Auditoria Exprés de Ciberseguretat — 10 preguntes clau + puntuació semàfor de risc + recomanacions per a la teva PIME. PDF de 2 pàgines.
Descarregar gratis →Com saps si la teva empresa esta realment protegida? La majoria de PIMEs implementen mesures de seguretat de manera reactiva (despres d’un incident o quan algu ho suggereix) pero mai fan una revisio sistematica de la seva postura de seguretat. Una auditoria de ciberseguretat interna es l’exercici que et permet identificar on ets, on hauries de ser i que has de fer per arribar-hi.
No cal contractar una empresa externa per fer una primera avaluacio. Amb les eines i metodologies adequades, qualsevol responsable d’una PIME pot fer una auditoria basica que identifiqui les vulnerabilitats mes critiques. Aquest article t’explica com fer-ho pas a pas.
Que es una auditoria de ciberseguretat
Una auditoria de ciberseguretat es una revisio sistematica i documentada de les mesures de proteccio d’una empresa. L’objectiu no es trobar-ho tot perfecte, sino identificar les febleses per poder corregir-les per ordre de prioritat.
Hi ha dos tipus principals:
- Auditoria externa: Realitzada per una empresa especialitzada. Costa entre 3.000 i 15.000 EUR per a una PIME. Recomendable anualment si el pressupost ho permet.
- Auditoria interna: Realitzada pel propi personal de l’empresa amb eines i metodologies estandard. Es la que explicarem en detall.
Les 8 arees d’una auditoria interna
1. Inventari d’actius
No pots protegir el que no saps que tens. El primer pas es fer un inventari complet:
Maquinari:
- Ordinadors (sobretaula i portatils): marca, model, sistema operatiu, ubicacio.
- Servidors (fisics o cloud): sistema operatiu, serveis que executen.
- Dispositius mobils: mobils i tablets que accedeixen a dades corporatives.
- Equipament de xarxa: routers, switchos, punts d’acces WiFi, firewalls.
- Impressores i multifunció: sovint oblidades, pero connectades a la xarxa.
- Dispositius IoT: cameras de seguretat, sensors, termostats intel.ligents.
Programari:
- Sistemes operatius i versions.
- Software de gestio (ERP, CRM, TPV, facturacio).
- Eines de comunicacio (correu, missatgeria, videoconferencia).
- Serveis cloud contractats.
- Llicencies i dates de caducitat.
Dades:
- On s’emmagatzemen les dades critiques del negoci (factures, clients, comptabilitat).
- Quines dades personals tracteu (empleats, clients, proveidors).
- On estan les copies de seguretat.
2. Gestio d’accessos i identitats
Revisa qui te acces a que:
| Element a revisar | Que comprovar | Risc si falla |
|---|---|---|
| Comptes d’usuari | Hi ha comptes d’ex-empleats actius? | Acces no autoritzat |
| Contrasenyes | Es compleix la politica de contrasenyes? | Acces per forca bruta |
| MFA | Esta activat en tots els serveis critics? | Phishing exitós |
| Permisos | Cada persona te nomes els permisos que necessita? | Escalada de privilegis |
| Comptes compartits | Hi ha comptes generics (admin, info@)? | Impossibilitat de tracar accions |
| Comptes d’administrador | Quantes persones tenen acces admin? | Superficie d’atac ampliada |
Eina gratuita: Fes servir l’informe de seguretat de Google Workspace (admin.google.com > Seguretat > Informe de seguretat) o el Microsoft Secure Score (security.microsoft.com) per obtenir una puntuacio automatitzada.
3. Actualitzacions i pegats
Revisa l’estat d’actualitzacio de tots els sistemes:
- Sistemes operatius: Tots els ordinadors i servidors tenen les ultimes actualitzacions?
- Navegadors web: Chrome, Firefox, Edge actualitzats?
- Software de gestio: L’ERP, CRM o TPV esta a la darrera versio?
- Firmware de xarxa: El router i els punts d’acces WiFi tenen el firmware actualitzat?
- Plugins i extensions: WordPress, WooCommerce, Joomla actualitzats?
Eines gratuites per escanejar vulnerabilitats:
| Eina | Que fa | Preu |
|---|---|---|
| Nmap | Escaneig de ports i serveis a la xarxa | Gratuit (open source) |
| OpenVAS (Greenbone) | Escaner de vulnerabilitats complet | Gratuit (Community Edition) |
| Qualys SSL Labs | Analitza la configuracio SSL/TLS de la teva web | Gratuit (online) |
| Shodan | Busca els teus dispositius exposats a Internet | Gratuit (basic) |
| Windows Update Compliance | Informe d’actualitzacions de Windows | Gratuit (integrat) |
4. Seguretat de la xarxa
Comprova la configuracio de la xarxa:
- Router: La contrasenya per defecte s’ha canviat? El firmware esta actualitzat? L’administracio remota esta desactivada?
- WiFi: S’utilitza WPA3 o WPA2-AES (mai WEP o WPA)? La contrasenya es forta? Hi ha una xarxa de convidats separada?
- Firewall: Hi ha un firewall configurat al router? Les regles son restrictives (deny by default)?
