Parlem de ciberseguretat a l’empresa i comencem per un parell de noticies sobre incidents de seguretat en sistemes d’informació.
La primera es del 22 de setembre de 2016, però ara pot estar passant alguna cosa similar i no ho sabríem fins d’aquí a unes setmanes:
“El gigante de Internet Yahoo ha reconocido este jueves que ha sufrido un robo masivo de datos que ha afectado a 500 millones de cuentas de usuarios, uno de los mayores hackeos de la historia. Supera en alcance al reciente de Linkedin, que afectó a 360 millones de perfiles, y al anterior de MySpace, que llegó a 100 millones. Los piratas han robado información personal, como fechas de nacimiento, direcciones de correo electrónico, números de teléfono o contraseñas, según ha manifestado el grupo en un comunicado, en el que añade que los datos bancarios o de las tarjetas de crédito de los usuarios no se vieron afectados.”
La segona és del 27 de novembre de 2016.
“… els atacs informàtics a infraestructures crítiques han augmentat un 107 % en un any….
…Així, s’ha passat de 63 incidents l’any 2014 a 130 el 2015, la majoria relacionats amb virus i malware. Entre aquests, «l’estrella torna a ser el ransomware», segons admet Marcos Gómez, subdirector de ciberseguretat del Centre Nacional de Ciberseguretat (Incibe) ….
…. A la resta del món, el sector sanitari és el que va suscitar més atacs amb èxit l’any 2015, segons un informe d’IBM.
«Hi ha vegades que l’objectiu és el robatori d’informació, però altres vegades és fer xantatge als propietaris de l’hospital perquè paguin», va assenyalar el consultor de seguretat Ralph Echemendia al congrés World of Health IT, celebrat aquesta setmana passada a Barcelona.”
Això fa preguntar-nos quina protecció o quina gestió de riscos tenim en els nostres processos de negoci controlats digitalment.
De fet, la Unió Europea ha publicat recentment el Reglament de Protecció de Dades i la Directiva Europea de Ciberseguretat, que hauran d’estar en vigor a mitjans del 2018 a tots els Estats de la Unió.
Tots tenim bases de dades de productes i de clients, i probablement tots gestionem amb un ERP les compres, les vendes, els inventaris i la producció. Potser disposem d’eines de comerç electrònic i de pagament on-line. Tots confiem en programes de comptabilitat i finances. I potser fem business intelligence amb un CRM. En definitiva, tots estem immersos en la transformació digital del nostres processos.
Això implica dos tipus de riscos: el que algú vegi les nostres dades, la nostra informació, i les copiï o les robi, amb la conseqüent pèrdua de privacitat, i el que algú les interfereixi, sigui per modificar-les, encriptar-les, esborrar-les o dificultar-ne l’accés, amb les conseqüents pèrdues econòmiques i d’imatge.
Les preguntes a realitzar-nos són aquestes:
• Hi ha algú al nostre departament TIC responsable de la seguretat digital de la empresa?
• Disposem a l’empresa d’algun procediment de seguiment, comunicació i recuperació dels sistemes en cas d’incidència?
Segur que els recursos disponibles no són suficients per una tranquil·litat total, però segur que també podem fer alguna cosa per reduir i gestionar millor els riscos.
Ens estem preparant? Què estem fent?
Ramon Palacio
ramon.palacio@xponent.cat
www.xponent.cat
No Comments