Avui entrevistam Natàlia Maroto CEO d’ ITCM Solutions, experta en ciberseguretat.
Segons l’informe “Global CyberSecurity Outlook 2022” del World Economic Forum (https://www3.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2022.pdf ) a l’entorn del negoci, un 41% considera que la ciberresiliència és ja una prioritat i aquest percentatge baixa a un 13% entre els/les encarregats/ades de la seguretat. Els atacs de ransomware (segrest de dades) van augmentar un 150% el 2021 i el 80% de les persones enquestades consideren que és una amenaça perillosa.
D’altra banda, l’informe Ciberamenazas y Tendencias 2021, del Centre Criptològic Nacional d’Espanya, assenyala que el 61% dels ciberatacs del darrer any són “d’alt risc”.
És evident que el teletreball, la digitalització de la societat i la natura cada cop més en línia de les nostres vides són oportunitats per als ciberdelinqüents, així que no es pot baixar la guàrdia. Segons https://www.plainconcepts.com/es/tendencias-ciberseguridad/ hem d’estar atents a les següents tendències: Zero Trust, Security-as-a-Service , concienciació i formació de l’usuari, Machine Learning, seguretat Cloud, compliment del RGPD, Distributing Decisions, Malla de ciberseguretat.
Van començar al 2008 amb un equip de només tres treballadors, ara ja són nou, tenen un centre de dades, un laboratori d’electrònica per reparar equips informàtics i recuperar dades, ens pot explicar amb més detall com ha estat l’evolució i en què s’especialitzen ara?
En primer lloc, gràcies per aquesta oportunitat, de poder estar avui amb vosaltres. Així com les persones anem aprenent i evolucionant, les empreses van de la mà amb el creixement de la societat. ITCM Solutions va començar programant webs i realitzant serveis de manteniment de TI. Amb el creixement dels clients, vam entendre que el vertader actiu de les empreses està en el talent de les persones que conformen els equips i en les dades que gestionen. Aquests són els dos focus en els quals es centra avui dia ITCM Solutions. Potenciar les empreses des de l’aplicació de la tecnologia perquè les persones aportem el que ens fa únics i no pot aportar la robòtica o l’automatització; i protegir les dades que ens confien totes les que treballen amb nosaltres. Des dels col·laboradors, els clients, els partners, el know how dels nostres negocis o les idees que es desenvolupen a les nostres empreses o ONG’s.
Quines pensa que són les tendències del futur en ciberseguretat?
La ciberseguretat és una àrea específica dins les empreses. Fa uns anys es considerava un percentatge del pressupost que es destinava a informàtica i tecnologia, i actualment, les empreses tenen el seu propi departament de ciberseguretat amb un pressupost assignat.
Les principals tendències actualment són:
-
Invertir en la conscienciació de la ciutadania en com protegir-nos d’un ciberatac. Les persones som la baula més feble i, per això, necessitem formar els ciutadans. Actualment, INCIBE compta amb programes de formació per a infants, adolescents, sectors de negoci i persones de més de 65 anys. Aquest és un clar exemple de la tendència de canvi social. Cada un de nosaltres necessitem conèixer els riscos que tenim quan contractem una APP, només així ens protegirem tots.
-
Treballar de forma conjunta les iniciatives comercials i estratègies d’empresa, amb les estratègies de ciberseguretat. Hi ha un canvi en el desenvolupament de les accions empresarials basat en conèixer els riscos i actuar de forma preventiva.
-
Creixement dels especialistes en ciberseguretat. La ciberseguretat requereix perfils tècnics, administratius, legals i també perfils amb competències socials capaces de transmetre i crear el compromís de les persones per evitar ser víctima d’un ciberatac. Així, la tendència és treballar aquests temes amb un equip de professionals de diverses àrees.
-
Construcció de plans de seguretat a les empreses que s’entén com un sistema viu que garanteixi la continuïtat dels negocis i, per tant, la generació de llocs de feina a les nostres empreses. Aquí és on nosaltres estem col·laborant de forma més intensa amb els clients.
