La ciberseguretat és a l'agenda de les empreses, però, majoritàriament, no de manera proactiva. La implementació d'un model preventiu, integrat i transversal i orientat al negoci és encara una assignatura pendent per a un gran nombre de companyies, generalment pimes. Malgrat que la pandèmia va evidenciar que moltes organitzacions tenien greus esquerdes de seguretat i va fer que empreses i autònoms prenguessin mesures, hi ha hàbits que no s'han modificat, com permetre o encoratjar l'ús dels dispositius personals -mòbils, tauletes, portàtils- dels empleats per executar tasques laborals, dins i fora del lloc de treball. "Amb l'ús de dispositius personals, que no únicament passa quan s'està teletreballant -que també-, el perímetre del trànsit de les dades i la informació s'amplia i es generen punts d'accés vulnerables", exposa Rosa Ortuño, directora de OptimumTIC. Com a experta en la matèria, Ortuño adverteix de l'absència de formació sobre ciberseguretat per a empleats: "si és obligatori formar-se en riscos laborals, el coneixement sobre ciberseguretat és tant o més important per a treballadors i empresaris", insisteix la fundadora i directora de OptimumTIC, una empresa de serveis de gestió integral de la ciberseguretat (preventiva, gestionada i reactiva), de sistemes i infraestructures i d'assessorament en el compliment normatiu.
Malgrat que després de la pandèmia és més habitual que les empreses estabilitzin els seus sistemes de seguretat, "es queden en l'estricta vigilància dels riscos, si n'hi ha, mitjançant la instal·lació d'antivirus, entre d'altres, però no construeixen els murs d'una real fortalesa de seguretat reactiva", reflexiona Ortuño, alhora que apunta a la necessitat d'anar un pas més enllà i instal·lar un anti codi maliciós, que actua contra un ventall més ampli d'infeccions virals i, sobretot, més actualitzat. "És una eina que tots hauríem de tenir instal·lada al mòbil personal, l'utilitzem o no per treballar, perquè qualsevol persona amb un mòbil, un portàtil, una tauleta, és un objectiu per als hackers i un ham per atacar les seves dades (phishing); ens observen constantment, estan expectants que tinguem una relliscada", determina Ortuño, amb un anti codi maliciós instal·lat al seu mòbil personal; un exercici que "hauríem de fer tots".
En el cas de les empreses, que tenen desenes o centenars de dispositius interconnectats, "cosa que anirà a més amb l'IoT (Internet de les Coses)", el més encertat és disposar d'un procés circular basat a millorar constantment els sistemes per reduir la superfície i els vectors d'atac a què estan exposades. "Encara que el millor escut informàtic que poden crear, insisteixo, és formar a la plantilla en ciberseguretat", En OptimumTIC, aquest propòsit s'ha traduït en el disseny, instal·lació i supervisió d'un Security Operations Center (SOC) que, amb intel·ligència artificial, s'alimenta dels registres anòmals que poden afectar a la seguretat d'una empresa i que permet detectar qualsevol mena d'atac o comportament, sigui normal o anòmal. En definitiva, es tracta de comptar amb una infraestructura de seguretat de la informació amb eines tallafoc (firewalls), sistemes de detecció i prevenció d'intrusions, xifratge de dades, autentificació d'usuaris, polítiques de contrasenyes segures, sistemes de còpies de seguretat. Aquestes mesures cal anar supervisant-les "per detectar possibles vulnerabilitats" mitjançant auditories periòdiques. Una altra advertència: la immediatesa -respostes ràpides a missatges o la consulta a links sense comprovar la seva procedència, per exemple, també ha incrementat la nostra vulnerabilitat; "no ens fixem què és el que estem 'acceptant'".
Espanya és un dels països amb més nombre de dispositius actius vinculats a la Internet de les Coses (IoT), "el que ens fa més vulnerables" i pel que, des de les agències de seguretat, "batallem perquè la Unió Europea determini que aquests aparells han d'estar capats quan surten al mercat"; com passa als Estats Units on totes les comunicacions van amb codis xifrats; "a Europa els codis són més vulnerables; Europa és un mercat insegur, ha apostat per la informàtica friendly i molt distribuïda". I Espanya va a remolc, "encara que s'ha avançat molt des de la llei de 2018 de seguretat de les xarxes i sistemes d'informació, però no és suficient", afegeix. Les dades l'evidencien: Espanya se situa com el quart país a Europa amb més atacs al sector industrial, amb un 26,3%, per darrere de Portugal, Estònia i Letònia, segons l'estudi ICS threat landscape report, elaborat per Kaspersky. Els scripts maliciosos i les tècniques de phishing van ser els atacs cibernètics més freqüents, suposant l'11,6% del total. Els segueixen els troians, backdoors i keyloggers, amb un 8,6%, i els de denegació de servei, amb un 7,6%. Els scripts es van utilitzar per recopilar informació, fer seguiment d'activitat, la redirecció a llocs web maliciosos o la descàrrega de programari per minar criptomonedes sense que la víctima ho sàpiga.
A més, des d'aquest 2024, als Estats Units les compres online només es poden realitzar si l'usuari s'autentifica -utilitza nom, contrasenya i valida la seva personalitat mitjançant un altre dispositiu diferent que utilitza per executar la tasca informàtica-. La llei espanyola de comerç electrònic també ho estableix, però va marcar una moratòria i encara no és obligatori, "un error", segons Ortuño.
OptimumTIC, fundada el 2009, és partner certificat d'una de les principals empreses nord-americanes de ciberseguretat Palo Alto Networks -present en 150 països i amb més de 70.000 clients- i treballa per a altres fabricants de programari -nord-americans i israelians- com Fortinet Netskope, Proofpoint, SentinelOne, Tanium, Recorded Future, BlueVoyant o GRC One Trust. La "confidencialitat" del seu negoci li impedeix de donar dades sobre els atacs més importants que ha hagut de resoldre.
Segons l'opinió de Rosa Ortuño, mesurar la ciberseguretat pel seu cost econòmic és un greu error. "Una companyia amb 500 empleats pot tenir garantida la seva seguretat informàtica per uns 800 euros al mes, la forquilla seria entre els 500 i els 1.000 euros mensuals, si treballa amb un proveïdor de serveis, no únicament d'eines informàtiques", concreta Ortuño. OptimumTIC, a la qual Ortuño autodefineix com "una boutique tecnològica" que treballa per al sector privat, té més de 60 clientes de l'alimentació, farmacèutiques, comerç i moda -fins i tot la nupcial-, immobiliàries o despatxos d'advocacia.
El 2024, serà un exercici de consolidació del negoci per a OptimumTIC. La firma ha crescut molt arran de l'augment de la demanda postpandèmia i "ara toca estabilitzar la plantilla al voltant de la trentena de persones i créixer orgànicament amb la comercialització dels serveis i del Security Operations Center (SOC). Per això, les previsions econòmiques apunten a una facturació d'aproximadament els 4,5 milions d'euros i les xifres del segon semestre de 2023 "apunten que anem bé".
Rosa Ortuño, que es defineix com a "evangelista, visionària i defensora de la ciberseguretat des de fa més de 25 anys," va realitzar part de la seva carrera professional als Estats Units i actualment és presidenta d'honor de CATEI (Associació Catalana d'Empreses de Tecnologia i Informàtica), membre de la junta de Dona TIC, presidenta del consell assessor de GrausTIC, vicepresidenta d'ISACA Chapter Barcelona, membre de la DCA (Digital Catalonia Alliance en Ciberseguretat), i col·laboradora formadora en ESADE en matèria de Ciberseguretat, entre altres responsabilitats.