Malgrat totes les notícies d’incidents de ciberseguretat que apareixen contínuament a mitjans especialitzats i generalistes, encara avui el patró més freqüent que ens trobem a les empreses catalanes, ja siguin de l’àmbit industrial o d’altres, és de baixa maduresa en referència a la seva ciberseguretat (excepte casos puntuals, els bancs i les asseguradores).
També ens trobem que tenim ben instaurats els gran mites sobre el ciber risc: això només passa a les pel·lícules, als ciberdelinqüents només els interessen les gran empreses, és un tema tècnic - no de negoci, ..., és a dir, això no em passarà a mi, fins que passa. La realitat és que quan parlem de ciberseguretat, parlem d’enginyeria, parlem de risc i parlem de negoci.
Però, que ha canviat? Per què aquest allau d’atacs i incidents? El cibercrim s’ha professionalitzat i s’ha organitzat, de fet, vist com un negoci (que ja supera al narcotràfic) és molt interessant donada la seva capacitat d’actuació global, la capacitat d’automatització, alhora que el baix risc de ser enxampats comparant amb altres activitats delictives. La tempesta perfecta es produeix amb la combinació de revolució digital i la seva aportació: internet, mobilitat, BYOD, big data, cloud, IoT, Indústria 4.0, smart cities, ... Si som poc innovadors i els nostres sistemes no han canviat gaire, tampoc té una gran rellevància, però fora del nostre control sorgeixen contínuament noves amenaces, més sofisticades i més efectives. Tot plegat, ha portat al World Economic Forum (WEF) a considerar els ciberatacs com un dels riscos globals protagonistes aquest 2016 de major impacte i amb més probabilitats de succeir.
Amb el retard habitual del que ens acaba arribant tard o d’hora d’Estats Units o la Gran Bretanya, països més avançats en la revolució digital, el nivell de maduresa en ciberseguretat està en creixement, passant a fer més acció preventiva proactivament i no només motivats per haver patit un incident greu, fins que assolim un punt d’equilibri més adient on la ciberseguretat i el ciber risc es tracten al mateix nivell que la seguretat i el risc del món físic. Al final, la ciberseguretat és una responsabilitat de la direcció on es tracta de decidir el risc que poden assumir, mitigar o transferir, però mai ignorar.
Si en aquest punt encara no estem suficient motivats, no sentim la responsabilitat implícita que hem de tenir com a enginyers o creiem que podem deixar per a més endavant posar-nos al dia en ciberseguretat, amb la futura legislació europea de protecció de dades (GDPR) que entrarà en vigor el pròxim 2018, un incident de ciberseguretat que filtri informació sensible podrà implicar a l’empresa una multa de fins al 4% de la seva facturació si no ens em protegit suficientment, dit d’una altra manera, la lletra amb sang entra.