Quins són els atacs més habituals? Quin són els atacs informàtics més freqüents? Phising? Ransomware? Ens podeu explicar en què consisteixen?
Els atacas més freqüents podrien ser de dos tipus; els que genera la ciberdenlinqüència, que són externs a l’organització, i els que genera un/a col·laborador/a de l’empresa, que són interns.
El primer dels casos ocorre amb tipus d’atacs d’enginyeria socials, com el phishing, que consisteix en un enviament, per correu electrònic o una web falsa, i que es fa passar per una persona o empresa de confiança. Aquí, la millor protecció és la formació dels empleats per aclarir com detectar un correu que no és legítim. A ITCM Solutions realitzem aquestes formacions tenint en compte les particularitats de cada empresa.
Un altre cas d’atacs externs seria un ransomware. Un software maliciós que cerca tres objectius: xifrar la informació per a que sigui il·legible pel seu propietari, cobrar un rescat, i en molts de casos, vendre aquesta informació a un mercat negre.
En el cas dels atacs interns que es donen dins de les organitzacions, com a esborrats intencionats de la informació, atac a un servidor, o xifrat de dades, les conseqüències solen ser més greus si no tenen un sistema de recuperació correctament dissenyat.
Ens pot compartir alguna experiència i com ho va solventar?
Els casos més comuns que hem tengut han estat per ransomware. En aquests casos, és important que la víctima d’aquest ciberatac no pagui el rescat. Això té a veure amb dos aspectes: el primer, amb aquests fons el ciberdelinqüent troba un finançament per a millorar el seu producte, i el segon, que el ciberdelinqüent, en un 95% dels caos, no torna la informació una vegada que es paga.
El primer pas és conèixer l’abast i l’origen que té aquest ciberatac. Així, quan identifiquem la informació a la qual ha accedit i la via, es lliura la informació al CEO de l’empresa per a la denúncia a la Policia Nacional.
Paral·lelament, tancam les bretxes de seguretat detectades, apagant els sistemes i desconnectant de la xarxa, per posteriorment restablir els sistemes i utilitzar les còpies de seguretat per a la continuïtat dels serveis. En aquest fase és quan més valor té comptar amb un pla de seguretat per a respondre de forma àgil i reduir l’impacte.
Finalment, s’ofereix una formació al personal per evitar que pugui tornar a passar. Tenint en compte que la informació no era sensible, l’empresa no va patir un impacte en la seva reputació. Sí es va notificar a l’AEPD l’accés.
Què recomanaríeu a les PIMES per a evitar ser ciberatacats?
La inversió més rentable és la formació als equips de treball, on es pugui conscienciar a cada un de l’impacte que té la cura de la informació que utilitza en la seva tasca diària i l’ús correcte dels equips informàtics que utilitza.
Després d’això, la inversió per autònoms i pimes, és comptar amb un antivirus robust, és a dir, un endpoint que ofereixi solucions d’antiransomware, aprenentatge continuat, traçabilitat en cas de ciberatac.
Posteriorment, tenir unes polítiques de seguretat clares com el canvi de contrasenyes periòdic i creada amb majúscules, minúscules, símbols i números d’un mínim de 14 caràcters, i la implantació d’un sistema de doble autenticació.
Finalment, realitzar un pla de seguretat. Aquest podria ser per un autònom, una guia dels proveïdors d’IT amb qui pugui contactar cada empresa i com treballar per a restablir el sistema. En el cas d’una pime, seria analitzar més factors per a restablir el sistema.
Són agent digitalitzador del Kit Digital, han rebut moltes peticions? Ciberseguretat és una de les grans apostes del Kit Digital, això demostra que és una de les grans assignatures pendents per millorar en les Pimes?
