El cost d'ignorar la seguretat

El 60% de les pimes que pateixen un ciberatac greu tanquen en menys de 6 mesos. La bona notícia: la majoria d'atacs es poden prevenir amb mesures bàsiques que no requereixen gran inversió.

1. Política de contrasenyes

Mínim exigible:

  • 12 caràcters, combinant majúscules, minúscules i números
  • Prohibir contrasenyes reutilitzades entre serveis
  • Gestor de contrasenyes obligatori (Vaultwarden o KeePassXC)
  • MFA (autenticació multifactor) per a tot el que ho permeti — correu, VPN, serveis cloud

No fer: canvis forçats cada 30 dies (genera contrasenyes pitjors, no millors — el NIST ja no ho recomana).

2. Backup 3-2-1

La regla d'or:

  • 3 còpies de cada dada important
  • 2 suports diferents (ex: NAS local + cloud)
  • 1 còpia offsite (fora de l'oficina)

Testar el backup: un backup que no s'ha provat restaurar no és un backup. Programar una restauració de prova trimestral.

Immutabilitat: si el pressupost ho permet, activar snapshots immutables al NAS o al cloud. El ransomware no pot xifrar el que no pot modificar.

3. Actualitzacions i parcheig

  • Estacions de treball: Windows Update automàtic amb reboot programat fora d'horari laboral
  • Servidors: actualitzacions mensuals programades (amb snapshot previ si hi ha virtualització)
  • Firmware: revisió trimestral de firewall, switches, APs i NAS
  • Aplicacions: mantenir navegadors, Office i eines d'ús diari actualitzats

Inventari: mantenir un llistat del programari instal·lat i les seves versions. NetBox, GLPI o fins i tot un full de càlcul serveixen.

4. Segmentació de xarxa

No tot ha d'estar al mateix segment:

VLAN Contingut Per què
Oficina PCs, impressores Accés a recursos compartits
Servidors NAS, controladors Aïllament del trànsit d'usuaris
Convidats WiFi visitants Sense accés a la xarxa interna
IoT Càmeres, sensors Dispositius amb firmware insegur aïllats

Un switch gestionat i un firewall amb suport VLAN és tot el que cal.

5. Correu electrònic

El vector d'atac número 1. Mesures mínimes:

  • SPF + DKIM + DMARC configurats al DNS (prevenen spoofing del domini)
  • Filtre antispam (Microsoft 365 i Google Workspace el porten integrat)
  • Formació sobre phishing: ensenyar a verificar el remitent real, no clicar enllaços sospitosos, reportar correus estranys
  • Mai enviar credencials per correu — fer servir el gestor de contrasenyes per compartir-les

6. Accés remot

  • VPN (WireGuard o OpenVPN via el firewall) per a accés a la xarxa de l'oficina
  • Prohibir RDP exposat a Internet — és el vector d'entrada més comú per ransomware
  • Si cal escriptori remot, fer-ho via VPN o una solució com RustDesk (open source, autoallotjable)

7. Registre i monitoratge bàsic

No cal un SOC complet. Un mínim viable:

  • Uptime Kuma: monitoratge de disponibilitat de serveis (web, NAS, firewall) — alertes per Telegram/correu
  • Logs del firewall: revisar connexions bloquejades setmanalment
  • Alertes de login fallit: la majoria de sistemes (Windows, NAS, firewall) poden enviar alertes per correu en cas d'intents fallits repetits

8. Documentació mínima

Documentar el que importa:

  • Diagrama de xarxa (pot ser un simple diagrama amb Draw.io)
  • Llistat de serveis crítics i les seves credencials (al gestor de contrasenyes)
  • Procediment de restauració de backup
  • Contacte del responsable IT i del proveïdor extern

On guardar-ho: al gestor de contrasenyes (notes segures) o en un directori xifrat del NAS.


El més important: la seguretat no és un projecte amb data de fi — és un procés continu. Millor fer poc però constant que intentar fer-ho tot de cop i abandonar.