La tribuna
La ciberseguretat no és només una qüestió de més pressupost
Estar alerta i preparat és la primera premissa per poder afrontar qualsevol risc
Estar alerta i preparat és la primera premissa per poder afrontar qualsevol risc sigui quina sigui la seva naturalesa. És cert que al món empresarial tenen lloc esdeveniments difícilment previsibles, però són pocs. I el risc de ser víctima d’un delicte cibernètic, és clar, no és un d’ells.
De fet, una visita ràpida a la pàgina web de la Interpol, l’Organització Internacional de Policia Criminal, ja posa en preavís en dedicar tot un apartat a la ciberdelinqüència, en què indica textualment: “La ciberdelinqüència creix a un ritme molt accelerat, amb noves tendències emergint contínuament. Els ciberdelinqüents s’estan tornant més àgils, exploten les noves tecnologies a una velocitat vertiginosa, adapten els seus atacs utilitzant nous mètodes i cooperen entre si de manera mai vista fins ara. Les xarxes delictives operen a escala planetària i coordinen atacs complexos contra els seus objectius en qüestió de minuts.”
Per donar una dada, el 95% de les empreses espanyoles van patir l’any 2021 un ciberincident amb conseqüències significatives per a la seva organització, segons l’estudi elaborat per Deloitte L’estat de la ciberseguretat, en l’elaboració del qual he estat directament implicat. I el meu coneixement del mercat andorrà em fa concloure que Andorra no és, malauradament, un cas a part.
La ciberdelinqüència ha trobat en els ciberatacs una font d’ingressos amb molts avantatges: suposa sovint l’obtenció de diners de manera gairebé immediata; comporta un grau d’impunitat considerable tenint en compte que, en alguns casos, els mitjans dels quals disposen les forces de seguretat dels estats són reduïts, cosa que augmenta la dificultat per aturar els atacants; i el mercat potencial per a l’atacant és global –els atacs ja es poden realitzar a distància– i creixent –la digitalització de les empreses i la societat en general només augmenta la superfície exposada a ser atacada i, per tant, facilita les possibles vulnerabilitats a explotar en totes les tecnologies presents i futures, perquè no podem oblidar que la majoria de les tecnologies disruptives són presents a tots dos bàndols: al dels defensors i al dels atacants.
Però això no és tot. Mentre que els que ataquen només han d’aconseguir tenir èxit una vegada per assolir la seva fita, els que es defensen només han de cometre un error per patir un incident. Hi ha una asimetria de probabilitat estadística que juga a favor dels ciberatacants.
Davant d’aquest panorama tan complex, què cal fer com a empresa? No hi ha una solució única per a totes les companyies, però sí que hi ha vies comunes de treball.
Per una banda, la ciberseguretat ha de ser una prioritat per a les empreses. Una dada encoratjadora és que cada vegada més CISO (màxim responsable de seguretat a la companyia) reporten directament als seus CEO.
A més, és clau construir una relació cibersegura amb els nostres empleats –des de les capes més operatives fins a l’alta direcció–, clients i proveïdors, cosa que aplica a totes i cadascuna de les nostres empreses. Hi ha iniciatives com la conscienciació i formació a empleats, per exemple, que suposen un baix cost i un augment considerable de la capacitat de prevenció davant d’atacs.
També és molt recomanable analitzar quins són els actius i aplicatius més crítics i que fan que el negoci funcioni per prioritzar-ne la securització i intentar prevenir qualsevol esdeveniment disruptiu que suposi la interrupció d’aquestes aplicacions.
Addicionalment, com en molts àmbits empresarials, és important tenir en compte l’àmbit de la ciberseguretat en l’assignació dels pressupostos. Sobre això moltes empreses coincideixen que, després del confinament i les iniciatives de teletreball, han augmentat considerablement la dotació de pressupost a ciberseguretat perquè el perímetre a protegir ha augmentat. L’anàlisi dels actius i aplicatius ajudarà a prioritzar les inversions si fos necessari.
Pel que fa a la inversió en ciberseguretat, per minimitzar possibles riscos i evitar l’esforç de mitigar a posteriori, que sol ser més costós, un aspecte molt a tenir present és que la ciberseguretat ha de ser concebuda a l’inici del cicle de disseny de qualsevol nou negoci i ha de ser considerada en les primeres fases d’adquisició i desenvolupament de tecnologia.
Moltes organitzacions són al camí correcte en termes de ciberseguretat. Però l’acceleració de la digitalització, juntament amb la monetització dels ciberatacs, està generant una sofisticació de les organitzacions criminals que constreny la resta de la societat a accelerar les seves estratègies de ciberseguretat.
* Xavier Gracia, Soci de Risk Advisory, especialitzat en ciberseguretat, de Deloitte