“És necessari inculcar la cultura de la ciberseguretat a l'empresa”

P. Què vol dir ser Hacker Ètic?

R. En realitat el de hacker ètic és un concepte que amb el temps s’ha anat distorsionant, almenys per a mi. A dia d'avui ho considero com una disciplina més dins de l'àmbit de la seguretat de la informació, que utilitza la seguretat ofensiva per avaluar el nivell de seguretat dels actius analitzats. Els hackers no són dolents, els que són dolents són els ciberdelinqüents que utilitzen eines i tècniques de hacking per cometre algun delicte. Sempre poso el mateix exemple, del carnisser, que treballa diàriament amb un ganivet a les mans, i que té un domini absolut de l'eina, però això no implica que utilitzi aquesta perícia per cometre un delicte. En aquest exemple, el carnisser és un hacker, una persona que té entusiasme per la seva feina, un gran coneixement i experiència, gaudeix amb el que fa i té unes habilitats especials per dur a terme les seves tasques diàries.

P. És cert que la digitalització ha comportat infinites possibilitats: hem fet caure fronteres i estem més connectats. Quina és l'altra cara de la moneda?

R. Tota tecnologia porta associada uns riscos de forma inherent. És cert que estem en una constant evolució digital que, com bé planteja la pregunta, ens ofereix infinites possibilitats, però també un nou mapa de riscos, amenaces i vulnerabilitats que no existien abans d'aparèixer aquesta nova tecnologia. Aquesta és l'altra cara de la moneda: que les organitzacions han d'avaluar bé els riscos associats a aquesta nova tecnologia abans d'implantar-la, i disposar de les mesures tècniques i organitzatives necessàries per mitigar o reduir aquests riscos a uns nivells acceptables per l'organització.

P. En seguretat de la tecnologia, hem d'aplicar sempre el concepte de Zero Trust?

R. Hem de partir sempre d'una confiança mínima. Si confiem que un dispositiu ja vingui de fàbrica configurat de forma segura, o que s'ha aplicat allò del "Security by design" (seguretat des del disseny), ens podrem portar una desagradable sorpresa. Aquesta desconfiança inicial, ens obligarà a estar alerta i conscienciats en la necessitat d'avaluar riscos de qualsevol sistema, per així gestionar aquests riscos de forma eficaç i eficient, i no confiar en la seguretat per defecte.

Miguel Ángel Arroyo, en una de les múltiples conferències de seguretat en què participa.

P. En l'àmbit empresarial, la informació és el principal actiu. Els ciberdelinqüents volen dades. Per què? I quines són les tècniques d'atac més habituals?

R. La informació és poder, ja sigui per la seva quantitat o per la seva qualitat. Per a qualsevol delinqüent, robar informació confidencial, és una informació de "qualitat", una informació de valor, amb la qual podrà fer el seu negoci, ja sigui venent a tercers o demanant algun tipus de rescat per recuperar o perquè no siguin publicats. Hi ha multitud de tècniques, però de forma global, podríem dir que les més utilitzades són les intrusions en els sistemes i el seu posterior robatori. Aquest tipus d'atacs tenen com a causa arrel l'explotació d'una vulnerabilitat en el sistema, l'accés físic als mateixos o el robatori de credencials a través d'enginyeria social, com pot ser el cas de la suplantació d'identitat utilitzant el correu electrònic com a mitjà de comunicació (phishing).

P. Què poden fer les empreses per fer front a aquests ciberatacs? Tenen prou recursos?

R. Estar preparats. Se sol dir que les empreses es divideixen en dos; les que han estat atacades i les que seran atacades. I això és una realitat. Cal conscienciar-se que tard o d'hora tindrem un incident de seguretat, i per a això cal estar preparats. Una actitud proactiva de seguretat ajudarà en aquest sentit, i una avaluació prèvia de riscos possibilitarà detectar quines mesures de seguretat cal implantar per reduir la probabilitat o impacte d'un incident de seguretat. També és cert que hi ha un nombre important d'empreses que no compten amb els recursos necessaris per fer front als ciberatacs, i és una tasca de la direcció de les empreses inculcar aquesta cultura de ciberseguretat en les organitzacions, entenent que la seguretat és un procés transversal que afecta les persones, tecnologia i processos de l'organització, i que sense aquesta seguretat, serà molt més complicat complir amb els objectius de negoci, ja que no s'estan garantint les dimensions bàsiques de la informació com són la confidencialitat, integritat i disponibilitat.

P. Ser Security Business Manager de SEMIC significa estar al dia de les solucions i tendències en seguretat empresarial. Quin creus que és el principal repte?

R. Precisament aquesta evolució digital en què estem immersos, ens està portant a un escenari en el qual pràcticament tot està connectat, fins i tot els electrodomèstics de les nostres cases. En aquest sentit, un dels grans reptes de la seguretat és el IOT (Internet of Things), i és com garantir la seguretat en tots aquests dispositius que s'estan connectant a la xarxa. També caldrà prestar especial atenció a les infraestructures crítiques dels països. Cada vegada és més habitual veure activitats de ciberguerra d'un país atacant les infraestructures crítiques d'un altre país.

P. Què és el pròxim que veurem?

R. Sense cap dubte, la intel·ligència artificial està irrompent d'una forma molt important en la seguretat de la informació, tant des del punt defensiu (anàlisi de comportaments de les amenaces) com des del punt de vista ofensiu.