Entrevista exclusiva per a la Festibity

Oriol Torruella, és l’actual director de Ciber i Identitat Digital de Catalunya d’INETUM. És llicenciat en Dret i un professional especialitzat en ciberseguretat, telecomunicacions, tecnologia i media i privacitat.

Ha desenvolupat la seva carrera professional en l’àmbit privat assessorant empreses, especialment estrangeres, per a la implantació i gestió del seu negoci TIC així com en l’àmbit públic, a l’Agència de Ciberseguretat de Catalunya, de la que va ser el seu Director. Actualment, lidera la pràctica de ciberseguretat i identitat digital a Inetum a Catalunya.

—

Si poguessis fer una anàlisi breu de la ciber seguretat a les empreses, quina seria? Hi ha diferències segons l’àmbit geogràfic?

En l’actualitat, el nivell de maduresa en ciberseguretat a les empreses està per sota del que demanda el seu nivell de digitalització. Com a societat, i les empreses no en són una excepció, hem assolit un alt nivell de digitalització (això és, introducció de solucions, eines i pràctiques en l’entorn digital), però no l’hem compassat encara amb un nivell de ciberseguretat adequat.

És evident que aquesta afirmació fa de mal generalitzar, tenim diferents nivells de velocitat en aquesta implementació, però acostuma a tenir a veure més amb la filosofia i voluntat de cada empresa o entitat que no pas amb una perspectiva territorial. Malgrat es podria afirmar que alguns territoris o regions tenen un nivell de pràctica més avançada que d’altres, en tots hem vist mancances evidenciades per incidents d’alt impacte, així doncs la perspectiva territorial no és un gran diferenciador.

Quines recomanacions faries de prevenció en ciber seguretat tant a les empreses com als treballadors?

La ciberseguretat necessita ser tinguda en compte. Em refereixo a que cal ser conscient de quin és l’impacte real i efectiu de la ciberseguretat en el nostre entorn (ja siguem empresa o treballador). En el nivell actual de digitalització a què estem subjectes, en l’àmbit de l’empresa o personal, l’impacte és ja molt rellevant i amb els nous processos de transformació digital encara ho serà més.

Precisament perquè els principals riscos no són de caire tecnològic, sinó que impacten sobre els principals actius de les empreses o de les persones: continuïtat del negoci, impacte econòmic, privacitat, etc., la principal recomanació és prendre coneixement i conscienciar-se de l’impacte de la ciberseguretat en l’esfera digital de cadascú i prendre activament les mesures que es considerin adients. Abordar-ho amb una visió estratègica i pràctica, comptant amb experts en la matèria, és la millor recomanació.

“Cal ser conscient de quin és l’impacte real i efectiu de la ciberseguretat en el nostre entorn“

Totes les empreses s’enfronten a molts riscos en ciber seguretat. Quins són els més comuns actualment? Com gestiona INETUM aquests reptes amb els seus clients?

Si parlem en termes de riscos el cert és que són nombrosos i de cada vegada major impacte: paralització, disrupció i/o pèrdua de negoci, pèrdua de propietat intel·lectual, fraus de caire econòmic, publicació de dades internes, etc. El que evoluciona i es sofistica cada vegada més són les amenaces que materialitzen aquests riscos, essent potser les més conegudes avui en dia la del Ransomware (programari de segrest de la informació) o la filtració de dades. Cal tenir en compte que ens enfrontem a un sector del cibrecrim més professionalitat i capaç d’executar nombrosos atacs de manera molt eficient i amb gran impacte.

Des d’Inetum proposem un model de ciberseguretat als nostres clients que posi sobre la taula els principals riscos a què estan exposats i tracti la ciberseguretat des d’una visió complerta però pràctica a la vegada. Enfrontar els principals riscos requereix conèixer-los i prendre accions efectives per a minimitzar-los. Aquesta aproximació ha de ser sostinguda en el temps per garantir la seva efectivitat, ja que actualment les accions puntuals no garanteixen un nivell adequat i per això, calen serveis continus de governança en ciberseguretat, de monitorització de la infraestructura (a través del LiveSOC) o mitjançant anàlisis tècniques contínues executades pel nostre Hacking Team.

L’aparició de tecnologies com la Intel·ligència Artificial, la Internet de les coses i el núvol, afecten d’alguna manera en la ciber seguretat?

Tota innovació, nova solució o tecnologia implica un nou repte en matèria de ciberseguretat ja que cal identificar com funciona, quin impacte té, quina relació té amb les persones/usuaris, etc. Per tant, el món de la ciberseguretat ha d’identificar com protegir-la i mirar de garantir la minimització dels riscos que les principals amenaces presents i futures puguin produir.

La ciberseguretat no és una pràctica estàtica, sinó dinàmica i canviant. El que és adequadament segur avui, potser ja no ho serà demà. Cal dir que aquest impacte és tant en un sentit positiu, com negatiu. En algunes de les seves aplicacions ens pot impactar amb nous riscos i en d’altres ens ajuda a executar millor les nostres funcions (per exemple automatitzant un model de protecció adequat – IA- o dotant de més capacitat de processament i creixement la nostra infraestructura – Cloud-).

