Des de fa uns anys està en boca de tothom la ciberseguretat, principalment per dos fets molt rellevants. El primer va ser l’entrada en vigor del nou Reglament General de Protecció de Dades, i el segon l’afectació massiva de Wannacry. Tots dos fets van posar sobre la taula assumptes que, si bé no eren desconeguts, eren molt obviats per la majoria de les empreses, sobretot Pimes, com eren l’exposició al risc i la responsabilitat en cas dels danys ocasionats per la falta de contramesures.

Les grans empreses, en la majoria dels casos, ja portaven anys invertint en ciberseguretat, potser empeses per un mercat cada vegada més orientat cap a l’e-commerce, o per les seves relacions amb tercers, com a proveïdors o clients. A més, posseïen el múscul financer que els permetia invertir en tecnologies que els generaven confiança i sensació de protecció. Una bona implementació d’un marc de ciberseguretat, pot portar a les Direccions de les nostres empreses a pensar que realment els atacs no s’estan produint i realment l’empresa no està en risc.

Llavors… La meva empresa ha de començar a evolucionar els seus sistemes de ciberseguretat?

Rotundament SÍ. Totes les empreses, independentment del seu tamany han d’evolucionar els seus sistemes de seguretat, i a més, han d’establir pautes per a anar revisant aquests sistemes amb una certa freqüència.

L’ecosistema de risc cibernètic ha canviat, mentre abans els atacs eren dirigits a les empreses amb cert interès, avui es llancen massivament, sense objectiu concret. Si la veritat és que el hacker que hi ha darrere d’un atac és menys professional, la recompensa econòmica que rep fa que hi hagi molts més. Totes les empreses, fins i tot les manufactureres més petites estan connectades a internet, i totes utilitzen algun sistema informàtic de gestió o de producció capaç de paralitzar en algun grau els seus negocis.

 
Ara bé, cal desmitificar alguns aspectes i establir les bases de l’acció respecte de la ciberseguretat:

Descentivar atacs Cal eliminar el concepte de tot o res. Existeix una màxima en ciberseguretat que és “La teva seguretat és tan forta com el punt més feble de la teva seguretat”. Però tal com hem indicat, el hacker que hi ha darrere és menys professional que abans i en la majoria dels casos els atacs no són dirigits, per tant, el major assoliment que es pot tenir en ciberseguretat consisteix a desincentivar a l’atacant, anar posant traves perquè un hacker inútil no ens provoqui un mal catastròfic. En un entorn de milers o milions d’empreses, unes mesures de seguretat bàsiques aconseguiran repel·lir un atac en un tant per cent molt elevat perquè la recompensa no compensarà l’esforç de l’atacant.

 

No fa falta protegir-ho tot, però si cal protegir l’important Amb aquesta idea podem afirmar que la seguretat no és “cara”, de fet, ha de ser suficient i proporcionada a l’actiu que es vol protegir. El punt més important de la ciberseguretat consisteix doncs en l’avaluació dels actius de cada empresa i la seva posada en valor per a identificar els límits i esforços a realitzar per a protegir-los.

 

Definir com i qui s’encarrega de la seguretat de la meva empresa Així com quina és la informació rellevant que ha de rebre la meva direcció, per a aconseguir una bona i suficient implementació de seguretat i una minimització del risc i de l’impacte derivat.

 

La tecnologia una aliada en un món hiperconectat La tecnologia evoluciona sense parar per a protegir els nostres actius dels nous riscos que existeixen en la xarxa en un món hiperconectat.

 

Establir polítiques d’accés Les fronteres entre el permès i no permès en les nostres empreses cada vegada són més difuses si tenim en compte que els elements mòbils, connectats o no, que deambulen per les nostres instal·lacions no paren de créixer, que els elements IoT han vingut per a quedar-se, i que les aplicacions d’ús generalista i/o xarxes socials, d’accés massiu, ara són també d’ús empresarial.

 

Conscienciació i la formació dels empleats És potser la part més important del pla d’implementació de seguretat i segurament la més efectiva mesura per a evitar atacs d’alt impacte en les nostres organitzacions.

 
“La seguretat és cosa de tots”