Red Seguridad / Opinió / Segond Trimestre 2018 / Juny / Pàg, 57
José Luis Juárez // IT Security Consultant a vintegrisTECH
Navegant per la Xarxa sense rumb determinat, vaig trobar un curt de Keiichi Matsuda, especialista en realidad augmentada i disseny de interfaces i usabilitat, sobre hiperrealitat i les seves conseqüències. El vídeo em va fer pensar molt sobre el punt en què ens trobem i en el gran avanç que necessitem assolir en els propers anys pel que fa a la informació personal, el seu valor, com gestionar-la i com protegir-la.
No cal dir que, tot i que el vídeo és una ficció, s’apropa molt al cicle de vida de la información avui dia. Però en qualsevol cas, abans d’arribar a aquest punt hem de culminar altres que facilitin la seva arribada. A hores d’ara, un dels principals reptes consisteix a disposar dels mitjans adequats per a realitzar una gestió de la infor¬mación amb garanties.
Segons la memòria de 2017 de la Fiscalia General de l’Estat, els procedimientos judicials relacionats amb delictes d’estafa van suposar el major grup de ciberdelictes regis¬trados, el 61 per cent, i van sumar 4.930. Aquesta dada, tot i que pot semblar bo a causa de la dràstica reducció en relació amb exercicis anteriors (19% i 22% enfront de les xifres de 2016 i 2015, respectivamente), denota que la nostra información no està degudament tractada i protegida , de manera que tenim per davant molta feina a fer.
Amb l’aplicació del Reglament General de Protecció de Dades (RGPD) des del 25 de maig d’aquest any i les noves multes de fins a 20 milions d’euros que es podrien imposar a les companyies que no observin certes normes -com, per exemple, la desaparició del consen¬timiento tàcit a l’hora de la reco¬pilación de dades-, ara més que mai es fa necessari disposar d’eines que facilitin i garanticen el compliment d’aquesta norma.
Ciber assegurances
En aquest sentit, les ciber assegurances són una bona eina si ens centrem en els requisits de contractació i de cobertures que garanteixen. Per a la seva contractació, per exemple, les asseguradores exigeixen complir amb una sèrie de mesures de seguretat que demostren certa maduresa i responsabilitat en la gestió per mitigar els riscos. Això obliga les organitzacions que vulguin contractar-los a adoptar mesures de protecció i procediments de gestió d’incidents per al compliment legal. Altrament, el ciberseguro no es concedeix.
Tal com assenyala l’Institut Nacional de Ciberseguretat (Incibe), com a cobertures bàsiques es consideren les responsabilitats i procediments regulatoris; la defensa, perjudicis i multes reguladores; els danys propis i la pèrdua econòmica; i la gestió de crisi i les despeses pagades a experts.
Els punts anteriors són un resum condensat de la llista completa en la qual cada punt disposa de temes més desenvolupats i que aplicaran segons les necessitats de contractació de cada cas, coincidint totes en la protecció de la informació i el seu tractament adequat, tant per evitar un incident com per abordar-un cop ocasionat.
Cal destacar, com és normal, que les empreses asseguradores es reserven el dret de no atendre segons quins reclamacions, el que generalment anomenem les exclusions, i que algunes són actes deshonestos, fraudulents i deliberats per part de l’assegurat; danys personals o materiales; responsabilitats assumides per contracte o acord; reclamacions prèvies i litigis previs i incidents que hagin ocorregut amb anterioritat a la data d’efecte del contracte; infracció de secrets comercials i patents; i, en alguns casos, guerra i terrorisme.
De tot l’anterior es desprèn que, tot i que una pòlissa pot ajudar a mitigar l’impacte d’un incident, és important que les empreses prenguin consciència dels riscos digitals i inverteixin en prevención. Així mateix, han d’assumir la gran responsabilitat que la nova llei els atorga i el cost del seu incompliment. A part, hi ha un risc tant o més gran que les pèrdues econòmiques i les sancions: la pèrdua de reputació, cosa que una organització triga molts anys a construir i que pot ser difícil d’esmenar.
De fet, un dels grans paradigmas que ens podem trobar en aquest àmbit és que gran part dels incidents de ciberseguretat tie¬nen un origen humà, mentre que bona part dels directius consi¬deran la seguretat TI una qüestió purament tecnològica . Un estudi de PwC ho confirma: “el 50 per cent dels directius veu la ciberseguretat com un problema tecnològic, no de negoci, quan en la realitat només el 10 per cent dels incidents estan ocasionats per la tecnologia, mentre que la resta vénen de la mà del comportament humà “.
Canvi de mentalitat
Aquest complex entorn exigeix un canvi radical de mentalitat per part dels responsables en les corporacions, les quals han de posar més focus en la cada vegada menys nítida franja existent entre l’àrea de negoci i la tecnologia utilitzada per a generar-lo. Per facilitar aquesta tasca, Víntegris disposa d’nebulaSUITE, que engloba els serveis imprescindibles per a la protecció integral de la identitat digital. Aquesta suite de tecnologies permet el següent:
# Gestionar identitats digitals. Crear certificats digitals que actuïn com números d’identificació per a les persones i els dispositius. Gràcies a disposar de la seva pròpia autoritat de certificació, està capacitada per emetre i administrar els seus propis certificats digitals.
# Controlar l’accés als actius de l’organització. Autenticar als usuaris i controlar el seu accés mitjançant autenticació multifactor adaptativa (MFA), amb capacitat per escollir en cada moment el mètode més adequat per a cada usuari i per adaptar fàcilment tot l’entorn en cada cas.
# Accelerar els processos de signatura, ja que permet que empleats i clients signin documents utilitzant certificats digitals i / o signatures manuscrites, estant tot protegit per xifrat per obtenir el màxim nivell de confiança. El sistema permet gestionar fins i tot els fluxos de treball per fer els procediments legals més senzills, dins el marc legal adequat.
A això se li sumen les capacitats que proporciona el núvol, com ara disposar d’accés global a aquests serveis de forma gairebé instantània, obtenint una cobertura integral en temes com:
- Identitat digital tant per a usuaris com a dispositius amb certificats digitals qualificats.
- Control centralitzat dels certificats digitals amb la plataforma de gestió de certificats.
- Fluxos de treball simples i personalitzats que permeten l’aprovació de documents, transaccions i processos per a un o múltiples signataris.
- Verificacions de transaccions digitals en benefici dels ciutadans i les empreses de la Unió Europea, segons el reglament Europeu eIDAS 910/2014.
- Autenticació i control sobre l’accés a l’empresa i els seus recursos.
En definitiva, comptar amb aquestes funcionalitats farà més senzill per a les empreses implementar les mesures d’obligat compliment del nou RGPD.