- Segmentacio: La xarxa esta segmentada (separar dispositius IoT, convidats, treballadors)?
- DNS: S’utilitza un DNS segur (Cloudflare 1.1.1.2, Quad9 9.9.9.9) que bloquegi dominis maliciosos?
5. Proteccio de dades i backup
Verifica les copies de seguretat:
- Frequencia: Es fan copies diaries de les dades critiques?
- Regla 3-2-1: Hi ha 3 copies, en 2 suports diferents, 1 fora de les instal.lacions?
- Prova de restauracio: Has provat restaurar una copia recentment? (El 34% de les empreses mai ho fan, segons Veeam.)
- Xifrat: Les copies de seguretat estan xifrades?
- Retencio: Quant de temps es conserven les copies? (Minim 30 dies recomanat.)
- Automatitzacio: Les copies son automatiques o depenen d’una persona?
6. Proteccio del correu electronic
El correu es el vector d’atac numero u. Revisa:
- SPF, DKIM i DMARC: Estan configurats al teu domini? Verifica amb mxtoolbox.com.
- Filtrat anti-spam: El proveidor de correu filtra correus maliciosos?
- Llista de remitents bloquejats: Es manté actualitzada?
- Formacio: Els empleats saben identificar phishing?
7. Seguretat fisica
Sovint oblidada pero important:
- Acces a les oficines: Qui pot accedir fisicament als servidors i ordinadors?
- Pantalles: Els ordinadors es bloquegen automaticament despres de 5 minuts d’inactivitat?
- Documents: Hi ha documents confidencials sobre les taules o a les impressores?
- USBs: Qualsevol persona pot connectar un USB als ordinadors?
- Destruccio de documents: Hi ha trituradora per a documents confidencials?
8. Compliment normatiu
Verifica el compliment legal:
- RGPD: Tens un Registre d’Activitats de Tractament (RAT)? Hi ha un Delegat de Proteccio de Dades si es necessari?
- Politica de privacitat: Esta actualitzada i es accessible?
- Contractes d’encarregat de tractament: Estan signats amb tots els proveidors que tracten dades personals?
- NIS2: Si la teva empresa esta en un sector afectat, compleix els requisits?
- ENS: Si treballes amb l’Administracio Publica, tens el nivell de compliment adequat?
Plantilla d’informe d’auditoria
Un cop feta la revisio, documenta els resultats amb aquesta estructura:
1. Resum executiu
Estat general de la seguretat en una frase i les 3-5 accions prioritaries.
2. Puntuacio per area (1-5)
| Area | Puntuacio | Comentari |
|---|---|---|
| Inventari d’actius | ?/5 | |
| Gestio d’accessos | ?/5 | |
| Actualitzacions | ?/5 | |
| Seguretat de xarxa | ?/5 | |
| Backup | ?/5 | |
| Correu electronic | ?/5 | |
| Seguretat fisica | ?/5 | |
| Compliment normatiu | ?/5 | |
| Mitjana | ?/5 |
3. Trobades per prioritat
Classifica cada problema trobat per nivell de risc:
- Critic (actuar immediatament): Vulnerabilitats explotables, comptes sense MFA, backups inexistents.
- Alt (actuar en 30 dies): Sistemes desactualitzats, permisos excessius, WiFi amb WPA.
- Mitja (actuar en 90 dies): Politiques no documentades, formacio pendent, segmentacio de xarxa.
- Baix (planificar): Millores opcionals, optimitzacions, eines addicionals.
4. Pla d’accio
Per a cada trobada, documenta:
- Descripcio del problema.
- Risc associat.
- Accio corrective.
- Responsable.
- Data limit.
- Cost estimat.
Frequencia recomanada
| Tipus d’auditoria | Frequencia | Qui la fa |
|---|---|---|
| Auditoria interna basica | Trimestral | Responsable intern de seguretat |
| Escaneig de vulnerabilitats | Mensual | Automatitzat (OpenVAS, Nmap) |
| Revisio d’accessos | Mensual | Responsable intern |
| Prova de restauracio de backup | Trimestral | Responsable intern |
| Auditoria externa professional | Anual | Empresa especialitzada |
Conclusio
Una auditoria de ciberseguretat interna no es un exercici perfecte, pero es infinitament millor que no fer-ne cap. La majoria de PIMEs que pateixen un incident greu tenien vulnerabilitats que una revisio basica hauria identificat.
Dedica un dia cada tres mesos a passar la llista de verificacio d’aquest article. Documenta els resultats, prioritza les correccions i assegura’t que els problemes critics es resolen immediatament. Amb el temps, la teva puntuacio anira millorant i la teva empresa sera un objectiu molt menys atractiu per als atacants.
Aquest article es de caracter educatiu i no constitueix un servei professional de ciberseguretat. Consulteu un especialista certificat per a solucions especifiques a la vostra empresa.
AUDITORIA GRATUITA
Auditoria Exprés de Ciberseguretat per a PIMEs
10 preguntes clau per avaluar el nivell de protecció de la teva empresa + puntuació amb semàfor de risc + recomanacions. PDF de 2 pàgines, gratis.
Descarregar l'auditoria gratuita →
