Per a més informació clica a la fitxa de la jornada
"El risc zero no existeix, ni la seguretat 100%. Això ens obliga a tenir plans de contingència, recovery plans i sistemes de continuïtat de negoci per evitar greus impactes a la nostra empresa o entitat" van ser les paraules contundents de Miguel Ángel Estruga, president del Grup de Treball Business Continuity, en la jornada que es va celebrar el passat 14 de març de 2022 a la seu dels Enginyers Industrials. Al llarg de la sessió, organitzada per la Comissió de Gestió Empresarial i amb la col·laboració de la Comissió de Societat Digital, es van donar a conèixer les experiències i millors pràctiques d’empreses i organitzacions, així com la importància de les eines i estratègies per garantir la ciberseguretat i la continuïtat de negoci.
Entre les avantatges que aporta un bon pla de continuïtat de negoci, Estruga va assenyalar la garantia de recuperació ordenada i a temps (especialment en les àrees TI i OT), que facilita l’entrada de nous clients, la reducció de l’import de les pòlisses d'assegurances i un ràpid retorn de la inversió. Ignasi Fontanals, membre del Grup de Treball de Business Continuity, va compartir les experiències internacionals en la continuïtat de negoci i la resiliència de països com França i Canadà.
Francisco Lázaro, Chief Information Security Officer-CISO i Data Protection Officer-DPD de Renfe, va assenyalar que “la ciberseguretat forma part del negoci perquè ajuda a què es desenvolupi l’activitat i a què les operacions es mantinguin”. Segons Lázaro, la manera de determinar les mesures de seguretat necessàries en una organització és a través d’un anàlisi de riscos i d’una selecció de controls entre els que destaquen els organitzatius, de procediment, tècnics i humans. “Els danys a la informació no només afecten a les operacions sinó que també tenen impacte en el bon funcionament de la societat”, va afegir.
El Cyber Security Officer-CSO America, Europe and Africa regions de MAERSK, Glenn Rittereiser, va explicar el cas del ciberatac (2017) que va afectar a diferents empreses mundials, entre elles la seva, i que va provocar que es perdés la traçabilitat dels contenidors, dels contactes i, inclús, de les comunicacions amb les terminals. “Primer vam identificar l’incident i després vam informar de manera transparent als proveïdors i clients”, va destacar Rittereiser. Després de l’atac van tardar tres mesos en construir la defensa cibernètica amb una inversió de 200 milions de dòlars. L’ objectiu per Rittereiser de la ciberseguretat és “permetre als clients centrar-se en el negoci principal sense preocupar-se per la seguretat cibernètica dels intermediaris i socis implicats”.
“La ciberseguretat ja no és un element tecnològic, és de negoci i per això té una incidència cada cop major pel que fa a la continuïtat”, va declarar Oriol Torruella, director de l’Agència de Ciberseguretat de Catalunya. Segons els indicadors de l’Agència, els atacs de DDos (atacs de denegació distribuïda de servei) han augmentat en nombre i potència durant el 2021. “Els ciberatacs d’aquestes magnituds són cada cop més habituals i aconsegueixen col·lapsar els serveis d’organitzacions de tot tipus que depenen de l’accés a Internet”, va advertir Torruella. D’altra banda, Torruella va recordar que “el ransomware és un negoci. Hi participen grups cibercriminals creadors del programari i altres afiliats que s’ocupen dels ciberatacs a canvi d’un percentatge dels beneficis”.
Daniel Mercader, cap d’àrea de la Divisió Innovació tecnològica de l’Agencia Española de Protección de Datos, va parlar sobre les bretxes de dades personals, estratègies a seguir i normativa actual. “La qüestió clau per notificar una violació de dades personals a l'autoritat de control o per comunicar-la als interessats afectats és el nivell de risc”, va assenyalar Mercader.
Al final de la sessió, es va presentar la guia “Covid-19, rumb a la resiliència” elaborada pel Grup de Treball de Business Continuity.
Per a més informació clica a la fitxa de la jornada
Amplia a fulls d’enginyeria
