El catedràtic de la UPC Manel Medina, el doctor en Informàtica i expert en seguretat informàtica René Serral i la CEO d’Outlier Consulting Meritxell Pineda són els directors acadèmics del màster en Cybersecurity Management de la UPC School, un programa que ha format al llarg de les seves 15 edicions a més de 240 experts en ciberseguretat. En aquesta entrevista ens exposen tendències al sector i la necessitat que empreses i organitzacions extremin la protecció dels seus sistemes informàtics en un context de digitalització creixent.
- Quines tendències en ciberseguretat heu detectat recentment? Han augmentat els atacs informàtics?
[RS] Sí!, com podem observar a les notícies, cada dia tenim més ciberatacs, i cada cop tenen més impacte social. La darrera onada de Ransomware va començar amb petrolieres als Estats Units, va continuar amb empreses mitjanes i grans per Europa, però ràpidament va arribar prop nostre amb atacs a la Universitat de Castella la Manxa primer, i posteriorment, com tots sabem a l’Autònoma de Barcelona. El més preocupant, és que els cibercriminals no en tenen prou amb això i ara, com tots hem vist també, tenen per objectiu hospitals i altres infraestructures crítiques, on en el pitjor dels casos es pot atemptar contra la vida de les persones. En els últims temps, a Catalunya, hem tingut casos d’alt impacte: la cervesera Damm va veure’s obligada a aturar la producció per un atac informàtic, i la Universitat Autònoma de Barcelona (UAB) va patir un ciberatac que va afectar 650.000 arxius i carpetes i que va obligar a aturar tots els sistemes durant algunes setmanes.
[MP] A més, s’ha de tenir present que no només han incrementat els atacs, sinó també els danys a les empreses i les persones. Cada cop hi ha més dades personals compromeses. Un altre element important és que els atacs són cada vegada més sofisticats, fins i tot per a atacants de baix nivell.
[MM] Aquest increment i sofisticació dels atacs és degut a la proliferació del cibercrim com a servei, fet que permet a criminals i estafadors sense coneixements tècnics llogar una infraestructura de ciberatac per atacar a organitzacions que coneixen bé, i que, per tant, saben la informació que els poden robar, l’import de rescat que poden demanar i el moment més adient per iniciar una estafa o suplantació.
- Estan prou conscienciades les empreses i organitzacions dels riscos que suposa un ciberatac?
[RS] La veritat és que cada cop ho estan més, ja que el que pareixia un joc de quatre persones amb poca feina, s’ha convertit en un negoci molt lucratiu per als cibercriminals, com a exemple Conti, un grup cibercriminal rus que arribava a «facturar» fins a 100 milions d’euros a l’any a través d’extorsions i robatoris d’informació.
[MP] Hi ha una dicotomia, ja que, per una banda, hi ha més conscienciació perquè els ciberatacs són notícia cada dia i, per l’altra, les persones a títol individual no tenen integrada una bona cultura de ciberseguretat i encara tenen comportaments arriscats.
[MM] Aquesta conscienciació creixent està facilitada per les campanyes realitzades cada mes d’octubre per ENISA (Agència de Ciberseguretat de la UE), INCIBE (Institut Nacional de Ciberseguretat) i l’Agència de Ciberseguretat de Catalunya amb la campanya NegoCibersegur.
- Com podem prevenir millor aquest tipus d’incidents? Com invertir més i millor en aquest sentit?
[MM] A banda de la conscienciació i formació esmentades, la primera recomanació és fer una anàlisi de riscos de l’empresa, identificant els actius més importants per donar suport als processos de negoci, identificant els patrons d’atac més previsibles i posant les mesures de protecció i recuperació més efectives i proporcionades al valor del negoci que es vol protegir.
[RS] El primer que hem de tenir en compte és que un sistema és tan segur com la seva part més insegura, i en moltes ocasions acaba sent l’usuari humà. Moltes empreses ja estan invertint recursos en la conscienciació del personal, així com en la utilització de bones pràctiques digitals en el nostre dia a dia.
