“La ciberseguretat comença en la selecció de personal”

Entrevista a Genís Margarit, enginyer de telecomunicacions i auditor de seguretat tecnològica.

L’expert en seguretat a la xarxa Genís Margarit exposa en aquesta entrevista algunes de les principals problemàtiques amb les quals es troben les empreses en relació a la ciberseguretat, i dona alguns consells i solucions. Margarit és auditor de seguretat tecnològica, consultor en ciberseguretat, enginyer en telecomunicacions i de sistemes electrònics, docent a la Universitat Pompeu Fabra, i instructor de les certificacions d’EC-Council.


Quin és, a parer seu, el principal problema de les empreses en relació a la ciberseguretat?

El principal problema és que existeix la ciberdelinqüència. Si no existís, el paradigma de la ciberseguretat estaria centrat en la disponibilitat, que tot funcionés correctament, i només hauríem d’estar pendents de com recuperar-nos d’un error tècnic o humà. Les empreses no s’haurien de plantejar la ciberamenaça d’un lladre de la informació. Però la realitat és que hi ha tota una xarxa de ciberdelinqüència amb ànim de lucre que va a fer mal, que entren al sistema i ho trinxen tot. Per tant, els plans de ciberseguretat s’han de renovar constantment davant d’aquesta amenaça.

Una frase molt escoltada és que la ciberseguretat no es pot garantir al 100%, i potser és per això que molts empresaris – i ciutadans en general – deixen aquesta qüestió en segon terme, perquè pensen que per molt que s’hi escarrassin els ciberdelinqüents sempre acabaran aconseguint els seus objectius.

Aquesta frase l’escolto com si fos un mantra des de fa anys. El que hem de capgirar és que aquest mantra es converteixi en una excusa per a no protegir-se. El primer que dic en aquests casos a un empresari és que s’escolti a ell mateix, que faci un exercici d’honestedat i es pregunti si la frase la diu com a excusa, o en canvi farà tot allò que estigui a les seves mans per millorar la ciberseguretat de l’empresa. Una altra possibilitat és que això de que la seguretat total no existeix generi por; no hem de tenir por que demà ens pirategin, sinó que hem de tenir el coneixement que això està succeint, i com que està passant hem de pensar en allò que està al nostre abast per protegir-nos. I obrir un ventall d’opcions. El que no podem fer és no obrir els ulls, no veure el problema. Hem de veure les principals amenaces i implementar mesures de ciberseguretat al respecte.

És imprescindible que tot negoci, per petit que sigui, tingui en compte la ciberseguretat?

Qualsevol empresa que tingui vida digital i adquireixi serveis o productes necessita garanties de seguretat. Si no es donen aquestes garanties, cal cercar alternatives. Per tant, el primer que s’hauria de plantejar qualsevol negoci que tingui vida digital és si tot allò que conforma el seu sistema té garanties de ciberseguretat. Les PIMES consumidores de serveis TIC han de triar bé els serveis. Cal tenir uns tangibles que ens permetin certificar que aquell servei té unes garanties, que ens acrediti amb certificacions el seu segell de qualitat. Per a les grans empreses que tenen capacitat de programar i dissenyar el seu software, allò que és imprescindible és que es vagin autoavaluant els propis sistemes informació.

I com pot saber un empresari que no hi entén gaire, que aquella empresa de ciberseguretat o expert no li està donant gat per llebre? Que està protegint correctament el seu negoci?

Hi ha dos casos diferents: si es contracta un equip tècnic, que cal validar que en sap, o si contracta una empresa, que cal validar que ha implementat les seves pròpies mesures. Hi ha una fórmula molt senzilla i immediata: observar si de forma transparent, en el seu web, tenen publicat algun tipus de llibre blanc de la ciberseguretat, la seva política de ciberseguretat. Aquesta política de transparència és un compromís. Si et volen vendre moltes coses, però no expliquen la seva política de ciberseguretat quan implementen el servei, mala peça al teler. Una segona manera és saber si l’empresa o l’equip tècnic ha superat alguna certificació: hi ha certificacions ISO que mostren els coneixements i que són garantia en matèria de ciberseguretat.

Potser hi ha un desconeixement per part de moltes empreses que existeixen aquestes  certificacions.

En l’actualitat, tant en els cicles formatius TIC com en graus TIC hi ha incorporades assignatures, optatives o troncals, de ciberseguretat i de criptografia. Així que podem dir que els que s’hi dediquen ja n’han après a l’escola. I també cada vegada hi ha més post-graus i màsters sobre ciberseguretat. Per tant, cada vegada hi ha més documents oficials sobre coneixements en ciberseguretat que es poden exigir.

El pas al teletreball al qual s’han vist obligats molts negocis a causa de la pandèmia, s’ha fet de manera prou cibersegura?

Tota l’enginyeria de telecomunicacions ha fet un esforç intel·lectual extraordinari aquests mesos per donar la possibilitat de teletreballar. Per tant, aprofitem-ho. Abans de la covid-19 ja hi havia teletreball, però amb la crisi sanitària hi ha hagut una incorporació massiva. Allò que hem de fer és parar l’orella i saber els inconvenients que han trobat aquells que han començat a teletreballar, i així millorar tot el que sigui possible. És evident que les presses no van jugar-hi a favor, però això no ens ha de servir de topall, sinó com a impuls per seguir buscant les tècniques per teletreballar de manera segura, que hi són. El que hem de fer és analitzar els riscos i que no en patim cap.

Quins riscos s’han observat, fins ara?

Un dels principals inconvenients del teletreball és que cal canviar de xip en la manera de mirar algunes coses, tant per part de l’empresari com del treballador. Per exemple, sembla que si tenim un problema informàtic, el referent hagi de ser algú proper que n’entén més que nosaltres, potser fins i tot la parella, i això és inadmissible. Que es teletreballi no vol dir que l’empleat quedi sol i desemparat pel que fa al suport professional, tècnic o informàtic. Això és nefast per a la ciberseguretat. Cal tenir una persona de referència a l’empresa en aquests aspectes. Després hi ha el problema dels dispositius personals que passen a ser usats per a la feina. D’acord, però si es vol així, aquests dispositius també són responsabilitat de l’empresa. De fet, els primers interessats que tot això funcioni són els departaments tècnics. Un altre tema important és l’efecte túnel, és a dir, que al treballar sol a casa es tingui la sensació que si hi ha una incidència només et passa a tu; la informació hauria de transmetre’s de manera immediata, ja que si no es notifica la incidència, o es tarda molt en fer-ho, el mal pot ser majúscul. Cal tensionar organitzativament l’empresa i preparar-la per tal de tenir disponible el servei tècnic, per entendre que si un dels treballadors té un problema, aquest problema el passa a tenir l’empresa.

Treballant a casa, potser també es pot produir un relaxament a l’hora de tenir en compte determinats hàbits cibersegurs.

La ciberseguretat comença en la selecció del personal. En una entrevista de feina una de les qüestions que s’hauria de valorar sempre és si, quan aquella persona entri a treballar a l’empresa, tindrà el coneixement suficient per protegir la informació. Perquè potser és molt bona en el seu camp, però si provoca un daltabaix a l’empresa perquè no en té ni idea de determinades qüestions de ciberseguretat… És com posar el Homer Simpson a vigilar una central nuclear. A l’entrevista es pot preguntar al candidat si sap què és el doble factor d’autenticació, o com protegeix el seu mòbil… Les persones que es trobin amb aquestes qüestions, potser a la primera entrevista no les sabran respondre, però quan surtin se n’informaran, aprendran qüestions essencials de ciberseguretat, i les empreses que els contractin en un futur estaran més segures.