Les micro, petites i mitjanes empreses assumeixen els ciberatacs com un risc de negoci
32% Ciberseguros
Catalunya concentra una de cada tres pòlisses asseguradores davant ciberatacs que se signen a Espanya. La ciberseguretat gestionada, com un proveïdor més de serveis a l'empresa, és un sector a l'alça.
El Diari de Tarragona va celebrar aquesta setmana una nova edició del seu cicle de jornades 'Els Esmorzars-Col·loquis de Diari', en format remot i titulat en aquesta ocasió Ciberseguretat per a pimes. A la jornada es van analitzar les principals tendències en aquesta matèria, amb la col·laboració de quatre experts de l'àmbit empresarial, acadèmic i institucional que van exposar la seva visió sobre una realitat a la qual fa temps que no són alienes les micro, petites i mitjanes empreses.
La enginyeria social destaca com el principal risc per a les pimes en matèria de ciberseguretat, On l'engany als treballadors i proveïdors, unit a moltes mancances en coneixements i formació, ofereixen oportunitats per a la ciberdelinqüència. Prendre consciència d'això és el primer pas. Passar a l'acció des de la pime, utilitzant els recursos propis i externs, preparant-se per al futur, són els següents. De tot això van parlar en aquesta jornada Oriol Torruella, director de l'Agència de Ciberseguretat de Catalunya, Manel Medina, catedràtic de la Universitat Politècnica de Catalunya (UPC), fundador i director d'esCERT-UPC i director dels màsters de Gestió de la ciberseguretat i de Blockchain a la UPC, Andreu Bru, director de Tecnologia i Innovació de Pimec, i Laura de el Pi, Sènior Manager en Data & People Information Security a BBVA.
prendre consciència
Oriol Torruella, director de l'Agència de Ciberseguretat de Catalunya, és clar: «Totes les empreses, incloses les petites i les mitjanes, estan subjectes a les ciberamenaces que hi ha en l'àmbit digital, I el fet de ser impactats per ciberatacs depèn no tant de la grandària com de el nivell de digitalització de l'empresa ». «A la fi, la importància d'implantar la ciberseguretat en el dia a dia de qualsevol empresa -prossegueix Torruella- no és el volum de facturació, sinó el seu nivell de dependència de la tecnologia». Però, si bé totes les empreses estan exposades a la ciberdelinqüència sense importar la seva mida, no tota la ciberdelinqüència ataca per igual. «Els ciberatacs -prossegueix Torruella- són avui terriblement diversos, i mentre que ara el ransomware (Segrest de dades) s'ha 'targetizado' a les grans empreses, el phishing (L'engany a través de correus electrònics) i el robatori d'identitats no ha entès de grandàries ».
«És més: en molts casos, com que les pimes han invertit menys en ciberseguretat que les grans empreses -afegeix Torruella-, i la capacitació i formació dels seus treballadors és inferior, a la fin la capacitat d'atacar aquest tipus de pimes amb èxit és molt més gran ».
Manel Medina, de la Universitat Politècnica de Catalunya, destaca que, si bé el nivell de coneixement sobre els riscos ha augmentat entre les pimes, persisteix encara amb força aquest pensament en el qual, «sobretot en les empreses petites, hi ha la tendència a dir 'bé, si es produeixen problemes, ja ho resoldrem'. El problema és que [quan això passa], les empreses no tenen capacitat de resposta davant aquests atacs ».
Davant d'aquesta situació, Medina recomana «intentar definir patrons de seguretat a nivell sectorial i difondre eines i bones pràctiques. Això és una cosa que també pot ajudar les empreses, en el cas que hi hagi un incident de seguretat, a demostrar que estan complint els estàndards del sector i evitar que tinguin multes elevades de les autoritats pertinents».
Andreu Bru, de Pimec, coincideix que «les microempreses i les pimes no han acabat de tenir nivells de sensibilització suficients»I que« la mida no importa », perquè« tots estem exposats ». Bru confirma també que «la sofisticació dels ciberdelinqüents fa que el cibercrim sigui cada vegada més segmentat» i destaca que «el punt més feble de les empreses són les persones, principalment a través de l'correu electrònic».
«Aquesta falta de coneixement i sensibilitat -prossegueix- fa que una persona abaixi la guàrdia i obri un correu que no toca. Per això és important millorar el coneixement entre els treballadors, per minimitzar aquests atacs informàtics». La pregunta que es planteja Andreu Bru, però, va més enllà de les raons que porten a aquesta vulnerabilitat de les pimes. Es tracta de «per què una pime hauria d?establir pautes o protegir-se». La resposta és simple: «Pel seu negoci i la seva reputació».