“La ciberseguretat no és una pràctica estàtica, sinó dinàmica i canviant. El que és adequadament segur avui, potser ja no ho serà demà“

La innovació en gestió d’identitat digital és essencial, quines iniciatives innovadores duu a terme INETUM per millorar la seguretat?

És ben cert, que la identitat és un dels pilars fonamentals de la ciberseguretat, en especial, amb els models de protecció que s’estan impulsant en l’actualitat. Per això a INETUM tenim una línia de negoci específica on desenvolupem models de protecció per la identitat així com models d’identitat digital amb eines pròpies que garanteixen aquesta robustesa que es necessita. Tenim nombrosos projectes alineats amb els estàndards europeus en matèria d’identitat digital, sector que es troba en plena evolució i desenvolupament amb el Reglament EIDAS2 i els projectes derivats.

Podries compartir algun projecte de ciber seguretat en què hagis estat involucrat recentment i que consideris particularment destacat o innovador? Quins van ser els reptes i les solucions implementades?

Pel breu termini que porto incorporat a INETUM no he pogut liderar o desenvolupar encara projectes que hagin tingut efectivitat, però si estem treballant en la construcció de models innovadors per la protecció d’entorns de lloc de treball, infraestructures, així com models de governança de ciberseguretat que volen millorar els nivells de seguretat i maduresa dels nostres clients. Segur que en breu podrem destacar-los com a models interessants i que aporten un grau de millora en la matèria.

Si haguessis de donar algun consell, quin seria el primer pas per assegurar-nos que tot funcioni correctament respecte a la seguretat?

El principal consell és ocupar-nos i no preocupar-nos en excés per la ciberseguretat. Els humans tenim tendència a que aquelles coses que desconeixem ens preocupen molt, però, en ocasions hi fem poc de manera proactiva. El meu consell és que tothom que tingui relació amb l’àmbit digital, ja sigui personalment o professionalment, desenvolupi un punt de curiositat i esperit crític al respecte de la ciberseguretat. Cada acció proactiva per “ocupar-nos” de la nostra ciberseguretat serà un motiu menys per “preocupar-nos”. Mirar-se bé un correu sospitós ens pot evitar ser víctimes d’un phishing, configurar de manera segura l’accés al nostre correu pot evitar que ens suplantin, revisar ofertes online massa avantatjoses ens pot evitar caure en un frau, tenir serveis d’experts per respondre eventualment a un incident ens pot evitar un major impacte i garantir una bona recuperació, i un llarg etcètera.

“Cada acció proactiva per “ocupar-nos” de la nostra ciberseguretat, serà un motiu menys per “preocupar-nos” “

Mirant cap al futur, com visualitzes el panorama de la ciber seguretat en els propers anys a Catalunya i quines són les àrees en què creus que ens hem d’enfocar més?

Afortunadament, Catalunya és un territori que porta anys treballant en estratègies per desenvolupar un model de ciberseguretat potents. Malgrat tot, encara queden moltíssimes coses per fer, tant en l’esfera pública com privada. Crec que la ciberseguretat seguirà sent un camp d’alt desenvolupament en que caldrà que ciutadans, empreses i administració pública posin el seu granet de sorra, ja que podem ser un territori líder en un àmbit que té molta potència a nivell tecnològic, econòmic i social.

Crec que els grans reptes de futur en que Catalunya hauria de ser referent són la integració d’evolucions tecnològiques (com la IA), el desplegament dels models de col·laboració que Europa està impulsant, el desenvolupament de nous serveis de ciberseguretat més madurs i ajustats a les amenaces i una correcta gestió del talent en el sector (que inclou tant la millora dels percentatges derivats de la igualtat de gènere així com la integració de perfils més multidisciplinars).

Pel que fa a la teva trajectòria professional, com va influir la teva formació en el teu enfocament actual cap a la ciber seguretat, i quins creus que són els aspectes més valuosos que aporta la teva experiència legal al teu rol actual?

Des del principi de la meva carrera professional em vaig dedicar a la tecnologia, en la seva vessant legal. Per aquest motiu, vaig anar desenvolupant i adquirint capacitats en un mercat totalment en desenvolupament i que em va “enganxar” des del principi.

Dit això, penso que en l’àmbit de la ciberseguretat, i en la digitalització en general, necessitem una visió amplia ja que no només té una dimensió tecnològica sinó que a hora d’ara: és un sector econòmic, és una realitat que transforma la societat i les nostres vides personals (per exemple, el debat actual del mòbil en els nostres infants), impacta en les nostres relacions legals, etc. Per aquest motiu, cal incorporar perfils de múltiples disciplines per orientar i adequar aquest fenomen a la nostra societat. En el meu cas personal, la visió i formació legal m’han permès sempre contextualitzar el desenvolupament de propostes de ciberseguretat en un marc legal i m’ha ajudat a estructurar-les per la seva implantació. La capacitat d’articular un discurs comunicatiu també és una capacitat valuosa en el nostre sector. Crec doncs que només cal tenir interès, curiositat i capacitat de treball per dedicar-se a la ciberseguretat i les virtuts de cada itinerari formatiu només poden fer que enriquir-la.