Entrevista exclusiva per a la Festibity
Oriol Torruella, és l'actual director de Ciber i Identitat Digital de Catalunya d’INETUM. És llicenciat en Dret i un professional especialitzat en ciberseguretat, telecomunicacions, tecnologia i media i privacitat.
Ha desenvolupat la seva carrera professional en l’àmbit privat assessorant empreses, especialment estrangeres, per a la implantació i gestió del seu negoci TIC així com en l’àmbit públic, a l’Agència de Ciberseguretat de Catalunya, de la que va ser el seu Director. Actualment, lidera la pràctica de ciberseguretat i identitat digital a Inetum a Catalunya.
---
Si poguessis fer una anàlisi breu de la ciber seguretat a les empreses, quina seria? Hi ha diferències segons l’àmbit geogràfic?
En l’actualitat, el nivell de maduresa en ciberseguretat a les empreses està per sota del que demanda el seu nivell de digitalització. Com a societat, i les empreses no en són una excepció, hem assolit un alt nivell de digitalització (això és, introducció de solucions, eines i pràctiques en l’entorn digital), però no l’hem compassat encara amb un nivell de ciberseguretat adequat.
És evident que aquesta afirmació fa de mal generalitzar, tenim diferents nivells de velocitat en aquesta implementació, però acostuma a tenir a veure més amb la filosofia i voluntat de cada empresa o entitat que no pas amb una perspectiva territorial. Malgrat es podria afirmar que alguns territoris o regions tenen un nivell de pràctica més avançada que d’altres, en tots hem vist mancances evidenciades per incidents d’alt impacte, així doncs la perspectiva territorial no és un gran diferenciador.
Quines recomanacions faries de prevenció en ciber seguretat tant a les empreses com als treballadors?
La ciberseguretat necessita ser tinguda en compte. Em refereixo a que cal ser conscient de quin és l’impacte real i efectiu de la ciberseguretat en el nostre entorn (ja siguem empresa o treballador). En el nivell actual de digitalització a què estem subjectes, en l’àmbit de l’empresa o personal, l’impacte és ja molt rellevant i amb els nous processos de transformació digital encara ho serà més.
Precisament perquè els principals riscos no són de caire tecnològic, sinó que impacten sobre els principals actius de les empreses o de les persones: continuïtat del negoci, impacte econòmic, privacitat, etc., la principal recomanació és prendre coneixement i conscienciar-se de l’impacte de la ciberseguretat en l’esfera digital de cadascú i prendre activament les mesures que es considerin adients. Abordar-ho amb una visió estratègica i pràctica, comptant amb experts en la matèria, és la millor recomanació.
"Cal ser conscient de quin és l'impacte real i efectiu de la ciberseguretat en el nostre entorn"
Totes les empreses s’enfronten a molts riscos en ciber seguretat. Quins són els més comuns actualment? Com gestiona INETUM aquests reptes amb els seus clients?
Si parlem en termes de riscos el cert és que són nombrosos i de cada vegada major impacte: paralització, disrupció i/o pèrdua de negoci, pèrdua de propietat intel·lectual, fraus de caire econòmic, publicació de dades internes, etc. El que evoluciona i es sofistica cada vegada més són les amenaces que materialitzen aquests riscos, essent potser les més conegudes avui en dia la del Ransomware (programari de segrest de la informació) o la filtració de dades. Cal tenir en compte que ens enfrontem a un sector del cibrecrim més professionalitat i capaç d’executar nombrosos atacs de manera molt eficient i amb gran impacte.
Des d’Inetum proposem un model de ciberseguretat als nostres clients que posi sobre la taula els principals riscos a què estan exposats i tracti la ciberseguretat des d’una visió complerta però pràctica a la vegada. Enfrontar els principals riscos requereix conèixer-los i prendre accions efectives per a minimitzar-los. Aquesta aproximació ha de ser sostinguda en el temps per garantir la seva efectivitat, ja que actualment les accions puntuals no garanteixen un nivell adequat i per això, calen serveis continus de governança en ciberseguretat, de monitorització de la infraestructura (a través del LiveSOC) o mitjançant anàlisis tècniques contínues executades pel nostre Hacking Team.
