Segurtasun Adituen Euskal Elkartea: Digitalizazioa, ohiko segurtasuna eraldatzeko elementutzat

Segurtasun Adituen Euskal Elkartearen (SAE-AVPS) iritziz, funtsezkoa da enpresetako zuzendaritza organoek zibersegurtasunaren arloan parte hartzea

Azken urteotan, gero eta lotura handiagoa dago ohiko segurtasunaren (alarmak, bideozaintzako kamerak, ixteko sistemak,…) eta zibersegurtasunaren artean. Digitalizazioari eta konektibitateari esker, ohiko segurtasun sistemek gero eta lotua handiagoa dute 4.0 inguruneekin, azken hauei dagozkien mehatxuei ere aurre egin behar dietelarik, malwarea eta zibererasoak tarteko. Segurtasun Adituen Euskal Elkartea da segurtasunaren arloko Euskadiko profesionalak biltzen dituen elkartea. Eraldaketa digitalak dakartzan erronkei buruz hitz egin dugu elkartearen hiru arduradunekin: Ricardo Muguerza, Industriarekiko Harremanen arduraduna; Virginia Santamarta, Idazkari eta Diruzaina; eta José María Arana, SAEko Presidentea.

Zein da SAE-AVPS elkartearen eginkizuna?

SAE-AVPS esparru guzti-guztietako segurtasunaren arloko profesionalak biltzen dituen elkartea da. 2013an eratu zen eta gehienok ohiko segurtasunetik etorritakoak gara, kutxa gotorren fabrikatzaileak, sarbide-kontrolak eta antzekoak tarteko direla, baina gure artean badira azkenaldian zibersegurtasunaren inguruko startupak abiarazi dituzten bazkideak ere. Azken hiruzpalau urteotan, gure eginkizun nagusia segurtasunaren mundua digitalizatzen saiatzea izan da. Azken batean, segurtasunaren arloko profesionalek IT inguruneetan lan egiten dute, eta ondo baino hobeto ezagutzen dute zibersegurtasunaren inguruko guztiak haien enpresetan duen garrantzia.

Hainbat kanpaina eta inkesta egin dituzue zibersegurtasunak Euskadiko industria-inguruneei egingo dizkien ekarpenei buruz. Nolako ondorioak atera dituzue?

Hiru alderdi bereizten ditugu: gobernantza, inteligentzia eta babesa, eta erresilientzia. Gure lana enpresei aholkularitza eman eta zibersegurtasuna zabaltzea da. Gobernantzaren arloan, funtsezkoa deritzogu enpresetako zuzendaritzek zibersegurtasunarekin zerikusia duen guztian parte hartzeari. Zuzendaritzak kontuan hartu behar du zibersegurtasunaren balioa, gai honetan inplikatuz. Guk parte hartu dugun zenbait inkestatan nabarmendu denez, Euskadin, enpresen ehuneko 20k baino ez ditu finkatu zibersegurtasunari buruzko politikak zuzendaritza kontseilutik.

Inteligentzia eta babesaren arloan, parte hartu dugun beste zenbait inkestaren arabera, konpainien % 40k ez du zibersegurtasuneko politika espezifikorik ezarri fabrikazioaren arloan. Horrek dakartzan arriskuak kontuan harturik, beren-beregi nabarmendu behar da. Enpresen ehuneko 80 inguruk Interneterako konexioa du, eta zibersegurtasunaren garrantzia aintzat ez hartzeak kalte handiak pairatzeko arriskuan jartzen ditu.

Erresilientziari edo enpresak erasoari aurre egiteko darabilen moduari dagokionez, elkarrizketatutako enpresen ehuneko 15ek baino ez du finkatu negoziarekin jarraitzeko planik zibererasorik gertatzekotan.

Zer egin daiteke enpresetako zuzendaritzetan zibersegurtasunari buruz dagoen kontzientziazioa hobetzea?

Arreta handia ematen diogu segurtasun zuzendariaren zereginari. Gure ustez, nahitaezkoa da enpresen barruan pertsona batek segurtasunaren ardura hartzea, sailetan sakabanatuta utzi gabe. Guk segurtasunaren alderdi guztien ardura hartuko duen pertsona bat defendatzen dugu enpresaren barruan. Ez bakarrik zibersegurtasuna. Zuzendariek ondo baino hobeto ulertu behar dute gertatzen den guztiaren ardura, aktibo bakoitzaren ardura, enpresako zuzendari nagusiari edo administrazio-kontseiluari dagokiela. Segurtasun zuzendariaren kargua bete beharrekoa da zenbait enpresatan, legearen arabera, baina beste askok ez dute betebehar hori.

Industria arloan OT eta IT inguruneen arteko bat-egitea ikusten ari gara, eta horren ondorioz, segurtasuna beste era batera landu behar da. Orain ez da nahikoa informatika sailek segurtasun-politika jakin batzuk zehaztea. Segurtasunak PLCetarako sarbidea izan dezaketen mantentze-lanetako langileen inplikazioa behar du, baita hainbat gailu mota erabiltzen dituzten berrikuntza arloko langileena ere. Pertsona batek hartu behar du segurtasunarekin zerikusia duen guztiaren ardura.

Eta zer gertatzen da baliabide, langile eta ezagutza mugatuagoak dituzten ETEekin?

Helburua ez da pertsona batek modu esklusiboan zeregin horietan jardutea, baizik eta antolakundeko pertsona guztiek segurtasuna osotasunean aintzat hartzea. Ez da beharrezkoa 10 langile dituen enpresa batek segurtasun arloko zuzendari bat izatea, norbait horretaz arduratzea baino. Koordinazio horretaz arduratzen denak enpresako zuzendariaren ondo-ondoan egon behar du. Badakigu ez dela batere erraza, eta horrexegatik uste dugu administrazioen laguntza funtsezkoa dela lortzeko.

Zeintzuk dira gehien kezkatzen zaituzteten arriskuak edo zibermehatxuak?

Inkesten arabera, enpresek 35.000 euro inguruko batez besteko kaltea izan ohi dute zibereraso bat jasan ondoren. Guztion gaude arrisku horretan. Enpresen % 80-90ek erasoren bat izan dute, eta gainontzekoek etorkizunean izango dute. Hainbat eraso mota daude, baina horietako asko ez dira sofistikazio handikoak. Pentsonenganako engainua da arazo nagusia, metodologia, babes edo prebentziorik ezagatik. Antolatu samarra bazara eta zure enpresan tresna korporatiboak baino erabiltzen ez badira, asko irabazia duzu.

Zibersegurtasunaren arloan, elkarte gisa, nolako balorazioa egiten duzue Basque Cybersecurity Centre – Zibersegurtasunaren Euskal Zentroa abian jarri izanaz?

Hasiera-hasieratik ezagutzen dugun ekimena da. Hasieran asmo apaleko helburuak zituela uste genuen, baina egia esanda, bilakaera ikusgarria izan du eta uste baino urrunago iristen ari da. Oso lankidetza emankorra dugu haiekin, eta izugarri pozik gaude horregatik, izan ere, haien helburu nagusia gure industria defendatzea da.