• Empresa
  • Ciberamenaces, quan l'enemic és a casa

Ciberamenaces, quan l'enemic és a casa

El 70% dels empleats té accés a informació privilegiada de l'empresa que no li correspon; si no se'ls forma i consciencia pot ser la via d'entrada més fàcil per als ciberatacs

Sovint l'amenaça cibernètica és més a prop del que ens pensem
Sovint l'amenaça cibernètica és més a prop del que ens pensem
Pau Garcia Fuster
21 de Gener de 2015
"El punt més dèbil de l'empresa sempre ha estat el phising a l'usuari i els treballadors", assegura César Martín Lara, soci de l'àrea de gestió de riscos tecnològics de Deloitte. "És el punt més senzill d'entrada per una mera qüestió de coneixement tecnològic". De fet, "el 70% dels empleats té accés a informació privilegiada de l'empresa que no li pertocaria", recorda Jaume Abella, coordinador del Màster en Ciberseguretat de La Salle Campus Barcelona.

Un treballador poc format en el camp de la ciberseguretat i amb accés a informació privilegiada de l'empresa es converteix, doncs, en la víctima preferida pels instigadors d'atacs informàtics. "Els atacs sempre es produeixen per un motiu, i la majoria de vegades és econòmic", diu César Martín Lara. I per obtenir un benefici econòmic "on hi ha el major coneixement del negoci és dins l'empresa. Els empleats són els que millor ho coneixen i hi tenen més accés, estan en risc", assegura.

O encara pitjor, també hi ha casos, més sovint del que es pensa, d'atacs des de dins mateix de l'empresa, per exemple en forma de filtracions d'informació a l'exterior. Un treballador descontent pot ser un autèntic cavall de Troia. Per César Martín Lara, "un bon protocol de seguretat també ajudarà a detectar aquests casos amb el conseqüent estalvi en costos derivats de l'atac i facilitant l'acomiadament procedent".

En el marc de la 60a edició de La Salle Breakfast, els dos experts en ciberseguretat han reflexionat al voltant de la situació actual que viuen les empreses en la seva seguretat informàtica. "Hem de formar els treballadors sobre mesures de conscienciació i ús responsable", recomana el soci de Deloitte. En un entorn on cada cop és més senzill infectar amb un software maligne tan sols navegant pel web equivocat, Martín Lara afirma que "cal combinar formació a l'empleat i sistemes de protecció".

Els que ataquen, sempre per davant
"Els ciberdelinqüents cada cop estan més preparats", assegura Jaume Abella. Un exemple són els 390.000 nous programes maliciosos que es detecten cada dia. De fet, els atacs cibernètics ja formen part de les cinc amenaces més importants per la humanitat segons el Fòrum Econòmic Mundial. A la xarxa hi ha una batalla constant entre atacants i protectors de la seguretat informàtica d'empreses i particulars. Una cursa desigual segons César Martín Lara.

"La diferència entre els que ataquen i defensen no és en el nivell d'expertise; però en la cursa sempre tenen avantatge els que ataquen", assegura. Tot i que hi hagi gent molt bona treballant en la protecció i la defensa, el directiu de Deloitte afirma que "no hi ha igualtat de condicions, els atacants tenen avantatges com tenir tot el temps del món per planificar un atac, mentre que la defensa sempre ha d'estar pendent per rebre en qualsevol moment".

Martín Lara també assenyala la disposició de totes les possibilitats d'assaig i error, així com un mapa il·limitat de possibles vies d'entrada com altres factors clau de l'avantatge dels atacants. "I a més tenen a la seva disposició l'univers global d'empreses", recorda.

Una lluita constant
Un dels casos més sonats d'atac informàtic a una empresa és el que va patir Sony fa uns mesos, produint un dany estimat de 200 milions de dòlars a la companyia, a més de l'impacte en les seves accions a la borsa. Sony va veure com li robaven informació de la companyia i dels clients, que després va ser publicada en diversos fòrums. Per César Martín Lara "aquest cas és la punta de l'iceberg, ens assabentem d'un de cada 1.000 atacs a empreses".

I és que les ciberamenaces no concedeixen cap treva, és una lluita constant. "Quasi tots els atacs s'afronten internament i no es publiquen", assegura Martín Lara. El problema en el cas de Sony va ser que "l'atac estava dirigit expressament a ells i això augmenta la seva efectivitat. El pitjor que pots rebre és un atac planificat i sofisticat en contra teu", assegura el dirigent de Deloitte.

La ciberseguretat, sobre la taula del director general
"La ciberseguretat s'ha convertit en un problema de la direcció general de l'empresa, ja no ho és tan sols de l'equip informàtic", assegura Martín Lara. I ho és perquè els atacs "cada cop generen més impacte en el negoci, i sobretot perquè generen greus danys reputacionals a les companyies", analitza.

És per això que poc a poc els directius de les companyies van prenent consciència de l'impacte que tenen aquests problemes en el negoci. "No totes les empreses tenen el mateix nivell de risc o d'impacte, però totes tracten dades de clients i de negoci, sempre és perillós", adverteix.

"Tots els negocis haurien de fer una anàlisi de risc de les amenaces que el poden afectar, i així preparar una defensa a mida", recomana l'expert. Alhora, però, deixa clar que "per moltes mesures de seguretat que posis mai no estaràs 100% protegit". Això sí, quantes més dificultats posis a l'atacant, menys opcions tindrà de fer-te mal.

"La clau és la capacitat de resposta i reacció, si tens els mecanismes adequats per solucionar l'incident o recuperar la informació, l'impacte en el negoci és molt menor", diu César Martín Lara.

La seguretat als núvols
Un recurs cada cop més utilitzat per les empreses a l'hora d'emmagatzemar informació és el cloud (núvol). Pel soci de Deloitte, el primer punt a tenir en compte en el cloud és "analitzar com d'important és la informació que hi desaré. No és el mateix tenir-hi presentacions comercials que un sistema financer".

En funció d'això el nivell de protecció és major o menor, però Martín Lara assenyala diverses qüestions bàsiques com gaudir d'un control d'autentificació robust, el xifratge de la informació quan sigui necessari, o disposar de còpies de seguretat i proves de restauració d'aquestes còpies.

Finalment, sobre la necessitat o no d'encriptació, Martín Lara assegura que "cal buscar l'equilibri entre el que és necessari encriptar i el que pot ser públic". Ara bé, deixa clar que "l'encriptació és bàsica per garantir la seguretat de la informació entre dues parts".