Les pimes són avui un dels principals objectius dels ciberdelinqüents. Segons l’Instituto Nacional de Ciberseguridad (ICIBE), el 2023 es va detectar un creixement del 24% dels incidents i el 70% d’aquests van ser a pimes. D’altra banda, “el 60% de les pimes que són víctimes d’un ciberatac no aconsegueixen tirar endavant. Els costos associats a un ciberatac greu a una pime poden acabar amb l’empresa”.
Així ho va assegurar aquest dijous Antoni Lorenzana, responsable de Transformació i Operacions en Ciberseguretat a DXC Technology per a Iberia, durant el Digital Summit’25 de la Cambra de Comerç de Terrassa, una jornada que es va celebrar a Cinesa Parc Vallès i va posar el focus en la ciberseguretat com a element clau per protegir i fer créixer els negocis en un entorn cada cop més digitalitzat.
Segons l’expert, les pimes es troben avui a l’ull de l’huracà perquè les grans companyies estan reforçant la seva seguretat i les petites i mitjanes empreses són una porta d’entrada a aquestes. Les grans corporacions en depenen cada cop més, en la mesura que treballen amb elles com a proveïdors, socis o clients. Així, un atac a una pime és un atac a la cadena de subministrament d’una gran empresa. D’aquí, la importància de protegir-se.
Però també del “security mindset”, la mentalitat d’actuar tenint en compte l’usuari dolent, malintencionat, pensar en què passaria si un usuari no actua com se suposa que ho hauria de fer, què podria passar, què podria anar malament, va assenyalar, per la seva banda, el hacker ètic Eloi Manuel.
- Eloi Manuel al Digital Summit 25 de la Cambra Comerç de Terrassa
- Nebridi Aróztegui
L’enginyer de seguretat ofensiva a Halborn va posar casos reals que ha ajudat a detectar com el d’un comerç electrònic en què un usuari malintencionat podia saltar-se el pas de pagar i passar directament d’afegir un producte a la cistella de compra a indicar l’adreça d’entrega i confirmar la compra, una app mòbil bancària que permetia fer transferències negatives, per exemple, enviar -100 euros a un altre compte i que se’t sumessin al teu balanç; o un de dades crítiques de patents mal ofuscades en PDF en una web farmacèutica.
Ara bé, segons va exposar Lorenzana, les principals amenaces a pimes se centren en “malware” i troians, és a dir programari que es fa passar per programes legítims com Word o Excel per guanyar accés a un entorn o robar dades; “ransomware” o segrestos digitals de dades i sistemes, típicament per demanar un rescat; i “phishing” o comunicacions enganyoses que fan servir tècniques d’enginyeria social per suplantar identitats amb l’objectiu de perpetrar estafes econòmiques o robar identitats digitals legítimes.
- Antoni Lorenzana al Digital Summit 25 de la Cambra
- Nebridi Aróztegui
I davant d’això, com s’han de protegir les empreses? Doncs d’acord amb el responsable de Transformació i Operacions en Ciberseguretat de DXC Technology per a Iberia, abans d’aplicar mesures de protecció cal identificar que és més crític per a l’empresa i la rellevància per al negoci. “Ens hem de preguntar: quins processos són crítics per al meu negoci? Tinc actius públics a internet? Tinc informació delicada? Quants recursos tinc per dedicar a la ciberseguretat?”, va destacar Lorenzana. I un cop resolts aquests dubtes, decidir entre diversos tipus d’eines.
Eines bàsiques
L’expert va indicar que n’hi ha de bàsiques que apliquen a qualsevol empresa, de manera que amb “una inversió mínima podem millorar molt la seguretat”, com fer servir contrasenyes complexes i doble factor d’autentificació, realitzar actualitzacions de programari i sistemes operatius, desplegar solucions antivirus i fer còpies de seguretat, formar l’equip d’administració IT en ciberseguretat i fer formació sobre “phishing”, així com usar un gestor de contrasenyes. De fet, “tenir la mateixa contrasenya a tot arreu és un risc molt elevat perquè si hi ha una filtració de dades, ja tindran el teu usuari vinculat a una adreça de correu o a una contrasenya”.
Empreses més madures
Per a empreses amb més maduresa o de més mida, és recomanable fer servir proveïdors de correu electrònic segurs, filtres de correus electrònics fraudulents, realitzar simulacres de “phishing” i formació en ciberseguretat dinàmica, aplicar mesures de filtratge de la navegació o bloqueigs davant de pàgines web no segures, disposar d’una bona gestió de les xarxes de dades i evitar interconnexions. De fet, “el ‘mail’ sol ser un dels principals vectors d’atacar, limitar les accions i privilegis dels usuaris o treballadors és important i Internet és molt gran i limitar la navegació sol ser una bona estratègia”, va ressaltar Lorenzana.
Nivell avançat
I ja per a empreses més grans, amb un grau de maduresa elevat i que puguin dedicar-hi més recursos: disposar d’un procés de detecció d’amenaces 24/7 i d’un de respostes d’amenaces 24/7; d’una eina de descobriment de vulnerabilitats i d’un equip de gestió d’aquestes, realitzar auditories ofensives i definir un pla director de ciberseguretat, així com desenvolupar plans d’actuació per fer front a incidents de seguretat. “Més nombre de sistemes equival a més nombre de vulnerabilitats. Si necessiteu ajuda externa, demaneu-la. Pensar en la pitjor situació ens prepara per afrontar-la de forma eficient”, va concloure l’expert.
