La creixent presència de la tecnologia en el nostre entorn és un fet indiscutible, tant en el sector públic, privat, com a nivell particular. Tot està cada vegada més connectat. El que obri oportunitats de creixement també dóna pas a navegar en els sistemes informàtics d’una entitat. Hui dia, la seguretat informàtica s’ha convertit en una de les principals preocupacions de les empreses. Cada deu segons un ciberdelinqüent tracta d’accedir als sistemes informàtics d’una empresa.
Parlem sobre ciberseguretat amb els directors del títol d’Expert Universitari en Ciberseguretat Empresarial de la Universitat de València, els professors de la Facultat d’Economia, Cristina Aybar i Virgili Pérez. «Aquests atacs creixen a un ritme del 350% cada any i el 70% del valor d’una empresa pot ser afectat després d’un atac informàtic. Per això, la ciberseguretat és ara més important que mai».
La pandèmia ens ha canviat en tots els sentits. En sentit laboral, hem hagut d’adaptar els nostres llocs de treball presencials a llocs de teletreball. Què ha suposat aquest fet durant 2020 en ciberatacs a les empreses?
En l’últim any s’ha produït un perillós augment d’organitzacions i empreses que han patit atacs de malware. El confinament degut al coronavirus ha provocat que moltes empreses hagen apostat pel teletreball per a protegir la salut dels seus treballadors. I els cibercriminals s’han adaptat: han passat de buscar maneres d’envair servidors corporatius a endinsar-se en els ordinadors dels empleats, moltes vegades personals i, per tant, menys segurs. A més, quan els treballadors es troben a casa tendeixen a consultar menys a l’equip tècnic informàtic. Com a resultat, prenen decisions en ocasions perilloses, com respondre a e-mails que en realitat són falsos i que tenen com a objectiu robar informació privada (phishing), o instal·lar programes que prometen agilitar el treball, però que en realitat oculten malware.
S’ha notat un augment de ciberatacs?
La recent Anàlisi de la Seguretat del Núvol 2021, de la companyia de ciberseguretat Wandera, conclou que en 2020 un 52% de les organitzacions s’han enfrontat almenys a un incident de malware a través d’un dispositiu remot. En comparació, en 2019 era un 37% d’organitzacions afectades, la qual cosa suposa un notable augment de ciberatacs durant l’últim any.
Amb la publicació del Reial Decret 43/2021, de 26 de gener, pel qual es desenvolupa el Reial Decret llei 12/2018, de 7 de setembre, de seguretat de les xarxes i sistemes d’informació, les empreses espanyoles estan obligades a designar un CISO (responsable de la seguretat de la informació)
Les empreses, demanden cada vegada més un perfil d’experts en ciberseguretat?
En els últims anys, els robatoris de diners i informació empresarial s’han traslladat al món en línia, la qual cosa implica que cada vegada hi haja més interés entre les empreses pels perfils especialitzats en ciberseguretat. Però, no sols això. Amb la publicació del Reial Decret 43/2021, de 26 de gener, pel qual es desenvolupa el Reial Decret llei 12/2018, de 7 de setembre, de seguretat de les xarxes i sistemes d’informació, les empreses espanyoles estan obligades a designar un CISO (responsable de la seguretat de la informació) en el termini de tres mesos des de l’entrada en vigor d’aquesta norma. Així la ciberseguretat s’està convertint en un dels principals eixos de l’estratègia corporativa.
El sector empresarial espanyol està en procés de prendre consciència de la necessitat d’establir un pla de cultura, capacitació i conscienciació en ciberseguretat, però encara queda molta faena per fer.
Consideren que, cada vegada més, les empreses paren atenció a la importància de comptar amb professionals en ciberseguretat que dificulten aqueixos atacs a l’entitat?
Segons un recent estudi de la consultora PwC (reconeguda com una de les signatures de consultoria de les Big Four), el nivell de cultura de ciberseguretat en les companyies a Espanya és de 2,8 punts sobre 5, el pressupost mitjà destinat a conscienciar i formar en ciberseguretat suposa només un 9% del total destinat a seguretat de la informació i solo l’11% de les companyies mesuren la conscienciació dels empleats en aquest àmbit. Això significa que el sector empresarial espanyol està en procés de prendre consciència de la necessitat d’establir un pla de cultura, capacitació i conscienciació en ciberseguretat, però encara queda molta faena per fer.
Els atacs no es poden evitar, però sí que es pot reduir l’impacte ocasionat. Formació, conscienciació i prevenció en matèria de ciberseguretat són algunes de les mesures bàsiques que ha de tindre’s present en qualsevol organització.
Cada deu segons es produeixen delictes informàtics per a intentar accedir als sistemes d’una empresa. Es poden evitar aquests atacs que semblen impensables en entitats grans?
És possible que hagen escoltat alguna vegada una frase que diu “Hi ha dos tipus d’empreses: les que saben que han sigut atacades i les que no”. I no hi ha distinció entre empresa gran o xicoteta, o entre pública o privada. No està en mans de les empreses, per tant, el fet de rebre un ciberatac. Però el que sí que és a les seues mans és quant de difícil se li poden posar les coses als atacants. Segons Ruth Sala, advocada penalista en delictes informàtics, s’estima que la formació en ciberseguretat, que deriva en prevenció i conscienciació, redueix en un 50% els atacs provocats mitjançant les tècniques d’Enginyeria Social, utilitzades habitualment pels ciberdelinqüents, i que consisteixen a guanyar-se la confiança de l’usuari i aconseguir així que faça alguna cosa sota la seua manipulació i engany.
Un atac com el que ha patit el SEPE al març de 2021, es podria haver evitat?
Lamentablement els atacs no es poden evitar, però sí que es pot reduir l’impacte ocasionat. Formació, conscienciació i prevenció en matèria de ciberseguretat, així com disposar dels sistemes informàtics adequats, són algunes de les mesures bàsiques que ha de tindre’s present en qualsevol organització.
