Dircom Catalunya

Selva Orejón Lozano: “Quan hi ha un atac a la ciberseguretat sempre hi ha una afectació reputacional”

4 maig, 2021 | Dircom Catalunya

Durant uns mesos, el món online s’ha convertit en l’únic món a través del qualinteractuar amb la resta de la societat i, en conseqüència, en el focus de totes lesmirades. Les empreses s’han adonat que la construcció de la reputació no podiaobviar l’espai digital i els grups criminals no han perdut l’ocasió d’ampliar el seu campd’acció i els ciberatacs s’han disparat. En parlem amb Selva Orejón, fundadora idirectora executiva d’OnBranding, empresa de referència en la gestió de crisis dereputació digital i ciberseguretat.

Com ha afectat la pandèmia a una empresa com OnBranding?

Ens ha afectat bastant més pel que fa a la ciberinvestigació i la ciberseguretat que nopas pel que fa a la reputació digital, però són vasos comunicants, perquè quan hi haun atac a la ciberseguretat sempre hi ha una afectació reputacional, especialment enfunció de com es gestioni l’incident. Hem vist que, en general, els departaments decomunicació no tenen gaire relació amb els departaments de seguretat i com que enaquest període ha augmentat tant el cibercrim, finalment això ha acabat afectant lareputació de les empreses. Encara no tenim dades d’aquest increment, però nosaltreshem hagut d’incorporar cinc persones a l’equip (que ara és de 26 persones), a causade l’augment d’amenaces al ram software i de comptes hackejats, suplantacionsd’identitat i atacs relacionats amb les deep fake. Per nosaltres ha estat un any positiupel que fa a la facturació, però també hi ha hagut més impagaments que mai. El volumde feina va per onades, en funció del cibercrim, però en el futur probablementaugmentaran les campanyes de saqueig de comptes, tret que les plataformes socialsincorporin mesures preventives.

Malgrat que les empreses poden construir la seva identitat digital, lareputació no depèn mai del tot de l’organització. Com es pot fer front al perillque això suposa?

El més important és el diagnòstic de com estem. Cal saber quin és el front en quèl’empresa és més vulnerable i conèixer quines són les organitzacions o les personesque poden fer mal a la reputació, quines són les paraules clau i quins dominis s’hande monitoritzar. Hem vist, però, que la majoria d’institucions encara no tenen sistemesde vigilància digital que contemplin tant la vessant reputacional com la pròpiament deciberseguretat i això per mi és bàsic. De vegades, és perquè qui pren les decisions nos’ha vist mai en una situació d’aquestes característiques i fins que no ho pateix i no enté el record emocional de com es passa, no es posa les piles. Pensa que hi ha menysde 20 agents a l’àrea de ciberdelinqüència dels Mossos: això és absurd!

Últimament es parla de la “cultura de la cancel·lació”, les crides al boicot apersones o organitzacions que han tingut conductes qüestionables. En algunscasos, però, per conductes que han passat fa anys o per les quals elsprotagonistes han demanat disculpes. Com s’hi pot fer front?

Sempre depèn del cas, però el primer que faria és un diagnòstic per veure quin és elnivell de preocupació que està generant a la població, fins on arriba la difusió i quinessón les persones afectades. Després, analitzaria si hi ha una ‘criticitat’ per al negoci i,en funció de com sigui de greu, començaria a fer declaracions o, fins i tot, a prendredecisions relatives 100% al negoci. No estic gaire d’acord amb el silenci, però hi haclients que ens ho demanen. D’altra banda, en alguns casos, com el d’un client ambuna acusació falsa de pederàstia, en el moment en què se’t dóna la raó des del puntde vista legal, pot ser ja massa tard, perquè s’ha fet tant soroll i hi ha hagut un desgastemocional tan fort que el mal ja està fet.

També treballeu per defensar el dret a l’oblit dels clients a Internet. Com esconjuga amb el dret a la informació?

Bé, al dret a l’oblit s’hi poden acollir les persones, perquè per a les empreses seriamés aviat el dret a l’honor. En tot cas, no són fàcils de conjugar: de vegades hem dedir als clients que ho tindrem molt complicat, perquè són personatges públics i pertant, el dret a la informació passa per sobre del dret a l’oblit. En aquests casos, el queproposem als clients és treballar per desposicionar aquests continguts i generarcontinguts neutres o positius que puguin indexar als navegadors de manera que quanles persones hi busquin la informació, els aparegui el que els clients volen i no lainformació que s’ha publicat en alguns mitjans de manera ni tan sols contrastada.

