Agència de Ciberseguretat de Catalunya: ‘Convé impulsar una cultura en ciberseguretat’

13 octubre 2023

Temps de lectura 3 minuts

Segons el nostre estudi sobre ‘L’estat de la digitalització al Tercer Sector’ 2 de cada 3 entitats encara no té un pressupost assignat per protegir-se adequadament davant possibles atacs informàtics. Parlem amb l’Agència de Ciberseguretat de Catalunya, l’organisme que governa la Ciberseguretat a Catalunya i vetlla per una societat digital segura per al conjunt de la societat catalana i la seva Administració Pública, per a conèixer més a fons la feina que fan i descobrir eines perquè la ciberseguretat sigui una prioritat per a les entitats del tercer sector social.

Com podem crear consciència i impulsar una cultura de la ciberseguretat al tercer sector?

L’Agència de Ciberseguretat promou que tota la ciutadania utilitzi els recursos TIC d’una forma segura, i ho fa de forma especial a través del programa Internet Segura el qual aglutina la participació de tots els actors de la Generalitat en la conscienciació i formació per a un ús segur de la tecnologia i internet en tots els seus àmbits.

La intensificació d’usos de les TIC en totes les activitats, professionals i personals, ens ha obert els ulls que convé impulsar una cultura en ciberseguretat i ho podem assolir posant focus en les activitats de divulgacióformació i conscienciació que s’ajustin a cada context. Existeixen molts continguts i recursos formatius adreçats a ciutadania en general o a organitzacions empresarials que poden ajudar a prevenir situacions de risc que es donen també al tercer sector. Els apartats del web Internet Segura fan un recull bàsic d’aspectes a tenir en compte.

Quins són els principals perills i reptes a què s’enfronten les entitats socials en relació amb la ciberseguretat i els ciberatacs?

Els perills o amenaces que afronten les entitats socials no difereixen als de qualsevol altra entitat pública o privada. Si bé la component econòmica pot semblar secundària, els ciberdelinqüents no fan diferenciació del tipus d’organització i promouen campanyes d’atacs on les entitats socials també poden ser objectius. En els darrers temps s’han observat atacs automàtics que aprofiten les vulnerabilitats de les infraestructures (els servidors, els webs, el programari que s’usa…) que pot materialitzar-se en pèrdues massives de dades o, fins i tot, el segrest de la informació crítica d’una organització. Però l’intent d’obtenció d’accessos a la informació a través d’atacs de phishing al correu, per sms o per trucades de veu que prengui les credencials d’usuaris actius o el control a comptes dels recursos econòmics han crescut molt en els darrers anys. Una altra amenaça important són els derivats dels atacs de reputació digital; la pèrdua de confiança del nostre públic objectiu perquè s’ha demostrat vulnerable algun actiu de l’organització (per exemple per la fuita massiva de dades o indisponibilitats de servei).

Quines recomanacions donaríeu a una entitat social que es proposi elaborar una estratègia efectiva de ciberseguretat?

Convé conèixer a fons l’organització per a prevenir, protegir, detectar o estar preparat per respondre a un possible incident i donar la importància estratègica que té la Ciberseguretat pel que fa a l’organització. Aquest model d’estratègia per a una entitat totalment digitalitzada la pot ajudar a construir un expert de la ciberseguretat. La protecció és per a tots els actius, tecnològics, humans i les dades de treball. Això implica alguna inversió en eines, formació i conscienciació d’usuaris/es, i l’acompliment de les normes i legislació, per dir-ne una, la RGPD de la protecció de dades personals.

En cas que una entitat pateixi un incident de ciberseguretat, quins passos hauria de seguir per gestionar-lo? 

Els protocols de resposta a incidents és una peça imprescindible. En alguns casos hi ha incidents que poden activar recursos interns (per exemple, el mateix servei informàtic o un proveïdor contractat) que poden aturar els riscos (per exemple, la detecció d’un correu de phishing que es notifica a tots els usuaris perquè no piquin), però hi ha altres incidents més complexos que provoquen indisponibilitat o bloqueig de l’organització i ens convé posar-nos en contacte amb ajuts externs. A l’Agència de Ciberseguretat hi ha el CERT (900 112 444 o cert@ciberseguretat.cat) que pot donar-nos indicacions de qui podria ajudar a resoldre un incident greu quan es produeix. Per evitar els incidents que esdevenen avui en dia ens convé fer proves de seguretat i gestionar els riscos d’una forma continuada.

Quan un incident sigui greu hi haurà aspectes d’actuació (comunicació a autoritats competents, als afectats…) que no es poden improvisar i convé haver planificat mínimament com procedirem.

Un dels principals obstacles amb què es troben les entitats socials per transformar-se digitalment és la manca de formació i competències en ciberseguretat de les professionals. Com podem abordar aquesta situació des del sector? 

Si bé està disponible l’acreditació ACTIC bàsic que cada cop és més sol·licitat en l’entrada a les organitzacions, encara no hi ha prou oferta en temes de ciberseguretat bàsica. Apareixen propostes formatives que s’ajustin a models de formació continuada per a elevar el nivell de competència en ciberseguretat (protecció d’aplicacions, resposta a incidents, activitat forense…) i, de fa temps, des de l’Agència de Ciberseguretat volem impulsar la ciberacadèmia que doni resposta a través d’una comunitat formativa amb diferents itineraris formatius disponibles i la formació en eines bàsiques de protecció i detecció.