La migracio al cloud ja no es una tendencia: es una realitat per a la immensa majoria de PIMEs espanyoles. Segons dades de l’INE del 2025, mes del 55% de les empreses d’entre 10 i 49 empleats utilitzen almenys un servei al nuvol, ja sigui correu electronic, emmagatzematge de fitxers, programari de gestio o facturacio electronica. Tanmateix, l’adopcio del cloud no sempre va acompanyada de les mesures de seguretat adequades.
L’error mes habitual es pensar que “si esta al nuvol, ja esta segur”. Els proveidors com Google, Microsoft o Amazon garanteixen la seguretat de la seva infraestructura, pero la responsabilitat de configurar correctament els accessos, protegir els comptes i gestionar les dades es teva. Aquest model es coneix com a responsabilitat compartida i entendre’l es fonamental per evitar incidents.
El model de responsabilitat compartida
Quan contractes un servei cloud, la seguretat es reparteix entre el proveidor i la teva empresa. El proveidor s’encarrega de la seguretat de la nuvol (centres de dades, xarxes, maquinari, hipervisors), mentre que tu ets responsable de la seguretat a la nuvol (dades, accessos, configuracio, identitats).
| Responsabilitat | Proveidor cloud | La teva empresa |
|---|---|---|
| Seguretat fisica del centre de dades | Si | No |
| Manteniment de la infraestructura | Si | No |
| Configuracio d’accessos i permisos | No | Si |
| Proteccio de dades emmagatzemades | Parcial | Si |
| Gestio d’identitats i contrasenyes | No | Si |
| Copies de seguretat de les teves dades | No (excepte contracte) | Si |
| Compliment normatiu (RGPD) | Parcial | Si |
Aixo significa que si un empleat te una contrasenya feble i un atacant accedeix al teu Google Drive o OneDrive empresarial, el proveidor cloud no n’es responsable. La proteccio de les credencials i la configuracio dels permisos es tasca teva.
Principals riscos del cloud per a PIMEs
1. Comptes compromesos per credencials febles
Es el risc numero u. Un atacant que obte les credencials d’un empleat (per phishing, per reutilitzacio de contrasenyes o per forca bruta) te acces a tot el que aquell compte pot veure: correus, documents, contactes, calendaris i en molts casos dades financeres.
La solucio mes eficac es l’autenticacio multifactor (MFA). Amb MFA activat, fins i tot si l’atacant obte la contrasenya, necessita un segon factor (codi del mobil, clau hardware) per accedir. Google informa que el MFA bloqueja el 99,9% dels atacs automatitzats a comptes.
2. Configuracio per defecte insegura
Molts serveis cloud venen amb configuracions permissives per defecte per facilitar l’adopcio. Per exemple:
- Google Drive: els enllacos compartits poden estar configurats com “qualsevol persona amb l’enllas pot veure”, exposant documents sensibles.
- Microsoft 365: els grups de Teams poden permetre que convidats externs accedeixin a fitxers interns.
- AWS S3: els buckets d’emmagatzematge mal configurats son una de les causes mes frequents de filtracions de dades a nivell mundial.
3. Shadow IT: serveis cloud no autoritzats
Els empleats sovint utilitzen serveis cloud personals (Dropbox personal, WeTransfer, Google Drive personal) per enviar o emmagatzemar fitxers de treball. Aixo crea punts cecs de seguretat que l’empresa no pot controlar ni auditar. Segons Gartner, el 30-40% de la despesa en IT d’una empresa correspon a shadow IT.
4. Perdua de dades sense backup independent
Moltes PIMEs assumeixen que les seves dades al nuvol estan respatllades automaticament. La realitat es que la majoria de proveidors cloud ofereixen redundancia (proteccio contra fallades de maquinari) pero no backup en el sentit tradicional. Si un empleat esborra fitxers accidentalment, o si un ransomware xifra les dades sincronitzades, la paperera de reciclatge del proveidor te un periode limitat (30 dies a Google Workspace, 93 dies a OneDrive).
5. Incompliment del RGPD
En emmagatzemar dades personals de clients o empleats al nuvol, has d’assegurar-te que el proveidor compleix el RGPD i que les dades no es transfereixen fora de l’Espai Economic Europeu sense les garanties adequades. Des de la invalidacio del Privacy Shield el 2020 (cas Schrems II), la transferencia de dades als EUA requereix mecanismes especifics com les Clausules Contractuals Tipus (SCCs) o el nou Data Privacy Framework.
Guia de configuracio segura per servei
Google Workspace (antic G Suite)
Google Workspace es una de les plataformes mes usades per PIMEs espanyoles. Aquestes son les configuracions de seguretat essencials:
Tauler d’administracio (admin.google.com):
Verificacio en dos passos obligatoria: Ves a Seguretat > Verificacio en dos passos > Activar per a tota l’organitzacio. Estableix un termini de 7 dies perque tots els usuaris la configurin.
Politiques de contrasenya: Seguretat > Configuracio de contrasenya. Estableix longitud minima de 12 caracters i bloqueja contrasenyes compromeses conegudes.
Control d’aplicacions de tercers: Seguretat > Controls d’API > Gestionar l’acces d’aplicacions de tercers. Revisa i bloqueja aplicacions que no siguin necessaries per al negoci.
