La seguretat dels sistemes informàtics és un tema que preocupa. El segrest de les dades a la Universitat Autònoma de Barcelona (UAB) ha posat sobre la taula una amenaça que des de fa anys concentra una part important de les actuacions TIC a institucions i empreses. Tanmateix, és important tenir present que un 90% dels atacs a la seguretat tenen el seu origen en un error humà que facilita l’entrada de ciberdelinqüents en els sistemes. El vicerector d'Estratègia Digital de la Universitat Politècnica de Catalunya · BarcelonaTech (UPC), Àlvar Vinacua, explica en aquesta entrevista com està treballant la UPC la seguretat de les seves xarxes i què pot fer el PDI, el PAS i l’estudiantat per contribuir a millorar la seguretat dels sistemes i, també, de les seves dades personals.

Podria la UPC patir un atac com el que va tenir la Universitat Autònoma de Barcelona (UAB)?
Sí, i li pot passar a qualsevol. Tothom hi està exposat. Grans empreses, corporacions o governs... han tingut atacs. D’alguns en tenim notícia i d’altres, no... Aquests atacs no provenen de hackers que estan sols a la seva habitació, com acostumem a imaginar. Són accions planificades i executades per grups de ciberdelinqüents que troben tolerància en països determinats. Mentre això passi, estarem exposats a patir-ne.

I què cal fer?
En primer lloc, des dels serveis TIC hem de tenir una actitud proactiva en la vigilància. Que la tenim. Repassem constantment els procediments, prenem mesures, escoltem i tenim el core de les dades molt protegit. Hem d’estar tranquil·les i tranquils, però no podem deixar de treballar mai. Una universitat és un entorn molt complex, amb un perfil molt atractiu per als ciberdelinqüents. Tenim moltes aplicacions en funcionament, moltes persones treballant, teletreballant, connectant-se al núvol, fent servir xarxes socials, amb contrasenyes que un delinqüent triga molt poc a esbrinar...  tenim el que es defineix com una gran superfície d’exposició. I un estàndard únic d’aplicacions i equips a la UPC és impensable. Per això, ara volem posar l’èmfasi en un aspecte clau en la ciberseguretat que de vegades es difumina: la formació de les persones que estudien o treballen a la UPC. Estem proposant un curset de conscienciació en ciberseguretat a tota la comunitat. Curt i online, el curs proporciona les pautes necessàries per protegir no només a la institució, sinó també les dades de les persones. El curs està acreditat com a formació tant per al PDI com al PAS. i creiem que serà molt útil.

"Repassem constantment els procediments, prenem mesures, escoltem i tenim el core de les dades molt protegit, però no podem deixar de treballar mai "

Quins aspectes tracta el curs?
Hem volgut que sigui molt pràctic. Permetrà que puguis tenir contrasenyes segures i utilitzar els dispositius mòbils i les xarxes socials amb seguretat. També ofereix informació sobre com evitar el phishing, un dels grans instruments que empren els ciberdelinqüents per penetrar en els sistemes. El curs també et forma per navegar, per fer servir les xarxes públiques i el núvol de manera segura i t’ofereix formació per poder salvaguardar les teves dades personals.

La UPC té grans expertes i experts en ciberseguretat i IThinkUPC, l’empresa del Grup UPC, ofereix precisament vigilància i ciberseguretat a les empreses, això ha d’ajudar la UPC...
Sens dubte, comptem amb grans expertes i experts a la Universitat i, efectivament, IThinkUPC  ofereix aquest tipus de serveis a empreses i corporacions. Tot això té un valor important per treballar en la seguretat. Actuem en la protecció dels sistemes corporatius per reduir les possibilitats dels atacs actualitzant constantment les mesures de què disposem i introduint-ne de noves seguint l'evolució de les amenaces i esdeveniments en l'àmbit de seguretat. Vigilem molt especialment els sistemes corporatius clau, però donat l'actual augment d'activitat maliciosa, estem eixamplant la vigilància a tots els àmbits de la nostra xarxa.

"Estem eixamplant la vigilància a tots els àmbits de la nostra xarxa"

L’atac de la UAB ha posat les piles a corporacions i empreses en matèria de ciberseguretat?

No diria tant. Es treballa moltíssim i des de fa molt de temps, però hem de saber que la seguretat al 100 % no existeix. Només l’aïllament és segur. I no és una opció, així que permanentment hem de trobar solucions per a un entorn TIC amb una gran superfície d’atac, i respostes apropiades al conflicte entre el nivell de seguretat i el nivell d’usabilitat que, sovint, impliquen incomoditat per a les persones usuàries. Per exemple, cada dia serà més freqüent haver d’utilitzar la identificació en dos passos en els sistemes perquè redueix molt les possibilitats als ciberdelinqüents.

Serà el pas següent en els sistemes UPC?
Tot apunta en aquesta direcció, però caldrà continuar treballant per trobar les millors solucions: l’enginyeria és trobar un compromís entre qüestions en conflicte...