Sóc una pime i he patit un atac cibernètic. Què haig de fer?

dijous, 9 juny, 2016

Som conscients que les pimes van rebre el 70% dels més de 70.000 atacs cibernètics l'any 2014 a Espanya? L'impacte econòmic d'aquestes accions malicioses va ser de 14.000 milions d'euros. Davant del risc potencial que pot patir qualsevol empresa, la Comissió de Tecnologies de la informació i la Comunicació (TIC), la Comissió de Gerència de Riscos i la Subcomissió d'Assegurances dels EIC han organitzat la jornada Ciberatacs.

Jordi Guix, degà del COEIC, ha iniciat l'acte donant la benvinguda als assistents i agraint la iniciativa a les comissions encarregades de l'organització de la jornada, així com la presència dels ponents. Guix també ha destacat que la «enginyeria és la gestió de la incertesa, és una professió de risc que aporta resultats, fem totes les hipòtesis i alternatives. Malgrat tot, és el temps qui ens diu si hem tingut èxit o no». Si s'afegeix el risc de la ciberseguretat, «encara es complica més», assegura Guix.

El següent en intervenir a l'acte ha estat Miquel Obradors, president de la comissió TIC dels EIC, i moderador de la jornada. La jornada, ha explicat Obradors, té com a objectius «posar de relleu la importància que tenen en el món digital els possibles perills i saber com prepar-nos per evitar-los».

Acre seguit ha estat el torn de Roger Baig, coordinador de la Comissió TIC dels EIC. Baig ha defensat la idea que cal una «tasca de conscienciació» i que «hi ha incertesa perquè ens la mereixem, ens descuidem de la prevenció».

Entre les eines que hi ha a l'abast per poder lluitar contra els ciberatacs Baig ha destacat «la conscienciació, els instruments legals i els plans de contingència». Vers el cloud i el big data, segons Biag, «és esfereïdor el que pot arribar a passar, és el propi Google qui reconeix que saben més coses de nosaltres que nosaltres mateixos». En aquest sentit, «hem canviat la nostre llibertat per l'economia de les coses gratuïtes». Cal tenir en compte, doncs, que la majoria dels problemes relacionats amb la ciberseguretat provenen dels errors humans.

El següent ponent, Mingo Olmos, enginyer en informàtica per la UPC i chief officer at Ackcent Security, ha desmuntat amb diversos exemples els mites que afirmen que els atacs cibernètics «només passen a les pel·lícules i a les grans empreses; que la motivació és d'un hacker dolent que es vol posar una medalla; que només és un tema tècnic i no de negoci; i el convenciment que un mateix no patirà aquest tipus d'atacs».

Entre les dades importants aportades per Olmos en destaquen que el 74% dels atacs tenen com a  motivació el cibercrim, mentre que el «hactivisme» tipus Anonymus se situa en el 12%. Una nova modalitat d'atac digital és el CEO fraud i, segons un estudi d'IBM, el perfil del sectors econòmics més atacats enguany són la salut, les empreses fabricants, el sector financer i les asseguradores.

Finalment, Olmos ha dibuixat un escenari de «turmenta perfecta» deguda a factors com la transformació digital de les empreses, el cloud computing, els dispositius mòbils, el BYOD, l'IoT, el BigData, les xarxes socials, el ciber crim organitzat, la ciber ignorància, la complexitat dels temes tècnics per ser compresos pels CEOs i la manca de professionals capacitats.

És per això que les cinc recomanacions que dóna Olmos se centren en «ser més conscients del perill, la necessitat de quantificar el teu risc digital, comparar-ho amb el món físic per no tornar-se paranoic, implementar mesures, i que la ciberseguretat formi part de l'estratègia digital de l'empresa».

El cas pràctic de la jornada l'ha donat a conèixer Víctor Carreras, enginyer industrial i director general de Lakmé. Aquesta empresa industrial catalana de dimensió mitjana ha patit diversos atacs cibernètics greus des de l'any 2015, data en què va migrar la seva operativa de treball al cloud tot implementant escriptoris virtuals. Els atacs, patits en forma de malware i phising, els ha alliçonat en la importància de «conscienciar els treballadors d'anar amb compte amb els arxius adjunts». Arran dels atacs soferts, Lakmé ha decidit reorganitzar la seva arquitectura d'equips amb IP per a delimitar i aïllar per àrees els riscos informàtics. «Cal tancar totes les portes obertes del sistema», assegura Carreras.

Malauradament, doncs, Lakmé és un exemple viu de que «una empresa mitjana industrial catalana també pot ser objectiu de ciberatacs, no només les grans corporacions multinacionals».

L'acte ha continuat amb la ponència de Jordi Iparraguirre, enginyer superior en informàtica i president del capítol català de la Internet Society (ISOC-CAT). Iparraguirre ha destacat la importància del factor humà, «cal educar i prevenir». Entre les accions a prendre per reduir les probabilitats de partir un atac en trobem diverses. Per exemple, «elaborar un pla d'anàlisi de riscos i poder respondre ràpidament si mai se'n pateix algun, fent un pla de contingència o continuïtat».

Per tenir èxit cal fer un mapa dels actius digitals de l'empresa i tenir molt clar què es vol protegir: processos, persones, polítiques d'accés, hardware i software, dades, documents, rols i personalitats, etc. A més, Iparraguirre ha insistit en la idea que la seguretat informàtica «no és un tema dels informàtics, és un tema de la direcció, dels treballadors i de tota l'empresa».

Finalment, la jornada dels EIC dedicada a la ciberseguretat ha conclòs amb la temàtica de les assegurances especialitzades. Salvador Brugarolas, responsable de control de riscos i prevenció d'Allianz Seguros y Reaseguros, ha afirmat que «el que es pretén amb les assegurances de ciberriscs és, senzillament, protegir el compte de resultats d'una empresa». Brugarolas ha assegurat que aquests productes «són ja assequibles per les pimes».

La darrera ponent ha estat Samantha Gimeno, key account manager d'Allianz Global Corporate & Speciality SE. Gimeno ha explicat les característiques i l'estructura d'aquesta tipologia d'assegurances i les bones pràctiques que poden dur a terme les empreses per evitar i minimitzar els ciberatacs. Per acabar, Gimeno ha volgut conscienciar que «la ciberseguretat és un bé de tots que cal que sigui gestionat per tots, no només per les asseguradores, l'Estat o l'empresa».

A l'acte s'ha informat que el proper mes d'octubre es presentarà en una jornada l'observatori de l'IDES dedicat a la ciberseguretat. Podeu consultar la documentació de la jornada aquí.