Ciberseguretat: el principi d’immunitat de grup aplicat al món tecnològic
Estem immersos des de fa temps en un augment de la regulació pel que fa a la ciberseguretat. A casa nostra, amb l’aprovació de la Llei 22/2022, del 9 de juny, de mesures per a la seguretat de les xarxes i dels sistemes d’informació, es van establir les bases d’aquesta regulació i, sobretot, es van definir dos grups d’empreses amb dos nivells d’afectació: les entitats importants i les essencials.
La normativa estableix la necessitat d’adoptar mesures tècniques i organitzatives proporcionades al risc, amb l’objectiu d’incrementar els nivells de seguretat. Si totes les entitats els incrementem, incrementem la seguretat col·lectiva de tot el país. És el principi d’immunitat de grup aplicat al món tecnològic.
El gran objectiu d’aquesta llei no és protegir les empreses de manera aïllada per al seu benefici privat, sinó protegir la seguretat nacional i la nostra economia en conjunt. En un ecosistema digital i en un país de les dimensions d’Andorra, l’efecte de la ciberseguretat el podríem considerar sistèmic.
Aquesta preocupació, que s’evidencia amb l’augment de regulació, ens porta a invertir més en seguretat per elevar-ne els nivells. Si la nostra intenció és madurar en ciberseguretat, hem d’actuar en tres àmbits: les persones, els processos i les eines (tecnologia).
El primer àmbit que ens ve a la ment sempre són les eines, la tecnologia, és a dir, els elements tècnics que executen o controlen. Alguns exemples serien els instruments que ens permeten autenticar usuaris, o els sistemes de monitorització i detecció d’atacs, o les tecnologies d’automatització per poder respondre de manera ràpida i estructurada.
El segon àmbit, els mètodes o processos, són les regles del joc. Defineixen el com, el quan i el perquè. Podem tenir les millors eines, però sense mètode no serveixen de res. Els marcs i les polítiques, els procediments o els plans de resposta són tan necessaris com les eines més avançades, perquè defineixen la nostra estratègia de seguretat, identifiquen el risc i estableixen les mesures.
Finalment, tenim les persones. La seguretat comença i acaba amb els individus. Dins d’aquest àmbit s’avalua la conscienciació i l’organització humana. Hem parlat molt de la conscienciació, de la necessitat de crear consciència. Formar sobre els riscos és clau en un entorn en què l’usuari s’ha convertit en l’objectiu número u dels atacs.
Un error molt comú és dedicar la majoria del pressupost a les eines i oblidar els mètodes (processos per gestionar-les) i les persones (que les han de fer servir o que han d’esquivar els enganys). La maduresa real creix quan tots tres àmbits avancen al mateix ritme.
Dels tres àmbits d’actuació, m’agradaria destacar el de les persones, però des de la vessant de l’operació. Em refereixo a les persones que, en el nostre dia a dia, treballem per protegir, sigui al nivell que sigui. Actualment falten perfils especialitzats en ciberseguretat al país. Els motius ens els podem imaginar: més demanda interna (generada, entre d’altres, per la regulació), una competència ferotge del teletreball internacional, la falta d’atracció de talent que pugui venir a viure al país o una mancança d’oferta local de formació especialitzada en ciberseguretat.
Aquest últim motiu ha estat el que ens ha portat a crear el Postgrau en Ciberseguretat, que a l’octubre iniciarà la primera edició a la Universitat d’Andorra. Per què un postgrau en ciberseguretat? Doncs per moltes raons: perquè hi ha una demanda real de professionals que no està coberta, perquè aquesta demanda anirà a més, perquè no cal anar a estudiar a fora, perquè és una continuïtat al Grau d’Informàtica de la UdA i, sobretot, perquè serà una oportunitat per fer xarxa, per establir contactes amb companys de classe, amb professors de renom i amb institucions i, per tant, per entrar en el món de la ciberseguretat.
Si volem que la nostra immunitat col·lectiva en matèria de ciberseguretat creixi, si volem viure en un país més segur tecnològicament, hem de poder formar els nostres estudiants perquè puguin desenvolupar la seva activitat com a professionals a les empreses del país, que els necessitem.