[MP] De la mateixa manera que no deixaríem les claus de la porta de casa posades, hem d’incorporar aquesta actitud en la nostra vida digital, incorporant hàbits com no compartir contrasenyes; utilitzar l’autenticació en dos factors; disposar de còpies de seguretat i les dades encriptades, entre altres mesures. Per exemple, ara hi ha una campanya que, sota el lema “Fengshui Digital”, incideix en aquests aspectes.
- Les tendències laborals al sector TIC situen l’expert en seguretat informàtica com una de les professions més atractives. Fins a quin punt és una aposta de futur en termes de projecció i retribució salarial?
[RS] Clarament, aquest fet reflecteix aquesta nova realitat social, en la qual els recursos digitals han passat a ser un dels béns més preuats tant per als particulars com per a les empreses. Això implica directament una demanda cada cop més alta d’aquest tipus de professionals. Aleshores, tot apunta que, a mesura que més i més empreses es comencin a preocupar per la seguretat, i més i més usuaris vegin la xarxa com un recurs indispensable, això acabarà implicant encara més demanda d’aquests perfils, tant en modalitat de consultoria, com professionals en ciberseguretat contractats per les empreses per garantir la seguretat dels seus sistemes informàtics.
[MM] Aquesta manca de professionals de ciberseguretat s’està intentant corregir amb incentius a la formació, impulsats per INCIBE, l’Agència de Ciberseguretat de Catalunya o la Digital Catalan Alliance. No obstant això, segueix sent molt difícil trobar professionals per cobrir vacants, i els sous estan creixent per damunt de l’IPC i d’altres especialitats del sector TIC. Amb la pandèmia i la normalització del teletreball, aquesta tendència s’ha agreujat, puix ara els professionals catalans poden treballar per a empreses d’altres països de la UE o dels EUA, amb sous que fàcilment doblen els que podrien cobrar a Catalunya o Espanya.
- El màster en Cybersecurity Management de la UPC va ser un programa pioner a Catalunya en la seva especialitat que s’ha anat consolidant any rere any al llarg de 15 edicions. Quina valoració en feu d’aquesta trajectòria?
[MM] Des del principi vam apostar per planificar una formació molt pràctica, impartida per professionals que podien explicar les seves experiències i les eines que empren cada dia per resoldre problemes reals. Al llarg d’aquests anys hem pogut constatar que aquesta pràctica ha permès als nostres alumnes créixer professionalment de forma ràpida i efectiva, assumint més responsabilitats i reptes a la seva empresa o a d’altres, ja que sempre poden triar. El fet que les assignatures del màster cobreixin tot el cicle de la ciberseguretat facilita la progressió dels graduats sigui quin sigui el seu punt de partida professional, optant a posicions més tècniques i especialitzades, o a llocs de gestió, més propers a llocs directius.
[RS] La gran majoria de les 15 edicions del màster s’han impartit en dues edicions en paral·lel a l’any, això visibilitza dues coses en particular: la importància d’un màster d’aquestes característiques i, sobretot, la gran qualitat del màster que s’imparteix a la UPC School. En aquest sentit, estem orgullosos d’haver pogut mantenir el nivell, inclús amb una pandèmia i amb l’aparició d’altres propostes a altres centres.
[MP] Quan portes 15 edicions, i amb molt bona salut, implica que hi ha un treball intern de millora contínua de la institució, que ens dota de les millors infraestructures; de la direcció acadèmica, mantenint al dia els continguts i ajustant les assignatures perquè tractin els temes més actuals; i, finalment, però essencial, de la implicació de professors molt bons a avantguarda de la ciberseguretat.
- Com heu adaptat el programa docent a les noves tendències i amenaces que sorgeixen en seguretat informàtica?