L’aparició de tecnologies com la Intel·ligència Artificial, la Internet de les coses i el núvol, afecten d’alguna manera en la ciber seguretat?
Tota innovació, nova solució o tecnologia implica un nou repte en matèria de ciberseguretat ja que cal identificar com funciona, quin impacte té, quina relació té amb les persones/usuaris, etc. Per tant, el món de la ciberseguretat ha d’identificar com protegir-la i mirar de garantir la minimització dels riscos que les principals amenaces presents i futures puguin produir.
La ciberseguretat no és una pràctica estàtica, sinó dinàmica i canviant. El que és adequadament segur avui, potser ja no ho serà demà. Cal dir que aquest impacte és tant en un sentit positiu, com negatiu. En algunes de les seves aplicacions ens pot impactar amb nous riscos i en d’altres ens ajuda a executar millor les nostres funcions (per exemple automatitzant un model de protecció adequat – IA- o dotant de més capacitat de processament i creixement la nostra infraestructura – Cloud-).
"La ciberseguretat no és una pràctica estàtica, sinó dinàmica i canviant. El que és adequadament segur avui, potser ja no ho serà demà"
La innovació en gestió d’identitat digital és essencial, quines iniciatives innovadores duu a terme INETUM per millorar la seguretat?
És ben cert, que la identitat és un dels pilars fonamentals de la ciberseguretat, en especial, amb els models de protecció que s’estan impulsant en l’actualitat. Per això a INETUM tenim una línia de negoci específica on desenvolupem models de protecció per la identitat així com models d’identitat digital amb eines pròpies que garanteixen aquesta robustesa que es necessita. Tenim nombrosos projectes alineats amb els estàndards europeus en matèria d’identitat digital, sector que es troba en plena evolució i desenvolupament amb el Reglament EIDAS2 i els projectes derivats.
Podries compartir algun projecte de ciber seguretat en què hagis estat involucrat recentment i que consideris particularment destacat o innovador? Quins van ser els reptes i les solucions implementades?
Pel breu termini que porto incorporat a INETUM no he pogut liderar o desenvolupar encara projectes que hagin tingut efectivitat, però si estem treballant en la construcció de models innovadors per la protecció d’entorns de lloc de treball, infraestructures, així com models de governança de ciberseguretat que volen millorar els nivells de seguretat i maduresa dels nostres clients. Segur que en breu podrem destacar-los com a models interessants i que aporten un grau de millora en la matèria.
Si haguessis de donar algun consell, quin seria el primer pas per assegurar-nos que tot funcioni correctament respecte a la seguretat?
El principal consell és ocupar-nos i no preocupar-nos en excés per la ciberseguretat. Els humans tenim tendència a que aquelles coses que desconeixem ens preocupen molt, però, en ocasions hi fem poc de manera proactiva. El meu consell és que tothom que tingui relació amb l’àmbit digital, ja sigui personalment o professionalment, desenvolupi un punt de curiositat i esperit crític al respecte de la ciberseguretat. Cada acció proactiva per “ocupar-nos” de la nostra ciberseguretat serà un motiu menys per “preocupar-nos”. Mirar-se bé un correu sospitós ens pot evitar ser víctimes d’un phishing, configurar de manera segura l’accés al nostre correu pot evitar que ens suplantin, revisar ofertes online massa avantatjoses ens pot evitar caure en un frau, tenir serveis d’experts per respondre eventualment a un incident ens pot evitar un major impacte i garantir una bona recuperació, i un llarg etcètera.
"Cada acció proactiva per "ocupar-nos" de la nostra ciberseguretat, serà un motiu menys per "preocupar-nos" "
Mirant cap al futur, com visualitzes el panorama de la ciber seguretat en els propers anys a Catalunya i quines són les àrees en què creus que ens hem d’enfocar més?
Afortunadament, Catalunya és un territori que porta anys treballant en estratègies per desenvolupar un model de ciberseguretat potents. Malgrat tot, encara queden moltíssimes coses per fer, tant en l’esfera pública com privada. Crec que la ciberseguretat seguirà sent un camp d’alt desenvolupament en que caldrà que ciutadans, empreses i administració pública posin el seu granet de sorra, ja que podem ser un territori líder en un àmbit que té molta potència a nivell tecnològic, econòmic i social.