Som Agents digitalizadors i són moltes les empreses que ens contacten per aquests temes. El Kit Digital introdueix dos temes novedosos: la formació com a requisit per a implantar una solució digital de ciberseguretat, i la millora dels sistemes de ciberseguretat. D’aquí que les empreses ens consultin la protecció de les seves pàgines web, els llocs de feina, servidors o configuració dels serveis cloud.
La formació al personal és la clau: En aquesta entrevista vostè afirma: «El 90 per cent dels atacs es produeixen a través del correu electrònic i un personal entrenat pot evitar-ne més del 95%» . Com incentivar les empreses perquè en prenguin consciència? I perquè vegin la ciberseguretat com una inversió i no una despesa?
En aquest sentit, el principal benefici és que cada euro que s’inverteix en formació té un estalvi de costos de recuperació de dades d’una mitjana de 200€. Així que la inversió en formació dóna com a resultat una millora en la rendibilitat per a les empreses, ja que poden treballar sense les interrupcions generades per una aturada del sistema.
D’altra banda, col·laborem amb tres acadèmies a les Illes Balears per a oferir la formació a través de Fundae. Entenem que la formació requereix una inversió que moltes empreses no poden assumir a dia d’avui, pels problemes derivats de la COVID19. D’aquí que podem oferir una formació subvencionada.
Hem vist molt ràpidament l’impacte del benefici per a les empreses que participen de la formació, i les empreses que participen ens ho fan saber quan detecten un phishing o un vishing. És molt gratificant col·laborar en aquesta línia.
Lligat a la formació, el principi bàsic en ciberseguretat no és el de demostrar l’absència d’amenaces, sinó l’anticipació, el poder preveure els possibles atacs. Com es fa això?
A ITCM Solutions entenem que és important visualitzar l’impacte d’un ciberatac pel CEO de l’empresa, d’aquesta forma podrà entendre la criticitat que té una tecnologia per a protegir els serveis que s’ofereixen als clients.
També coneixem que aquest tema és fonamental i, al ser important i no urgent, el valor de planificar un espai per estudiar i construir amb l’anticipació necessària els processos de recuperació és molt important. D’aquí que, desenvolupam un servei que es denomina Cyber Risk. Comptam amb un equip especialitzat en analitzar els riscos de cada negoci i determinar l’impacte i probabilitat d’ocurrència. Aquesta anàlisi és la base per a que els autònoms i empresaris puguin anticipar-se. Coneixent el risc que té una aturada de servei d’un sistema, podem estudiar com protegir aquest recurs d’informació.
La clau d’anticipar-nos és construir una solució a mida, en molts casos hi ha eines o serveis que estan a l’abast dels autònoms i empresaris amb menys de 10 treballadors. I amb això aconseguim que el mal que es produiria front un ciberatac disminuís significativament.
No només les empreses, també els particulars ens podem veure afectats: enginyeria social: cada cop compartim més dades en xarxes, com podem minimitzar els riscos de patir aquests atacs?
Alguns dels tips que poden ajudar van des de ser cautelosos amb el que publiquem, és a dir, evitar informació que posi en risc la nostra seguretat, com els noms dels nostres fills, dates, etc. Per exemple, avui partim de vacances, això significa que a casa nostra no hi haurà ningú.
Les dades personals és important que no les introduim a qualsevol lloc on ens ho sol·licitin. Comprovar que naveguem a pàgines segures que compten amb un certificat digital (https://dominio), utilitzar contrasenyes diferents per a cada lloc i no compartir-les.
Què fer en cas de rebre un atac?
La primera cosa important és ser ràpid en la resposta. A una pime petita, seria apagar tots els aparells i contactar amb una empresa especialitzada per a revisar la situació. En ocasions, poder recuperar una còpia de seguretat davant un succés pot comprometre encara més la situació.
Aquí és fonamental estar ben assessorats pel personal tècnic i legal. Fins i tot en alguns casos que es indiquen que ens tractaria d’accés a dades sensibles, és recomanable comptar amb un pèrit informàtic.
En cas de no disposar d’una empresa de confiança, tant la ciutadania com les empreses, comptam amb un servei gratuït al telèfon 017, d’Incibe, on ens podran guiar en qualsevol cas si no sabem on acudir.