[RS] La ciberseguretat és un entorn en constant evolució i canvis diaris, cal pensar que cada dia es descobreixen noves formes d’aplicacions malicioses, i cada dia es troben noves errades a les aplicacions i sistemes que fem servir. Per això és imprescindible evolucionar tant les matèries que s’imparteixen com també l’enfocament que es dona dels diferents aspectes, tant tècnics com de gestió dels sistemes.
[MP] Sempre hem estat al cas de les tendències i procurem estar en contacte amb tots els agents de l’ecosistema de la ciberseguretat, des de les Administracions, les empreses, les associacions fins als professionals.
[MM] Durant aquests prop de 8 anys, hem anat incorporant o adaptant continguts com SCADA, dispositius mòbils, SSDL, blockchain, disseny i implantació de sistemes, compliment normatiu o gestió de cibercrisi. Sempre seguint els perfils professionals demandats pel mercat, i els nous patrons d’atac.
- Per què un professional que s’estigui plantejant formar-se en ciberseguretat hauria d’apostar per aquest màster de la UPC?
[RS] El màster que fem aquí a la UPC-School té l’equilibri perfecte entre la part acadèmica, necessària per tenir uns fonaments imprescindibles, com la part industrial, on experts que treballen en l’àmbit de la ciberseguretat poden explicar a classe el seu dia a dia, que es reflecteix directament en el programa acadèmic de les diferents assignatures. Cal pensar que tots els professors del màster, exceptuant part de la direcció acadèmica, són professionals del sector, i la majoria han estat professors des del principi del màster.
[MP] A més, cal tenir en compte que el component pràctic és molt important i es treballa molt en aquest màster. Donem les bases perquè el professional es pugui desenvolupar en la seva feina sabent que té les eines i els coneixements que li permetran executar les seves tasques ara i, el que és més rellevant, qualsevol repte que li vindrà. Aquest aspecte en ciberseguretat és clau perquè, com ja hem dit, és un sector en constant evolució.
- Quines característiques considereu que ha de tenir avui dia un bon professional de la seguretat informàtica?
[RS] La ciberseguretat és una disciplina transversal, és per això que es fa molt difícil poder posar un perfil únic. A la part tècnica, s’espera un/a professional amb molts coneixements sobre software, hardware, serveis, sistemes operatius i xarxes, amb capacitat per entendre el funcionament dels sistemes i així poder millorar-los, mentre que dels perfils més de gestió o direcció, s’espera tenir professionals que siguin molt disciplinats en les seves tasques, per exemple a l’hora de fer una anàlisi de riscos, o bé a l’hora de determinar els requisits d’un sistema basant-se en la legislació vigent. Cal remarcar que independentment de si són tècnics o no, s’espera en tots els casos que siguin capaços de pensar més enllà del que hi ha a la vista, com l’atacant potencial, per saber de què s’han de defensar, o com han pogut tenir èxit en un atac.
[MP] Com a complement a això que explica en René, destacar que recentment ENISA ha divulgat un document amb els 12 perfils professionals de la ciberseguretat, en el marc de les habilitats en ciberseguretat. Els perfils són molt diversos perquè van des del CISO (Chief Information Security Officer), el responsable del compliment legal, els analistes d’intel·ligència de ciberamenaces, els gestors de ciberrisc o els responsables de la resposta davant un ciberincident. Sense oblidar ocupacions més clàssiques, però que també es necessiten com a investigadors, professors o els pèrits forenses. El que sí que queda clar és que es necessiten professionals de molts camps diferents, que tinguin ganes d’aprendre i molt dinàmics. Sense oblidar que algunes posicions requereixen habilitats específiques, com per exemple tots els que gestionen ciberatacs han de tenir capacitat de treballar sota pressió.
[MM] De fet, una de les estratègies per aconseguir formar més professionals de ciberseguretat és el re-skilling, és a dir atraient a aprendre ciberseguretat a professionals d’altres sectors: advocats, industrials, telecomunicacions, seguretat física, intel·ligència, etc.