Crec que els grans reptes de futur en que Catalunya hauria de ser referent són la integració d’evolucions tecnològiques (com la IA), el desplegament dels models de col·laboració que Europa està impulsant, el desenvolupament de nous serveis de ciberseguretat més madurs i ajustats a les amenaces i una correcta gestió del talent en el sector (que inclou tant la millora dels percentatges derivats de la igualtat de gènere així com la integració de perfils més multidisciplinars).
Pel que fa a la teva trajectòria professional, com va influir la teva formació en el teu enfocament actual cap a la ciber seguretat, i quins creus que són els aspectes més valuosos que aporta la teva experiència legal al teu rol actual?
Des del principi de la meva carrera professional em vaig dedicar a la tecnologia, en la seva vessant legal. Per aquest motiu, vaig anar desenvolupant i adquirint capacitats en un mercat totalment en desenvolupament i que em va “enganxar” des del principi.
Dit això, penso que en l’àmbit de la ciberseguretat, i en la digitalització en general, necessitem una visió amplia ja que no només té una dimensió tecnològica sinó que a hora d’ara: és un sector econòmic, és una realitat que transforma la societat i les nostres vides personals (per exemple, el debat actual del mòbil en els nostres infants), impacta en les nostres relacions legals, etc. Per aquest motiu, cal incorporar perfils de múltiples disciplines per orientar i adequar aquest fenomen a la nostra societat. En el meu cas personal, la visió i formació legal m’han permès sempre contextualitzar el desenvolupament de propostes de ciberseguretat en un marc legal i m’ha ajudat a estructurar-les per la seva implantació. La capacitat d’articular un discurs comunicatiu també és una capacitat valuosa en el nostre sector. Crec doncs que només cal tenir interès, curiositat i capacitat de treball per dedicar-se a la ciberseguretat i les virtuts de cada itinerari formatiu només poden fer que enriquir-la.
Entrevista exclusiva para la Festibity
Oriol Torruella, es el actual director de Cyber e Identidad Digital de Cataluña de INETUM. Es licenciado en Derecho y Derecho Informático y especializado en ciberseguridad, telecomunicaciones, tecnología, privacidad, televisión y litigación.
Tiene una carrera profesional en el asesoramiento de empresas, especialmente extranjeros, para la implantación y gestión de su negocio. Actualmente, asesora y gestiona aspectos de ciber seguridad en la administración pública.
---
Si pudieras realizar un análisis breve de la ciber seguridad en las empresas, ¿cuál sería? ¿Existen diferencias según el ámbito geográfico?
En la actualidad, el nivel de madurez en ciberseguridad en las empresas está por debajo de lo que demanda su nivel de digitalización. Como sociedad, y las empresas no son una excepción, hemos alcanzado un alto nivel de digitalización (esto es, introducción de soluciones, herramientas y prácticas en el entorno digital), pero no lo hemos acompasado todavía con un nivel de ciberseguridad adecuado.
Es evidente que esta afirmación hace daño generalizar, tenemos diferentes niveles de velocidad en esta implementación, pero suele tener que ver más con la filosofía y voluntad de cada empresa o entidad que con una perspectiva territorial. Aunque se podría afirmar que algunos territorios o regiones tienen un nivel de práctica más avanzada que otros, en todos hemos visto carencias evidenciadas por incidentes de alto impacto, por lo que la perspectiva territorial no es un gran diferenciador.
¿Qué recomendaciones harías de prevención en ciber seguridad tanto en las empresas como en los trabajadores?
La ciberseguridad necesita tenerse en cuenta. Me refiero a que es necesario ser consciente de cuál es el impacto real y efectivo de la ciberseguridad en nuestro entorno (ya seamos empresa o trabajador). En el nivel actual de digitalización al que estamos sujetos, en el ámbito de la empresa o personal, el impacto es ya muy relevante y con los nuevos procesos de transformación digital lo será aún más.
