Durant l’any 2020 i aquest 2021 hem estat veient com, cada dia més, la ciberseguretat és una de les pedres angulars de la continuïtat dels negocis. Independentment del sector de l’organització i que sigui pública o privada, l’ús de sistemes informàtics està tan integrat amb la resta de processos que prescindir-ne afecta de manera estructural la productivitat i pot arribar, de vegades, a causar problemes de subministrament en sectors crítics.

Moltes vegades s’acostuma a dir que la ciberseguretat és cara però, tot i que ens pugui semblar que té un cost elevat, per poder opinar si alguna cosa és cara o barata hem de tenir una cosa amb què comparar-la. Per a molts productes i serveis aquesta comparació és raonablement directa perquè podem veure el benefici directe que ens proporciona: un servei pot costar 15.000 euros l’any, però si calculem que el benefici que n’obtindrem són 30.000 euros l’any, ens pot resultar barat. Tanmateix, calcular el retorn d’inversió en ciberseguretat no és per res trivial, ja que el seu benefici no es veu en guanys sinó en evitar pèrdues.

Si prenem com a exemple l’atac a la companyia estatunidenca Colonial, coneixem que el programari segrestador que els ha atacat el 2021 els ha costat, almenys, el pagament de 5 milions de dòlars en bitcoins (dels quals l’FBI ha recuperat bitcoins per un valor aproximat de 2,3 milions de dòlars). A això cal sumar la pèrdua de negoci del 6 al 9 de maig de 2021, a més de l’impacte a escala nacional en tractar-se d’una infraestructura crítica. I no hem d’oblidar els efectes de la crisi reputacional (la investigació de l’atac ha arribat al congrés dels Estats Units d’Amèrica).

Un exemple similar el tenim amb l’atac que ha patit la multinacional càrnia JBS, pel qual han pagat un rescat estimat en 11 milions de dòlars de bitcoin. De nou, a aquesta quantitat cal sumar el cost ocasionat per la pèrdua de negoci o de béns, recordem que la carn és un producte perible, i l’impacte reputacional.

També tenim el cas d’Electronic Arts. El passat 10 de juny van reportar un incident de seguretat en els seus sistemes informàtics en què, segons la informació proporcionada per la premsa, els atacants van robar el codi font del FIFA21 i del motor de videojocs Frostbite dins de més de 780 GB de dades. Ambdues peces de programari són productes clau per al seu negoci: un, com èxit de vendes, i l’altre, com eina de desenvolupament. Això fa que la perduda potencial de vendes pel pirateig del seu programari, tant present com futur, sigui molt difícil de quantificar.

Per això, el paper de totes les branques de la ciberseguretat (disseny i arquitectura d’aplicacions i sistemes, consultoria, compliment, resposta a incidents, monitoratge, informàtica forense i auditoria) és clau per tractar de reduir al màxim l’exposició de les organitzacions, és a dir, aconseguir que un atac no sigui rendible per als atacants, ja que el cost/benefici és molt baix.

A més, cal tenir en compte que totes aquestes activitats són cícliques. La tecnologia, com bé sabem, evoluciona a tota velocitat. El que fa que les mesures preses avui puguin ser les mateixes que les que hauríem pres fa sis mesos o les que prendríem d’aquí a sis mesos. I, per poder aportar el màxim valor durant aquests cicles, cal optar per equips amb un gran coneixement tècnic i que, de manera addicional, no perdin de vista les necessitats de les organitzacions.

Per tots aquests motius, des de GMV recomanem el disseny de programes específics per als nostres clients, focalitzant-nos en les seves necessitats i en el seu estat actual per ajudar-los a adquirir maduresa en l’àmbit de la ciberseguretat i aconseguir disminuir, tot el possible, la ràtio cost/benefici dels possibles atacants.

Aquests programes haurien de començar sempre des d’un diagnòstic inicial per poder conèixer en quin estat es troba l’organització i definir què és el que necessita. Hi haurà casos en què el focus s’hagi de posar en les primeres fases: redisseny d’arquitectures i processos. D’altres vegades, el que cal és més monitoratge i uns serveis de ciberdefensa potents. En d’altres, la validació periòdica del seu nivell d’exposició. Però en una gran part dels casos, la resposta és una combinació de totes les anteriors per millorar aquelles en què l’organització ja ha invertit i implantar-hi les que no existeixen.

Com deia, és habitual sentir que la ciberseguretat és cara. Però, realment quan es fa aquesta afirmació el que s’està comparant és la despesa d’implantar-la davant la despesa actual. El que resulta molt complicat de quantificar, sovint impossible fins que no s’ha estat víctima d’un atac, és el cost d’implantar mesures davant el cost de ser atacat amb èxit. Aquesta comparació és la que posa en perspectiva que la ciberseguretat té un preu elevat, però és la diferència entre una situació en què es perden milions i una en què es poden contenir aquestes pèrdues.

 

Paula González

Cap de secció d’Auditoria de Secure e-Solutions de GMV