«Un atac dirigit a una pime -explica Bru- pot significar la parada d'un servei o la pèrdua de dades, i per tant la pèrdua de confiança dels clients. La pèrdua de reputació, dades i diners és pel que una empresa ha de auto protegir, tant per mitjans tecnològics com per la sensibilització dels treballadors ».
Laura de el Pi, de BBVA, resumeix tot això en una frase: «La ciberseguretat no només ens ha de preocupar, sinó ocupar a tots». En seva opinió, un ciberdelinqüent sempre trobarà un benefici en un ciberatac. Sigui perquè els guanys són altes, en el cas d'una gran empresa, o sigui perquè són fàcils d'aconseguir, en el cas de pimes més desprotegides.
«Atacar una gran empresa -explica De l'pi- pot trigar mesos, mentre que en una petita el resultat és immediat. La major debilitat de les empreses és pensar que els seus sistemes o dades no són atractius per a la delinqüència. Per això és necessari tenir una estratègia tecnològica i de conscienciació de les persones ».
És precisament el component humà el que, segons aquesta experta en seguretat, ofereix les majors vulnerabilitats avui. «El major risc -explica Laura de l'pi- és l'enginyeria social, enganyant a la víctima perquè es descarregui un arxiu maliciós amb el qual demanar després un rescat, o suplantant el CEO de l'empresa o un proveïdor, demanant que canviï el compte de destinació de l'pagament habitual d'un servei ». D'aquí la importància, en la seva opinió, de conscienciar i formar les persones.
Enginyeria social
L'engany a treballadors i proveïdors és actualment el major risc per a les pimes en matèria de ciberseguretat.
Passar a l'acció
Interioritzades aquestes necessitats, és el moment de passar a l'acció, amb la vista posada en que, si no fer-ho, el primer perjudicat serà el negoci. «Totes les empreses han d'entendre que la ciberseguretat és un risc de negoci, no tecnològic», insisteix Oriol Torruella, de l'Agència de Ciberseguretat de Catalunya. Per això «la ciberseguretat s'ha d'introduir com un element més dels processos en l'empresa, desplegant una cultura de la ciberseguretat amb un programa de formació, però amb els directius en primer lloc, perquè són els que han de liderar».
«La formació i la conscienciació és l'eina més efectiva -coincideix Manel Medina, de la UPC-, perquè l'enginyeria social és avui la forma més utilitzada: és més fàcil que algú et doni una contrasenya que dur a terme un atac de força bruta. Per això les pimes han de fer ciberexercicis, a una altra escala, de recuperació de dades o simulació d'atacs de phishing o fraus del CEO».
«La segona cosa -aconseja aquest catedràtic- és tenir a mà una agenda de contactes de gent que et pugui ajudar en cas de tenir una incidència. Moltes empreses saben qui els pot ajudar en cas que tinguin una fuita daigua o un problema elèctric, però no si són víctimes de phishing o ransomware.
El punt més feble en la seguretat de les empreses són les persones i els seus correus
I la probabilitat de patir un atac de ransomware és més alta que una fuita d?aigua».
De la mateixa opinió és Laura de el Pi, de BBVA: «Avui és més probable que una empresa sigui atacada que no que tingui un incendi. I quan ataquen a la meva empresa, a qui dic ». La contractació d'ciberseguros és una solució a l'alça. Però requereix també d'un canvi cultural. Igual que notifiquem un sinistre, cal «denunciar davant les autoritats competents un ciberatac, el mateix que si hi ha un traspàs de fons en un incident cal comunicar-ho a l'banc el més ràpid possible», explica De el Pi. «Informa d'un incident de ciberseguretat -coincideix Manel Medina, de la UPC no ha de ser un problema de reputació».
Andreu Bru, de Pimec, parla aquí de «ciberseguretat gestionada», on «igual que tenim contractada una empresa d'alarmes, tenim una de ciberseguretat connectada, on subcontractem aquests serveis per oferir nivells de ciberseguretat adequats, com a complement de l'assegurança». Es tracta de «passar d'una cultura reactiva a una preventiva», afegeix Laura de el Pi, de BBVA, que si bé destaca la importància de la formació i la conscienciació, matisa que «hi ha mesures més tècniques que, si no es tenen els coneixements , han de fer altres ».
Sense oblidar fer primer els propis deures: «Moltes empreses posen firewall, antivirus… però després li preguntes als directius i no tenen ni idea de quins antivirus usen», alerta Andreu Bru, de Pimec.
Font: Diari de Tarragona (Diumenge 27 juny, 2021)
