La ciberseguretat, un pilar per a la continuïtat de negoci

L’Agència de Ciberseguretat de Catalunya detecta any rere any més atacs DDoS, és a dir, de denegació de serveis, principalment a operadors de serveis essencials i d’infraestructures crítiques. És una de les tendències que s’han anat consolidat els darrers temps perquè són “més efectius i més barats” que altres tipus d’atacs virtuals i poden tenir un impacte més gran fins i tot que el ransomware, ja que permet “extorsionar” la víctima.

Així ho ha explicat aquest dilluns el director de la institució, Oriol Torruella, a la jornada ‘Ciberseguretat i Business Continuity’, organitzada per la Comissió de Gestió Empresarial d’Enginyers Industrials de Catalunya on s’ha posat sobre la taula el paper cada vegada més rellevant de la ciberseguretat per a la continuïtat del negoci en situacions crítiques. Torruella ha especificat que els objectius que busquen els ciberdelinqüents tenen capacitat econòmica i per això es dissenyen atacs orientats precisament pagament de recompenses. “Nosaltres recomanem no pagar perquè sinó, s’està convertint un crim en una activitat de negoci estable i constant”, ha manifestat Torruella i ha afegit que la ciberseguretat “ja no és un element tecnològic, és de negoci, i per això té una incidència cada cop més gran pel que fa a la continuïtat”.

La pandèmia, la crisi d’abastiment, la crisi energètica i ara la guerra d’Ucraïna són només alguns exemples de situacions sobrevingudes que han posat en alerta els sectors empresarials i industrials. Torruella però, ha advertit que en vindran més perquè “els conflictes geopolítics també tenen el seu impacte amb els ciberatacs” i augura que el sector alimentari pot ser un dels més afectats perquè s’ha digitalitzat “molt ràpid” i el seu risc “generaria alarma social” així com també creu que s’atacaran les cadenes de subministrament.

estrugaTotes aquestes situacions són “amenaces latents” que s’intenten evitar o salvar amb la mínima afectació en una companyia a través dels Business Continuity Plans, els plans de continuïtat del negoci que cada vegada més incorporen conceptes de ciberseguretat perquè puguin respondre al màxim de situacions possibles afectant el mínim l’activitat de l’empresa. Pel president del Grup de Treball Business Continuity i director tècnic de Maaastricht Engineering Consultants, Miguel Ángel Estruga, molts esdeveniments poden tenir un “efecte dominó” en el sí d’una organització empresarial i per això s’han de dotar les companyies de millors sistemes de seguretat, també ciberseguretat, i incloure’ls dins aquests plans de continuïtat. “El risc zero no existeix, ni la seguretat 100%”.

A la vegada  Estruga ha explicat la sistemàtica per a realitzar  el Pla de Continuïtat  emmarcat en els estàndards ISO27001, IEC-62443 , i ISo22301 en la que les eines BIA (Business Impact Analisis) & Risk Management són claus per arribar a la determinació dels “plans de contingència, plans de recuperació i sistemes de continuïtat”, i ha recalcat finalment  la necessitat de testejar sovint qualsevol pla de continuïtat. “No serveix tenir plans que el dia de l’amenaça no sapiguem per on agafar-los”, ha conclòs.

Bones pràctiques en la resolució d’incidents

Maersk és un grup danès de logística líder que entre 2018 i 2020 ha invertit 200 milions de dòlars per ser una empresa capdavantera, també en ciberseguretat. El Cyber Security Officer a America, Europa i Àfrica de la companyia, Glenn Rittereiser ha explicat durant la jornada que un atac mitjançant un malware Notpetya el 2017  els va infectar 49.000 ordinadors, els va impedir imprimir documents, els va fer inaccessibles 1.200 aplicacions i 1.000 van ser destruïdes i els documents compartits van fer-se inaccessibles. En canvi, no van perdre ni se’ls va destruir cap dada.

Amb aquests resultats, Rittereiser ha destacat la importància de la competència i la humilitat o saber que el secret sempre és temporal entre les lliçons “administrar la reputació”. El CSO de Maersk també ha afegit que una audiència interna per alinear les accions amb els valors de l’empresa és fonamental per a la resiliència humana i que cal, alhora, acceptar que no es pot ni entendre ni controlar tot, per la qual cosa s’hauran d’implantar solucions “maldestres” en alguna ocasió.

A Renfe recullen diàriament 1.800 milions d’incidents de seguretat. A banda de la investigació i la gestió d’aquests tenint en compte la transparència que “per qüestions de responsabilitat” volen aportar, segons el Chief Information Security Officer (CISO) de la companyia, Francisco Lázaro, cal investigar-los i treure’n conclusions. Així ho ha compartit també durant la jornada en la que ha defensat que la ciberseguretat “és part del negoci perquè ajuda a desenvolupar l’activitat i a mantenir les operacions”. Per això, afegeix que no es pot veure la ciberseguretat com un fre, sinó tot el contrari i ha situat la resiliència augmentada com a concepte clau no només per a la continuïtat del negoci sinó per la seva connexió amb l’entorn.

Precisament de resiliència també n’ha parlat Ignasi Fontanals, membre del Grup de Treball que l’ha relacionada amb la resistència i la gestió dels riscos. Per Fontanals, també l’exemple de la pandèmia o d’altres situacions serveixen per explicar que no es pot pensar “aquí no passarà perquè tot és un fenomen global”. Fontanals ha posat d’exemple Canadà i França on moltes empreses veuen que el ciberrisc ja és “sistèmic” i el treballen en la gestió de crisis. En aquest darrer país han elaborat, fins i tot, un “Ciber Score” que dona informació de seguretat al consumidor.

La bretxa de dades, el gran objectiu

L’Agència Espanyola de Protecció de Dades ha registrat 750 notificacions de bretxa de dades personals durant el segon semestre de 2021. Als Països Baixos, 1.000 cada mes. Per això, el cap d’àrea de la Divisió d’Innovació Tecnològica de l’entitat, Daniel Mercader, creu que només s’està veient “la punta de l’iceberg” del fenomen, si es tenen en compte la quantitat d’incidents que es veuen a l’Estat. Mercader ha volgut recalcar que “ni tots els ciberincidents són bretxes de dades ni les bretxes de dades són sempre ciberincidents” però ha reconegut que aquests darreres hi tenen “un paper molt rellevant”. Per això creu que les organitzacions han d’estar preparades per resoldre-les i una de les claus, diu, és identificar el nivell de risc. Per fer-ho, ha explicat Mercadé, les organitzacions tenen implantats -en major o menor grau de maduresa- procediments de gestió d’incidències de seguretat basat en el que defineix el reglament en funció del tipus de dada que s’ha fugat. El que té clar Mercadé és que aquestes bretxes “sempre són divendres a la tarda”.

El contingut d'aquest camp es manté privat i no es mostrarà públicament.
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.