Alertes de seguretat: Configura alertes per a inicis de sessio sospitosos, canvis de contrasenya d’administrador i concessio de permisos a aplicacions externes.
Regles de comparticio de Drive: Apps > Google Drive > Configuracio de comparticio. Limita la comparticio externa a dominis autoritzats i desactiva l’opcio de compartir amb “qualsevol persona amb l’enllas” per a fitxers sensibles.
Microsoft 365
Centre d’administracio (admin.microsoft.com):
MFA obligatori: Azure Active Directory > Seguretat > Valors predeterminats de seguretat. Activa els Security Defaults, que forcen el MFA per a tots els usuaris sense cost addicional.
Politiques d’acces condicional: Si tens llicencia Business Premium o superior, configura politiques que bloquegin l’acces des d’ubicacions geografiques inusuals o dispositius no gestionats.
Proteccio anti-phishing: Seguretat > Anti-phishing > Configura politiques que detectin suplantacio d’identitat del domini corporatiu.
Retencio de dades: Centre de compliment > Retencio. Configura politiques de retencio per a correus i fitxers segons les teves necessitats legals.
Etiquetes de confidencialitat: Classifica els documents per nivell de sensibilitat (public, intern, confidencial) per controlar automaticament qui pot accedir-hi.
Amazon Web Services (AWS) per a PIMEs
Si la teva PIME usa AWS per allotjar una web, una aplicacio o emmagatzemar dades, aquestes son les configuracions prioritaries:
No facis servir el compte root: Crea usuaris IAM individuals amb els permisos minims necessaris (principi de minim privilegi).
Activa CloudTrail: Registra totes les accions realitzades al teu compte AWS per a auditoria i deteccio d’activitat sospitosa.
Revisa els buckets S3: Fes servir el tauler de S3 per verificar que cap bucket es public. AWS ofereix l’opcio “Block Public Access” a nivell de compte.
Configura alertes de facturacio: Un atacant que compromet el teu compte AWS pot llancar instancies d’alt cost. Configura alertes a CloudWatch per detectar despeses anomales.
Usa AWS Organizations: Si tens diversos projectes, separa’ls en comptes diferents per limitar l’impacte d’una bretxa.
Backup independent del cloud
No confiis unicament en la paperera de reciclatge del proveidor. Implementa un backup independent:
| Servei cloud | Solucio de backup recomanada | Cost aproximat |
|---|---|---|
| Google Workspace | Backupify, SpinBackup, AFI Backup | 3-5 EUR/usuari/mes |
| Microsoft 365 | Veeam for M365, Acronis, Backupify | 2-4 EUR/usuari/mes |
| AWS S3 | AWS Backup, copies a un altre bucket/regio | Variable segons volum |
| Fitxers en general | Duplicati (gratuit, open source) + emmagatzematge extern | Gratuit + cost emmagatzematge |
La regla d’or: les teves dades cloud han de tenir almenys una copia fora del proveidor principal, en un servei o suport diferent.
Checklist de seguretat cloud per a PIMEs
Fes servir aquesta llista per verificar l’estat de seguretat dels teus serveis cloud:
- MFA activat per a tots els usuaris, sense excepcions
- Contrasenyes de minim 12 caracters, uniques per servei
- Revisio de permisos de comparticio de fitxers (sense enllacos publics innecessaris)
- Usuaris d’ex-empleats eliminats o desactivats
- Aplicacions de tercers revisades i les innecessaries bloquejades
- Backup independent configurat i provat
- Alertes de seguretat activades (inicis de sessio, canvis de permisos)
- Politica d’us acceptable comunicada als empleats (quins serveis cloud poden usar)
- Verificacio de compliment RGPD del proveidor (DPA signat)
- Registres d’auditoria activats i revisats periodicament
Quant invertir en seguretat cloud
Per a una PIME de 10 empleats amb Google Workspace o Microsoft 365, el cost d’assegurar correctament l’entorn cloud pot desglossar-se aixi:
| Mesura | Cost |
|---|---|
| MFA (inclos a la llicencia) | 0 EUR |
| Gestor de contrasenyes (Bitwarden Teams) | 30 EUR/mes |
| Backup cloud independent | 30-50 EUR/mes |
| Formacio anual en seguretat cloud | 200-500 EUR (puntual) |
| Total anual aproximat | 920-1.460 EUR/any |
Comparat amb el cost mitja d’una bretxa de dades per a una PIME (35.000-75.000 EUR segons Hiscox), la inversio es minima.
Conclusio
El nuvol no es intrinsecament insegur, pero tampoc es automaticament segur. La responsabilitat de protegir les teves dades, identitats i configuracions recau en la teva empresa, no en el proveidor. Les mesures descrites en aquest article no requereixen coneixements tecnics avancats i poden implementar-se en pocs dies.
El primer pas es activar l’autenticacio multifactor en tots els serveis cloud. Es la mesura amb major impacte i menor cost. A partir d’aqui, revisa les configuracions de comparticio, implementa un backup independent i forma els teus empleats.
Aquest article es de caracter educatiu i no constitueix un servei professional de ciberseguretat. Consulteu un especialista certificat per a solucions especifiques a la vostra empresa.
