Què has de fer per a protegir la teva pime d'un ciberatac?

Foto: Sebastian Herrmann / Unsplash

Foto: Sebastian Herrmann / Unsplash

25/06/2019
Beatriz González
L'impacte mitjà d'un atac oscil·la entre els 20.000 i els 50.000 euros

Al llarg de l’any passat, només a Espanya es van registrar almenys 120.000 incidents de ciberseguretat, xifra que segons dades de Sophos multiplica per set els atacs a empreses en comparació amb l’any 2014. Les més afectades per aquest tipus de delinqüència són les petites i mitjanes empreses (pimes), que són en el punt de mira dels ciberdelinqüents: més de la meitat d’aquestes empreses, el 53%, va reconèixer haver estat víctima d’un ciberatac l’any 2017, segons l’informe SMB Cybersecurity Report de Cisco.

No obstant això, en realitat aquesta xifra podria ser molt més alta. Com explica Helena Rifà, directora del màster universitari de Seguretat de les TIC de la Universitat Oberta de Catalunya (UOC), «reconèixer que s’ha estat víctima d’un ciberatac no dona bona imatge, per la qual cosa només surt a la llum una part de les empreses que han vist compromesa la seva seguretat. Amb tot, es calcula que en realitat el percentatge de les empreses que han estat atacades pot superar el 80%».

Davant aquest risc, les pimes necessiten avançar-se al problema i ser proactives. «Si s’actua quan la seguretat ja s’ha vist compromesa, el cost econòmic és molt més gran», explica Helena Rifà.

Segons els experts, ser víctima d’aquests atacs no només afecta la credibilitat de l’empresa, sinó que a més surt car. «L’Institut Nacional de Ciberseguretat (INCIBE) ha fet un estudi sobre el cost dels ciberatacs i afirma que l’impacte mitjà és d’entre els 20.000 i els 50.000 €», explica Jordi Serra, professor dels Estudis d’Informàtica, Multimèdia i Telecomunicació de la UOC, que adverteix que un dels objectius d’aquests ciberatacs és xifrar les dades del PC i demanar diners a canvi, esperant que se cedeixi al xantatge. «Els ciberdelinqüents saben que les empreses necessiten recuperar ràpidament els sistemes per a no deixar de facturar o produir, per la qual cosa segur que seran més propenses a pagar perquè se’ls solucioni el problema. Això es deu al fet que poques pimes tenen polítiques de seguretat implantades en els seus sistemes informàtics», afirma Serra.

 

Com es poden protegir

D’aquí que la primera regla d’or per a les pimes que vulguin evitar convertir-se en víctimes de la ciberdelinqüència sigui l’anticipació. «Per començar, cal conscienciar tota la plantilla de la importància de la seguretat», explica Helena Rifà. «És clau que tant els treballadors com els propietaris sàpiguen quina és la realitat a què s’enfronten per a poder evitar aquests atacs. En la majoria dels casos, la porta d’entrada és una errada humana. Però aquest tipus d’atacs, que són comuns tant a grans com a petites i mitjanes empreses, tenen molt més efecte en les pimes perquè no solen ser organitzacions tan jerarquitzades i gairebé tots els treballadors tenen accés a tot el contingut i a qualsevol base de dades, per la qual cosa són molt més vulnerables», considera Helena Rifà, que dirigeix la Càtedra IBM-UOC de Ciberseguretat.

No obstant això, si els ciberdelinqüents aconsegueixen el que busquen és perquè aprofiten un forat tecnològic, per la qual cosa només la formació de treballadors i empresaris no resol el problema. També és necessari disposar d’un sistema ben dissenyat. «En aquest sentit, las mesures tècniques fonamentals consisteixen en seguretat perimetral, amb un bon firewall o tallafocs, antivirus, routers configurats de manera segura, actualització dels sistemes… S’ha de començar per les coses que semblen més bàsiques», assegura Rifà.

A més, hi ha altres mesures que poden ser una mica més costoses però que són igualment necessàries, com ara l’elaboració d’un pla de seguretat que consisteix a identificar els actius importants per a saber què s’ha de protegir i quins són els riscos de no fer-ho. En opinió del professor Jordi Serra, contractar els serveis d’una persona especialista que es pugui fer càrrec d’aquesta tasca pot resoldre el problema. I per a abaratir aquesta inversió, una opció és associar-se amb altres pimes de manera que puguin obtenir aquest servei amb un cost menor.

«Cal prevenir els efectes dels possibles atacs», assenyala Serra. «Un empresari pot pensar que pagant la “multa” que li imposen solucionarà el problema i podrà continuar treballant, però els delinqüents sabran que aquesta persona paga, per la qual cosa li tornaran a extorsionar i a deixar completament inutilitzats els ordinadors», adverteix. La bona notícia és que el sector espanyol de ciberseguretat és capdavanter a Europa i, de fet, és considerat un dels més eficaços. En opinió dels experts, si no es contracta tant com s’hauria de contractar és «per desconeixement o per distracció. Com que la infraestructura funciona, no veuen la necessitat de gastar més en un bon sistema adequat a les amenaces actuals», indica Serra.

#expertsUOC

Foto de la professora Helena Rifà Pous

Helena Rifà Pous

Professora dels Estudis d'Informàtica, Multimèdia i Telecomunicació
Directora del màster interuniversitari de Seguretat de les tecnologies de la informació i la comunicació (MISTIC), directora de la Càtedra UOC-IBM de Ciberseguretat

Expert/a en: Ciberseguretat, protocols de seguretat en xarxes, gestió de claus, PKI.

Àmbit de coneixement: Telemàtica, seguretat.

Veure fitxa
Foto del professor Jordi Serra Ruiz

Jordi Serra Ruiz

Expert/a en: Seguretat informàtica i seguretat de xarxes, hacking, exploits, vulnerabilitats i programari, i coneixements lliures.

Àmbit de coneixement: Programari lliure, seguretat informàtica i sistemes operatius.

Veure fitxa