Recentment, l'Hospital Clínic de Barcelona ha patit un ciberatac de ransomware que ha deixat el sistema informàtic no operatiu. A causa d'això, la ciberseguretat torna a estar al centre de l'interès públic i ha posat sobre la taula un cop més la necessitat que empreses i institucions estiguin preparats per a qualsevol crisi. És, precisament, en aquest tipus de crisis, la ciberseguretat i la identitat digital que Selva Orejón, ha desenvolupat la seva trajectòria i que, el 2022 li va valer el premi DonaTIC a la categoria Empresària. Orejón ha treballat en una gran quantitat de projectes ajudant a empreses i persones a protegir les seves dades. Des de Fulls d'Enginyeria parlem amb ella per aprofundir sobre aquest aspecte, la seguretat informàtica, cada vegada més rellevant.
Després de la seva estada a Alemanya, on va veure els primers cops de seguretat més grans, i a França va tornar a Madrid a treballar pel Grupo Planeta. Durant aquest període amics i familiars la buscaven per consultar sobre diferents incidències o problemes d'empreses en línia. D'aquesta manera, en el temps lliure Orejón es va dedicar a oferir serveis de consultoria. Això va passar a ocupar-li cada vegada més temps fins que va decidir dedicar-se a jornada completa i fundar la consultora onBRANDING. "Va sorgir de la necessitat d'amics i familiars que em demanaven ajuda per solucionar incidents", afirma Orejón.
Classifica els projectes més destacats en què ha treballat en tres grups. En primer lloc, els projectes domèstics, com el que va consistir a trobar una mare i el seu nadó de menys de 6 mesos a Llatinoamèrica quan van sortir d'Espanya amb documentació falsificada i que va ser possible amb la col·laboració del cos policial. En segon lloc, els projectes amb empreses, com va ser ajudar a diferents organismes a causa del boicot als productes catalans pel procés a través de la identificació d'informació falsa i el llançament d'una campanya d'exposició dels productes. En aquest cas, la pèrdua reputacional es va auditar i va acabar en judici. I finalment, el treball amb personatges públics per assegurar la privacitat d'aquest tipus de clients, on han hagut de gestionar situacions d'assetjament greus. Aquests són alguns dels que pot comunicar perquè, com ens comenta, "n'hi ha alguns dels que no pot parlar per seguretat".
A onBRANDING s'especialitzen a identificar qui es troba darrere de les campanyes atacants i quantificar la pèrdua reputacional del client. Orejón assegura que a onBRANDING "els protocols han d'estar molt clars". Des de la creació dels brífings de cada cas fins a establir les seves necessitats, tot ha d'estar especificat. "Un analista sempre ha de trobar la manera de protocol·litzar-lo" afirma Orejón.
Premi DonaTIC
L'any 2022 va rebre el premi Dona TIC Empresària de la mà de Neus Pociello, directora executiva de l'Institut Català de les Dones pel seu treball a onBRANDING. Actualment respecte el món de l'enginyeria, ens explica que personalment es troba molt vinculada amb els enginyers perquè conviu amb un. "Conec més enginyeres que enginyers i sempre que tinc l'oportunitat parlo amb les nenes sobre les dones que han destacat en l'àmbit tecnològic i científic". Considera que a les empreses d'enginyeria a Espanya i els Estats Units encara els queda molt per desenvolupar en tema de ciberseguretat.
Declara que "els falta donar més reconeixement a les funcions dels enginyers, el treball que fa un enginyer de software ho ha de fer de la mà d'un enginyer especialitzat en ciberseguretat si no vol problemes per ell i el seu equip". A l'empresa de la seva parella, per exemple, els treballadors, gairebé tots enginyers, tenen molt clar la importància de la seguretat cibernètica, i tenen en compte des de l'OKTA, el servei d'administració d'accés i d'identitat per l'adopció segura de les aplicacions web, fins al gestor de contrasenyes o els procediments de ciberseguretat. Orejón opina que el Red Team, l'equip de seguretat ofensiva, és un aspecte que s'ha de popularitzar a les empreses d'enginyeria, especialment quan són B2B, tant petites com multinacionals.
Per la professional fa falta més consciència sobre la sensibilitat de les dades en l'àmbit social. Explica que també s'han trobat amb casos escandalosos d'empreses B2G com els cossos de seguretat de l'estat u altres organitzacions de seguretat que encara cauen en atacs d'enginyeria social. "Sembla que les polítiques de ciberseguretat s'hagin demonitzat" afirma Orejón. Considera que a Catalunya, en l'àmbit governamental, la percepció dels cossos de seguretat de l'Estat pot millorar bastant. Orejón proposa campanyes de conscienciació sobre la utilitat de la seguretat, com a agent de la protecció del bé comú i l'autoprotecció. Sobre això, anima a les empreses a què generin un sentiment de pertinença entre els treballadors per reforçar la protecció i seguretat corporativa. Però també s'adreça a empreses petites i als autònoms perquè "falta molta conscienciació".
Treballar la gestió emocional dels equips i sobre escenaris pràctics d'enginyeria social són les seves soluciones per millorar la situació a escala nacional. Considera que en el context actual es fa molt ús d'atacs ofensius que es poden fer per humans sense cap mena de capacitat tècnica i donen la possibilitat d'oferir entrenament intern. Per exemple, a onBRANDING porten a terme una infecció autoritzada per una formació per al consell executiu d'una empresa, actuant com un Red Team extern.
Per les víctimes d'atacs informàtics disposen d'un protocol per urgències que consisteix a prevenir, avisar i socórrer. Per prevenir un atac de ransomware, per exemple, s'han de desconnectar les màquines immediatament i agafar una mostra. Així mateix, s'hauria de certificar tant a les autoritats com internament. I per acabar, socórrer a través de fer una anàlisi forense sobre què ha passat i restablir la normalitat de les màquines mitjançant el "Back up" o còpia de seguretat. A onBRANDING tenen previst continuar creixent durant els anys vinents. Volen automatitzar processos per fer-los més eficients i segurs. També tenen la intenció de crear una fundació per atendre casos domèstics de ciberseguretat per persones sense recursos.
