La tribuna
Ciberseguretat: l'assignatura pendent
Sens dubte, és un component clau en la transformació digital
Sens dubte, la ciberseguretat és un component clau en la transformació digital. Els nadius digitals han trencat totes les barreres que existien en la forma de relacionar-nos en el món físic i el digital. La tecnologia ha avançat més ràpid que els hàbits / costums socials i culturals. Es poden provocar danys en el món físic mitjançant un simple script (codi maliciós), aconseguint hackejar les càmeres de casa teva, l’aspirador intel·ligent, el teu cotxe, un hospital o fins i tot una estació elèctrica o central nuclear.
Això comporta la necessitat de reeducar-nos en aquest nou entorn com a societat i, com no, la ciberseguretat és un dels grans reptes per construir relacions segures. Una dada: la majoria d’empreses ha patit durant l’últim any un ciberincident amb conseqüències rellevants per a la seva organització. Concretament el 95%, segons l’estudi realitzat per l’equip de Cyber Strategy de Deloitte L’Estat de la Ciberseguretat a Espanya.
La dada no sorprèn si tenim en compte que els ciberatacs són generalment realitzats, en l’actualitat, per organitzacions cibercriminals completament professionalitzades i industrialitzades, la majoria amb estructures organitzatives de centenars d’individus que treballen de manera estructurada i amb rols específics com en qualsevol companyia. El negoci del cibercrim s’ha tornat un dels negocis més lucratius, còmodes i senzills de realitzar. Els cibercriminals només han d’aconseguir tenir èxit un sol cop per assolir el seu objectiu. Les companyies només han de fallar una sola vegada per patir un ciberincident.
La preocupació ja es reflecteix en les companyies. Cada cop més, els CISO (màxim responsable de seguretat a la companyia) reporten directament al CEO (executiu de major rang a l’empresa), i els riscos cibernètics estan en l’agenda del comitè de direcció i del consell.
Una de les seves majors preocupacions és la interrupció de les operacions del negoci, fet que no sorprèn si tenim en compte l’onada de ransomware de doble extorsió que ha castigat els Estats Units i Europa l’any 2020.
I, ara, amb les xarxes 5G veurem amenaces molt més potents, sofisticades i de major magnitud al que hem vist fins al moment, sense tenir prou preparades les nostres solucions de seguretat. Aquestes xarxes cada vegada dependran més del software, que té multitud d’errors i vulnerabilitats i seguim amb metodologies de desenvolupament tradicional en moltes empreses. Hem de treballar per fer un software amb cada vegada menys errors i amb metodologies més adequades a la rapidesa que exigeix el 5G. Incorporarem de cop molts nous elements (dispositius mòbils, dispositius IoT) a les xarxes i amb major densitat de connexions (més trànsit i més connexions entre els dispositius).
S’ha fet molt d’èmfasi en la seguretat inherent a les xarxes per part dels proveïdors d’aquestes. Però segueixen existint punts que no depenen tant d’ells, sinó de la resta d’empreses que seran els principals usuaris del 5G, i que encara no saben avaluar correctament els riscos de ciberseguretat als quals s’enfrontaran (atacs de denegació de serveis de major magnitud que mai, campanyes d’e-mails massius que superen amb escreix el vist fins ara, etcètera). Però es pot estar preparat, si aprenem a valorar els riscos correctament tal com recomana la Comissió Europea i a ser més proactius en l’autoavaluació dels nostres nivells de maduresa i en la correcció inicial de qualsevol error o desviació.
Un aspecte clau és dotar d’un pressupost raonable l’àrea de ciberseguretat. L’estudi reflecteix que aquelles empreses que van destinar menys d’un 3% del seu pressupost d’IT / OT van patir una mitjana de dos ciberincidents crítics l’any, mentre que les que hi van dedicar una mica més, entre un 3% i un 5%, van aconseguir baixar el nombre d’incidents a 0,86 l’any. Aquest any la inversió mitjana destinada a ciberseguretat, segons els enquestats, és d’un 9,33% del pressupost d’IT / OT, davant el 8,5% de l’any passat.
Una altra tasca pendent en moltes organitzacions és abordar la ciberseguretat des de l’inici del cicle de disseny de qualsevol nou negoci i ha de ser considerada en les fases primerenques d’adquisició i desenvolupament de tecnologia, per tal de minimitzar possibles riscos i evitar l’esforç de mitigar a posteriori, que sol ser més costós.
Hem de ser conscients que el nivell de sofisticació dels cibercriminals i els seus atacs és cada vegada més gran i les seves tècniques són més depurades. Si a això hi afegim l’acceleració de la digitalització d’empreses i institucions, es dibuixa la tempesta perfecta perquè els ciberatacs tinguin cada cop més èxit i siguin més nombrosos. Hem d’accelerar i posar focus a desplegar les diferents estratègies en protecció, vigilància i resiliència en les nostres organitzacions.
* Xavier Gràcia, Soci de Risk Advisory de Deloitte