Amb el teletreball augmenten els riscos si no s’està degudament protegit?
Sí, per això és molt important que les empreses lliurin als seus treballadors els equips informàtics ben configurats i que comptin amb sistemes de comunicacions segurs que faci que els treballadors es connectin i treballin a la xarxa de forma clara.
Un altre dels aspecte a tenir en compte són els permisos que tenen els usuaris per a instal·lar o modificar configuracions dels equips de feina i les polítiques de seguretat. És necessària una comunicació fluïda amb els treballadors i la verificació de la implantació de les polítiques empresarials.
Amb el Kit Digital també oferim aquestes solucions.
Blockchain: servirà per donar més seguretat a les transaccions?
Sí, sempre i quan pugui ser aplicada aquesta tecnologia. Actualment és una tecnologia de difícil implementació.
També existeixen altres solucions que puguin utilitzar-se com a mecanismes de xifrat, mecanismes de verificació d’identitat, entre d’altres.
I respecte al metavers, quines amenaces hi ha? Què és el darkverse?
El metavers com a plataforma de negocis comporta els seus propis riscos. El més conegut és el darkverse, que és l’equivalent a la darkweb o també anomenada deepweb, que actualment existeix, essent un lloc on es comparteix contingut il·legal i on hi abunden els negocis il·legítims.
Així que és un espai per a que els ciberdelinqüents comentin tot tipus d’activitats il·lícites o il·legals, ja que en ubicar-se en el metavers serà difícil rastrejar aquestes activitats.
Què opinau de les assegurances sobre ciberseguretat?
Aquestes assegurances ajuden les empreses a recuperar-se d’una forma més àgil. Per a sol·licitar una assegurança, les companyies asseguradores requereixen unes mesures de seguretat mínimes que a vegades es converteixen en motors de millora per a les pimes. Crec que són una bona solució per a protegir-se en diferents casos.
Pensau que la IA pot ajudar a predir atacs, possibles fallides de seguretat en l’empresa?
Actualment s’utilitza per als nous desenvolupaments d’antivirus. Aquestes anàlisis de dades permeten detectar patrons anòmals que poden suposar una bretxa de seguretat o ciberatac.
Com hauria de ser un bon responsable de ciberseguretat en una empresa?
Actualment entre els perfils de ciberseguretat trobem els CISO (Chief Information Security Officer) i els CSO (Chief Security Officer). Les empreses mitjanes tenen només un CISO mentre les empreses més grans, tenen ambdós perfils.
En el cas d’un responsable de Seguretat de la Informació (CISO), els seus objectius seran de generar i implantar les polítiques de seguretat de la informació, garantir la seguretat i privacitat de dades, supervisar l’accés a la informació i la normativa i respondre davant incidents de la seguretat. És un perfil més tècnic que analitza els impactes de l’empresa i, per tant, ha de conèixer la legislació i com implantar-la.
En el cas del responsable de Seguretat de l’Organització (CSO) respon més a una visió de negoci, alinea l’estratègia de desenvolupament de l’empresa i les seves perspectives de creixement, amb les necessitats normatives, reputació de l’empresa i expectativa dels usuaris. Té un enfocament més estratègic i requereix tenir coneixements de planificació, legals i econòmics.
Les persones que són responsable de la ciberseguretat precisen conèixer el valor de la informació que utilitza la seva empresa, les normes que protegeixen aquestes dades i adequar els sistemes per a garantir la cura de la confiança que depositem en aquestes empreses.
En què consisteix la seva feina dins l’empresa i en concret la part relacionada amb la ciberseguretat?
La meva feina a ITCM Solutions és de consultora de ciberseguretat. Analitzo, juntament amb els CEO’s els seus negocis, els projectes dels clients i dades que guarden, les expectatives de creixement dels seus negocis i els impactes que poden tenir en cas d’un ciberatac. D’aquesta forma, realitzo funcions de CSO per als nostres clients.
