors: actualitzacions mensuals programades (amb snapshot previ si hi ha virtualització)
- Firmware: revisió trimestral de firewall, switches, APs i NAS
- Aplicacions: mantenir navegadors, Office i eines d'ús diari actualitzats
Inventari: mantenir un llistat del programari instal·lat i les seves versions. NetBox, GLPI o fins i tot un full de càlcul serveixen.
4. Segmentació de xarxa
No tot ha d'estar al mateix segment:
| VLAN | Contingut | Per què |
|---|---|---|
| Oficina | PCs, impressores | Accés a recursos compartits |
| Servidors | NAS, controladors | Aïllament del trànsit d'usuaris |
| Convidats | WiFi visitants | Sense accés a la xarxa interna |
| IoT | Càmeres, sensors | Dispositius amb firmware insegur aïllats |
Un switch gestionat i un firewall amb suport VLAN és tot el que cal.
5. Correu electrònic
El vector d'atac número 1. Mesures mínimes:
- SPF + DKIM + DMARC configurats al DNS (prevenen spoofing del domini)
- Filtre antispam (Microsoft 365 i Google Workspace el porten integrat)
- Formació sobre phishing: ensenyar a verificar el remitent real, no clicar enllaços sospitosos, reportar correus estranys
- Mai enviar credencials per correu — fer servir el gestor de contrasenyes per compartir-les
6. Accés remot
- VPN (WireGuard o OpenVPN via el firewall) per a accés a la xarxa de l'oficina
- Prohibir RDP exposat a Internet — és el vector d'entrada més comú per ransomware
- Si cal escriptori remot, fer-ho via VPN o una solució com RustDesk (open source, autoallotjable)
7. Registre i monitoratge bàsic
No cal un SOC complet. Un mínim viable:
- Uptime Kuma: monitoratge de disponibilitat de serveis (web, NAS, firewall) — alertes per Telegram/correu
- Logs del firewall: revisar connexions bloquejades setmanalment
- Alertes de login fallit: la majoria de sistemes (Windows, NAS, firewall) poden enviar alertes per correu en cas d'intents fallits repetits
8. Documentació mínima
Documentar el que importa:
- Diagrama de xarxa (pot ser un simple diagrama amb Draw.io)
- Llistat de serveis crítics i les seves credencials (al gestor de contrasenyes)
- Procediment de restauració de backup
- Contacte del responsable IT i del proveïdor extern
On guardar-ho: al gestor de contrasenyes (notes segures) o en un directori xifrat del NAS.
El més important: la seguretat no és un projecte amb data de fi — és un procés continu. Millor fer poc però constant que intentar fer-ho tot de cop i abandonar.