Un risc en evolució constant pel que cal preparar-se

Vistos els efectes potencialment devastadors dels ciberatacs per les empreses, sembla vital preparar-se per, en la mesura del possible, prevenir els atacs i, en cas de patir-los, minimitzar el seu impacte per superar-los amb èxit. Des de Regió7 hem preguntat als ponents de la jornada de ciberseguretat, que el diari organitza amb el patrocini de Tesalia i Bitdefender i amb la col·laboració de Control Group, quines són les amenaces més importants per les empreses i com poden fer front als possibles problemes procedents de l’entorn digital.

En aquest sentit, Roberto Pérez, channel account manager de Bitdefender, apunta que el cibercrim és un tema complicat perquè està en constant evolució. «Des que la ciberdelinqüència és un negoci, apareixen noves amenaces, tècniques i tàctiques que hem de ser capaços de parar», explica. «Podríem nomenar el ransomware, l’enginyeria social com el phishing o el smishing, atacs a la cadena de suministrament o dispositius mòbils...», afegeix.

Selva Orejón, directora executiva d’onBRANDING, mira també cap a les empreses i assegura que «gran part de les firmes tenen riscos en relació amb la falta de previsió de recursos relacionats amb la protecció i la defensa en ciberseguretat». «També trobem que hi ha una falta important de formació i, per tant, a més que no hi ha consciència tampoc, no hi ha forma de poder incloure en els pressupostos una partida que serveixi per fer exercicis de prevenció o per dedicar recursos a la defensa», suma.

De fet, Orejón també apunta que «l’amenaça més gran en ciberseguretat a la qual s’enfronten les empreses ara mateix és la falta de consciència i de comprensió dels senyals i les alertes de seguretat. El 93% de les companyies troben difícils les feines essencials d’operacions de seguretat, i el 71% assegura tenir dificultats per comprendre quines alertes investigar».

Per Santi Romeu, cap de la unitat de Ciència i Analítica de Dades de l’Agència de Ciberseguretat de Catalunya, l’amenaça principal pels negocis «és que un incident de ciberseguretat afecti el seu negoci i la seva supervivència, ja sigui a través d’un perjudici econòmic o reputacional». Sobre la reputació, Romeu argumenta que, en els casos de robatori de dades, «la informació dels clients o socis es pot veure compromesa i, per tant, derivar en una greu afectació a la marca de l’empresa».

Com lluitar contra el cibercrim

Què poden fer, doncs, les empreses per evitar el cibercrim o minimitzar els seus efectes. «No existeix un mateix cibervestit a mida per totes les empreses, ja que les principals mesures de ciberseguretat dependran de la naturalesa de cadascuna», diu Romeu. Tot i això, admet que, en línies generals «la formació dels treballadors, la protecció amb antivirus, tenir còpies de seguretat protegides i utilitzar accessos de doble autenticació» poden ser bones mesures. Pérez també recomana una bona «estratègia, coneixement de l’entorn, protecció de dispositius i disposar d’un centre d’operacions de seguretat (SOC)». Orejón aprofundeix i dona alguns punts més. «Algunes mesures importants són l’avaluació de riscos, la definició de mesures de seguretat, la implementació de mesures de seguretat, apostar per una estratègia Zero Trust i per la microsegmentació». El Zero Trust diu que cap persona o dispositiu deu tenir accés automàtic als recursos de la xarxa, sinó que s’ha de verificar la identitat i la seguretat de cada persona o dispositiu abans de permetre l’accés. La microsegmentació busca dividir la xarxa en segments més petits i segurs amb la seva pròpia política de seguretat i oferint accés només als recursos necessaris.

Tot i que els consells i recomanacions són molts i variats, els tres ponents coincideixen en el fet que és vital formar als treballadors i aconseguir conscienciar-los sobre els riscos. «És una necessitat cada cop més exigent. No n’hi ha prou amb ensenyar elements bàsics com reconèixer els correus phishing, ja que -com afirmava Pérez- els ciberdelinqüents evolucionen i fan ús de noves formes d’explotar les vulnerabilitats humanes», diu Romeu.

Les pimes amb pocs recursos no han de girar el cap i esperar no ser atacades, perquè són un objectiu cada cop més habitual dels atacs. Per això, els tres ponents també tenen recomanacions específiques per les firmes amb menys capacitat econòmica, començant amb una avaluació de riscos inicial. «Hi ha una pila d’opcions a Internet, fins i tot gratis», afirma Romeu. «Però cal buscar fonts fiables». «S’ha de crear una cultura de ciberseguretat, invertint en eines de seguretat adequades, fent que la seguretat fos accessible, promovent la ciberhigiene de la identitat digital, realitzant auditories de seguretat i considerant l’externalització de la seguretat», argumenta Orejón, opinió compartida amb Pérez, que apunta als serveis MDR (detecció i resposta d’atacs) com a bona opció.