El tancament d’any és un dels moments més crítics per a qualsevol empresa. A més de balanços, pressupostos i planificació, és imprescindible revisar l’estat de la ciberseguretat.

Durant aquestes dates augmenta l’activitat delictiva digital, especialment després de campanyes intenses com el Black Friday, per la qual cosa garantir un bon nivell de protecció ajuda a començar el nou any sense riscos acumulats.

Per facilitar aquest procés, et presentem una llista de comprovació completa amb els 10 punts clau que tota pime hauria d’avaluar abans de menjar-se el raïm.

1. Auditoria general d’accessos i permisos

Al llarg de l’any entren i surten empleats, proveïdors i col·laboradors. Això genera permisos que moltes vegades queden actius sense necessitat, creant bretxes de seguretat.

Checklist essencial:

  • Revisar usuaris actius en totes les plataformes (correu, CRM, ERP).
  • Eliminar accessos de personal que ja no treballa amb l’empresa.
  • Actualitzar permisos segons el rol actual de cada empleat (principi de mínim privilegi).
  • Habilitar autenticació multifactor (MFA) en tots els serveis crítics.

2. Revisió de contrasenyes i polítiques internes

Les contrasenyes es filtren, es repeteixen o es reutilitzen més del que sembla. Amenaces com els infostealers s’alimenten d’aquesta debilitat.

Què revisar:

  • Exigir contrasenyes úniques i robustes a tot l’equip.
  • Implementar un gestor de contrasenyes corporatiu per evitar pòstits i Excels.
  • Forçar el canvi de credencials en àrees crítiques (finances, RH, direcció).
  • Comprovar si emails corporatius han aparegut en filtracions recents (Dark Web Monitoring).

3. Avaluació de l’estat dels sistemes i actualitzacions

El programari desactualitzat és un dels principals vectors d’atac que aprofiten els ciberdelinqüents.

Accions clau:

  • Actualitzar sistemes operatius, aplicacions, plugins i navegadors.
  • Revisar versions de CMS (WordPress, PrestaShop, etc.) i els seus complements.
  • Comprovar que l’antivirus, EDR i tallafoc estan actius i actualitzats.
  • Eliminar aplicacions obsoletes o que ja no s’utilitzen per reduir la superfície d’atac.

4. Còpies de seguretat: comprovar, provar i documentar

Tenir una còpia no és suficient: cal tenir la certesa que funciona i es pot restaurar en cas de desastre.

Punts a validar:

  • Verificar que les còpies de seguretat s’estan realitzant automàticament segons el programat.
  • Provar una restauració completa per assegurar la integritat de les dades.
  • Confirmar que existeix una còpia externa o desconnectada (offline o immutable) per protegir-se del ransomware.
  • Documentar on estan emmagatzemats els backups i qui hi té accés.

5. Anàlisi de vulnerabilitats

El final d’any és el moment ideal per escanejar i corregir debilitats tècniques abans que siguin aprofitades.

Recomanacions:

  • Realitzar un escaneig de vulnerabilitats intern i extern.
  • Revisar ports oberts i tancar serveis no necessaris.
  • Avaluar la seguretat de la xarxa WiFi (separar convidats de la xarxa corporativa).
  • Revisar la configuració del núvol: permisos, xifratge i accessos públics.

6. Seguretat en correu i prevenció del phishing

El correu electrònic continua sent la porta d’entrada més habitual per als atacs.

Què verificar:

  • Filtres avançats habilitats (anti-spam, anti-phishing, anti-malware).
  • Bloqueig de fitxers adjunts potencialment perillosos (.exe, .scr, etc.).
  • Registres d’autenticació (SPF, DKIM i DMARC) correctament configurats per evitar la suplantació.
  • Reforçar la formació perquè el personal detecti els enganys nadalencs.

7. Revisió de proveïdors digitals

Moltes empreses depenen de tercers per a hosting, comptabilitat o màrqueting. La seguretat de la teva cadena de subministrament és la teva seguretat.

Checklist recomanat:

  • Comprovar que els proveïdors crítics compleixen estàndards mínims de seguretat.
  • Revisar contractes, clàusules de confidencialitat i dates de renovació.
  • Validar com gestionen els seus propis backups i accessos a les teves dades.
  • Eliminar integracions API que ja no s’utilitzin.

8. Preparació del pla de resposta a incidents

Un bon pla redueix dràsticament l’impacte financer i reputacional de qualsevol atac.

Ha d’incloure:

  • Procediments clars pas a pas davant d’incidents (ransomware, filtració, caiguda de servei).
  • Canals de comunicació interna alternatius.
  • Rols assignats (qui pren les decisions, qui comunica).
  • Contactes d’emergència a mà (suport tècnic, assegurança, equip de ciberseguretat).

9. Formació i conscienciació de l’equip

La majoria de bretxes comencen per un clic o un distracció humana.

Assegura que l’equip sap:

  • Detectar correus i SMS sospitosos.
  • Crear i gestionar contrasenyes segures.
  • Utilitzar les eines corporatives correctament.
  • Protegir dispositius personals si s’utilitza teletreball.

10. Informe final i pla de millora per al 2026

Després de revisar totes les àrees, documentar i planificar és crucial per a la millora contínua. Pots consultar el nostre article sobre tendències per al 2026 per alinear la teva estratègia.

Inclou:

  • Troballes de l’any i incidents resolts.
  • Riscos prioritaris detectats en l’auditoria.
  • Accions correctives a aplicar en el primer trimestre (Q1).
  • Pressupost i inversions recomanades per a l’any vinent.

Conclusió: tancar l’any amb higiene digital

Revisar la ciberseguretat abans del tancament d’any ajuda a reduir riscos, millorar la resiliència i començar el nou cicle amb tranquil·litat. Per a una pime, la prevenció és sempre infinitament més econòmica que la recuperació després d’un incident.

👉 Vols realitzar aquesta auditoria amb ajuda professional? Posa’t en contacte amb nosaltres i deixarem la teva empresa a punt per al 2026.