Una vegada conec el client, em reuneixo amb el meu client i construïm les solucions més convenients de seguretat. Aquestes solucions sempre les presentem als CEO’s i a les seves persones de confiança per a validar d’acord amb la cultura de l’organització. L’èxit en implantar una solució digital està sempre en la participació de tots. Finalment, construeixo el projecte i el disseny de la formació per a la implantació de solucions.
Com ho fa a la seva empresa per estar al dia en temes de tecnologia i ciberseguretat?
Quan una cosa ens apassiona, és senzill dur-la a terme. Ens questionem en cada cas les solucions que coneixem i també si hi ha alguna cosa nova. D’aquí que la formació continuada en aquesta matèria és la clau, també la participació a congressos i reunions amb els principals fabricants de solucions tecnològiques, conèixer els desenvolupaments nous i participar a trobades amb empreses del sector.
Com va decicir estudiar una carrera STEM i dedicar-se a això? Què recomanaria per incentivar-les? Com és ser una Dona TIC directiva?
Des de petita ja m’agrada comprendre com funcionaven les coses i per què. La curiositat és sempre un element que, a mi, m’ha obert portes per atrevir-me amb nous reptes. La primera carrera universitària que vaig estudiar fou Administració d’Organitzacions, a Argentina, i allà vaig començar a treballar amb empreses familiars i organitzacions sense ànim de lucre, on la clau estava centrada en el know how i com es realitzaven els processos. En aquest camí, vaig trobar la ISO 9001, que fou l’eina per a millorar i entendre com midar els impactes i la qualitat del servei.
Quan el 2017 començaren a donar-se varis casos de ciberatacs a les empreses de Balears i vaig veure com afectava a la continuïtat dels llocs de feina, em demanava quines opcions hi havia en realitat per a protegir aquestes institucions que es creen des de l’esforç de les persones. Aquí vaig començar a estudiar ciberseguretat i els aspectes clau i entendre que, les possibilitats de canviar aquestes realitats. Actualment, dedicar-me a això m’apassiona, ja que ajudo a protegir a moltes famílies i idees i empoderam a les persones.
Totes les persones podem dedicar-nos a allò que ens apassiona, l’elecció de treball no entén de gènere, entén el talent, el compromís i saber aixecar-se cada vegada que caiem. Si realitzar una professió et fa vibrar i gaudir el camí, permet-te fer-ho sense ser tu mateixa la primera pedra.
Tenir un rol directiu és sempre una responsabilitat gran amb les persones que treballen amb tu i amb els projectes que lideres. Actualment som més dones que exercim aquests rols i se’ns reconeix l’organització que tenim en els nostres projectes i les anàlisis que realitzam. Ser una directora TIC és divertit i una oportunitat per a introduir noves perspectives.
Manquen professionals en ciberseguretat a les Illes Balears?
A les Illes Balears falten professionals en matèria de seguretat i tecnologia en general.
Les empreses de la província estan creixent constantment i oferint el seu servei a mercats internacionals i això precisa un creixement de professionals del sector. Per altra banda, actualment no es disposa, a la província, de suficients docents per formar les persones, i per això comencem a contractar persones d’altres zones geogràfiques per poder donar el servei. Aquí hi ha un repte clar per davant.
Per acabar, ens podeu citar algun llibre i pel·lícula/sèrie que us hagi inspirat en la vostra feina?
M’agrada molt llegir, així que us comentaré dos llibre que m’han inspirat: «L’art de la invisibilitat», de Kevin Mitnick, on trobareu com actualment impacta la manca de privacitat en la vida de les persones i, com a segon llibre, us recomano «La Catedral de Turing», de George Dyson, on poder conèixer l’inici de l’univers digital, i de les pel·lícules, recomano «The Circle».
Moltes vegades els llibres i el cinema, ens permeten crea converses amb les que qüestionar la nostra forma d’actuar. Aquí és on podem construir un futur diferent.