Viure i treballar al núvol: decàleg per evitar riscos

Guardem fotos personals, afegim contactes, treballem… Tot ho fem al núvol. Segons l'informe Tecnologías digitales en la empresa, de l'Observatori Nacional de Tecnologia i Societat, gairebé un terç de les empreses espanyoles ja utilitza la informàtica al núvol. Els avantatges que presenta són evidents: accedir i emmagatzemar informació, recursos i aplicacions en qualsevol lloc on hi hagi una connexió a internet. Però, a més, és perillós? L'informe Global Threat Report 2023, de CrowdStrike, afirma que l'any passat es van incrementar un 95 % els atacs al núvol.

Com explica César Córcoles, professor dels Estudis d'Informàtica, Multimèdia i Telecomunicació de la UOC i membre del grup de recerca Technology Enhanced Knowledge and Interaction Group (TEKING), quan es treballa al núvol es delega la gestió de la seguretat al proveïdor de serveis que s'estigui emprant. "És molt eteri parlar del "núvol", però, al cap i a la fi, el que estem fent és passar de desar els documents al disc del nostre ordinador a fer-ho als discos del proveïdor de serveis que hàgim triat", indica.

Si aquest proveïdor, sigui un dels grans, com Amazon, Google o Microsoft, o un de més petit, té millor competència en seguretat que l'usuari o les persones que administren els seus ordinadors i xarxes internes, llavors, en general, s'està millorant la seguretat, "especialment en el cas d'empreses i institucions petites que no poden dedicar gaires recursos a la seguretat", afirma el professor de la UOC. En la seva opinió, treballant amb els documents al núvol probablement serà més difícil "que un programa maliciós xifri les nostres dades i ens exigeixi un rescat per recuperar-les, és possible que la política de còpies de seguretat sigui millor que la que puguem implementar nosaltres i no haurem de descarregar tants arxius als nostres ordinadors ni moure'ls de l'un costat a l'altre en un disc USB, que es pot perdre".

No obstant això, quan es fa servir el núvol per als documents que es volen compartir o guardar, també se'ls està "perdent de vista" i dipositant molta confiança en el proveïdor que s'ha triat i en les seves polítiques de seguretat. I, encara que l'empresa proveïdora s'encarregui de bona part de la seguretat, el risc principal "és el mateix usuari que té accés als documents", recorda Córcoles.

Per evitar aquests perills potencials, hi ha un seguit d'estratègies que recomanen els experts:

1. Triar un proveïdor de confiança. Per a César Córcoles, la primera estratègia de prevenció és escollir el "núvol" d'un proveïdor de confiança. "És complicat, si no impossible, per als clients avaluar aquests aspectes, per la qual cosa en general depenem de la reputació de les empreses que ens ofereixen els seus serveis", afirma.
2. Tenir un control d'accés adequat. Com explica Helena Rifà, professora dels Estudis d'Informàtica, Multimèdia i Telecomunicació de la UOC i directora del màster universitari de Ciberseguretat i Privadesa de la UOC, per eliminar riscos és clau "ajustar els permisos d'accés als nostres arxius evitant donar permisos a persones que no els necessiten. Al mateix temps, revisar regularment els accessos per cancel·lar els permisos si és possible, per exemple, quan una col·laboració o un projecte de l'empresa on es treballa hagi acabat o quan els membres del grup hagin canviat."
3. Gestionar els controls d'accés a les dades a través de rols o grups professionals. Establir i administrar les polítiques i restriccions que determinen qui té permís per accedir a determinades dades o recursos depenent de la seva funció o posició en una organització pot prevenir riscos, en opinió de Rifà. "En lloc d'assignar permisos individuals a cada usuari, s'agrupen els usuaris en rols o grups basats en les seves responsabilitats o funcions laborals. Després, s'apliquen controls d'accés a aquests rols o grups, la qual cosa facilita la gestió i l'aplicació coherent de les polítiques de seguretat de dades en tota l'organització", afirma la professora de la UOC.
4. Utilitzar l'autenticació de dos factors. Tal com explica Helena Rifà, l'autenticació de dos factors és una combinació de dos dels principis següents: una cosa que l'usuari sap (generalment una contrasenya forta, amb dotze caràcters com a mínim); una cosa que l'usuari té, com per exemple una clau al mòbil que permet generar codis d'un sol ús; i una cosa que l'usuari és (ús de biometria, com ara empremta dactilar, retina...). No es recomana fer servir una autenticació de dos passos basats en una contrasenya i un codi SMS que s'hagi rebut al mòbil, "ja que la missatgeria SMS no és segura i, per tant, el codi SMS no es considera un factor robust d'"una cosa que tens"", explica.
5. Mantenir el dispositiu electrònic en bones condicions de seguretat. Actualitzar regularment el sistema operatiu també és important. "Un ordinador amb problemes de seguretat pot enviar ordres al núvol amb les quals no estiguem d'acord (canvi de permisos d'un document, canvi de titulars, afegir/esborrar dades, extracció de dades a un servei extern, inserció de programa maliciós al núvol…", indica Helena Rifà.
6. Fer còpies de seguretat. Un altre consell dels experts és fer còpies de seguretat periòdiques del núvol, o bé assegurar-se que el proveïdor de serveis en fa.
7. Xifrar la informació confidencial. Si s'utilitza el núvol per guardar documents personals, com informació confidencial o fotos, a més de fer còpies de seguretat, convé xifrar aquesta informació sempre que sigui possible i compartir-la amb cautela, recomana Helena Rifà.
8. Conèixer les polítiques de seguretat de l'empresa i del núvol per evitar ser víctimes d'atacs d'enginyeria social. Segons explica la professora de la UOC, si l'usuari coneix les polítiques de seguretat de l'empresa i del núvol, s'assegura que no li demanaran mai la contrasenya per telèfon o per missatgeria, tal com tampoc no ha de donar informació confidencial a través d'enllaços inclosos en correus electrònics. A més, és bona idea aprendre a identificar les pàgines web i els correus electrònics sospitosos.
9. Com menys aplicacions, més seguretat. Com indica César Córcoles, en general cada aplicació que es fa servir s'ha de considerar com un potencial risc de seguretat. Això significa que com menys aplicacions instal·lades, menys forats de seguretat potencials hi haurà. "Aquest criteri es pot aplicar tant al nostre ordinador com al mòbil o a la tauleta que pot accedir als nostres documents. I si emprem un paquet ofimàtic en línia, a les extensions o als connectors que podem instal·lar-hi", explica. Per això convé no instal·lar aplicacions si no es necessiten, revisar quins permisos tenen aquestes aplicacions per accedir i fins i tot modificar els nostres arxius i dedicar temps de tant en tant a revisar què es té instal·lat i fer neteja de tot allò que ja no es faci servir o no es necessiti.
10. Desconfiar d'aplicacions que prometin incrementar la seguretat i no provinguin directament de l'empresa que es té contractada. "En general, a aquestes aplicacions els donem molts permisos per operar i, per tant, també són potencialment molt perilloses", recorda el professor de la UOC.