“Els departaments de comunicació notenen gaire relació amb els de seguretat”

Perfils rellevants de la política, la cultura o els mitjans han posat d’actualitatl’abandonament de xarxes com Twitter per l’alt nombre de perfils falsos quenomés intoxiquen. Com s’han de gestionar les interaccions amb aquest tipusde perfils? Deixar les xarxes és una opció per a les empreses?

D’entrada, em sembla molt trist que, veient la quantitat de casos d’assetjament queportem, Twitter no doni resposta a situacions com aquesta afegint un filtre de control de continguts per paraules clau, que no ha d’anar en contra de la llibertat d’expressió,sinó que ha de permetre un debat amb respecte i dins de la legalitat. En tot cas, però,com a empresa, el primer que cal fer és tenir publicades les polítiques de participacióa les xarxes socials corporatives, redirigir-hi l’usuari que les vulneri i dir-li “miri, aquestés el motiu pel qual els seus comentaris seran silenciats”. S’ha de diferenciar molt bé,però, quan es tracta d’un trol que critica de manera no argumentada dins d’unacampanya organitzada de quan és un usuari descontent que l’únic que fa és exercir elseu dret d’opinió. En aquest cas, cal recollir la seva crítica, aplicar l’empatia tàctica i sercongruents amb el codi ètic de l’empresa. Deixar les xarxes pot tenir sentit quan el teutarget realment no hi és, però deixar-les per por i fer la tècnica de l’estruç jo no hofaria: al contrari, crec que en aquest cas l’empresa hauria de dedicar-hi més recursos.

El teletreball, com deies, ha fet créixer els ciberatacs. Quins són els patronsmés habituals i quins són els que més han de preocupar les empreses?

El més greu per mi és que la major part de les empreses han optat pel BYOT, el bringyour own device, és a dir, que cada usuari treballi amb el seu propi dispositiu, i això, siels usuaris no estan entrenats, pot no garantir la seguretat de les dades i pot deixar laporta oberta perquè l’usuari es quedi amb certa informació. A més, també empreocupa força que les configuracions d’accés a aquests dispositius, al
router o a laconnexió 4G s’estan fent sense VPN, una virtual private network, i, com que això implicaque l’empresa no té coneixement del control de les comunicacions, és possible que esfiltrin informacions sense que l’empresa ho sàpiga. Se m’acudeixen molts tipus d’atac, però un dels més bèsties és el man in the middle , que consisteix a crear una xarxa quees diu igual que la de l’empresa, però que no té contrasenya, fa veure que ésl’empresa i es queda amb el trànsit de dades. Això és absolutament habitual. El mínim,en el cas que els dispositius siguin personals, seria que fossin MDM, que parteixin eldisc en compartiments estancs, fer servir solucions de VPN de pagament i solucionsantivirus i antimalware.

Defensar la reputació d’una organització que ha incorregut en malespràctiques us suposa un dilema ètic?

Nosaltres en aquests casos no hi treballem. Tenim un codi ètic publicat al web i quediu que no treballem per a persones o empreses que hagin estat condemnades peralgun delicte. Sóc molt clara: escollim cadascun dels casos i si no ho veiem clar, no hitreballem.

Quins són els reptes de futur de la ciberseguretat i la reputació digital?

D’entrada, el massive bot reporting , els atacs indiscriminats a un compte per tal desilenciar-lo. Són molt complicats de solucionar, perquè posen la intel·ligència artificialdel grup criminal contra la intel·ligència artificial de les plataformes i aquesta últimaencara no és capaç de diferenciar si es tracta d’un reporting autoritzat que s’ha decontemplar o d’un reporting orquestrat. Ara mateix té mala solució i això m’estàpreocupant bastant, perquè ens trobem per exemple amb polítics que s’han quedaten una setmana tres cops sense accés al seu Instagram. A més, continuen sent moltgreus les campanyes pagades de desprestigi. En aquest cas, l’empresa només endetectarà l’origen si paga un servei de peritatge com els que nosaltres oferim o comels que pot requerir per via judicial, però difícilment si ho deixa en mans només deldepartament de comunicació o només del departament de seguretat.

Etiquetas:

Agenda

Actualitat

Actualidad relacionada