Precisamente porque los principales riesgos no son de cariz tecnológico, sino que impactan sobre los principales activos de las empresas o de las personas: continuidad del negocio, impacto económico, privacidad, etc., la principal recomendación es tomar conocimiento y concienciarse de impacto de la ciberseguridad en la esfera digital de cada uno y tomar activamente las medidas que se consideren adecuadas. Abordar con una visión estratégica y práctica, contando con expertos en la materia, es la mejor recomendación.
"Es necesario ser consciente de cuál es el impacto real y efectivo de la ciberseguridad en nuestro entorno "
Todas las empresas se enfrentan a muchos riesgos en ciber seguridad. ¿Cuáles son los más comunes en la actualidad? ¿Cómo gestiona INETUM estos retos con sus clientes?
Si hablamos en términos de riesgos lo cierto es que son numerosos y de cada vez mayor impacto: paralización, disrupción y/o pérdida de negocio, pérdida de propiedad intelectual, fraudes de cariz económico, publicación de datos internos, etc. Lo que evoluciona y se sofistica cada vez más son las amenazas que materializan estos riesgos, siendo quizás las más conocidas hoy en día la del Ransomware (software de secuestro de la información) o la filtración de datos. Hay que tener en cuenta que nos enfrentamos a un sector del cibrecrimen más profesionalidad y capaz de ejecutar numerosos ataques de forma muy eficiente y con gran impacto.
Desde Inetum proponemos un modelo de ciberseguridad a nuestros clientes que ponga sobre la mesa los principales riesgos a los que están expuestos y trate la ciberseguridad desde una visión completa pero práctica a la vez. Enfrentar a los principales riesgos requiere conocerlos y tomar acciones efectivas para minimizarlos. Esta aproximación debe ser sostenida en el tiempo para garantizar su efectividad, ya que actualmente las acciones puntuales no garantizan un nivel adecuado y por eso, se necesitan servicios continuos de gobernanza en ciberseguridad, de monitorización de la infraestructura (a través del LiveSOC) o mediante análisis técnicos continuos ejecutados por nuestro Hacking Team.
¿La aparición de tecnologías como la Inteligencia Artificial, la Internet de las cosas y la nube, afectan de algún modo en la ciber seguridad?
Toda innovación, nueva solución o tecnología implica un nuevo reto en materia de ciberseguridad ya que es necesario identificar cómo funciona, qué impacto tiene, qué relación tiene con las personas/usuarios, etc. Por tanto, el mundo de la ciberseguridad debe identificar cómo protegerla y tratar de garantizar la minimización de los riesgos que las principales amenazas presentes y futuras puedan producir.
La ciberseguridad no es una práctica estática, sino dinámica y cambiante. Lo que es adecuadamente seguro hoy, puede que ya no lo sea mañana. Cabe decir que este impacto es tanto en un sentido positivo como negativo. En algunas de sus aplicaciones nos puede impactar con nuevos riesgos y en otras nos ayuda a ejecutar mejor nuestras funciones (por ejemplo, automatizando un modelo de protección adecuado – IA- o dotando de mayor capacidad de procesamiento y crecimiento nuestra infraestructura – Cloud-).
"La ciberseguridad no es una práctica estática, sino dinámica y cambiante. Lo que es adecuadamente seguro hoy, puede que no lo sea mañana"
La innovación en gestión de identidad digital es esencial, ¿qué iniciativas innovadoras lleva a cabo INETUM para mejorar la seguridad?
Es cierto que la identidad es uno de los pilares fundamentales de la ciberseguridad, en especial, con las modelos de protección que se están impulsando en la actualidad. Por eso en INETUM tenemos una línea de negocio específica donde desarrollamos modelos de protección por la identidad, así como modelos de identidad digital con herramientas propias que garantizan esta robustez que se necesita. Contamos con numerosos proyectos alineados con los estándares europeos en materia de identidad digital, sector que se encuentra en plena evolución y desarrollo con el Reglamento EIDAS2 y los proyectos derivados.
¿Podrías compartir algún proyecto de ciber seguridad en el que hayas estado involucrado recientemente y que consideres particularmente destacado o innovador? ¿Cuáles fueron los retos y soluciones implementadas?
Por el breve plazo que llevo incorporado a INETUM no he podido liderar o desarrollar todavía proyectos que hayan tenido efectividad, pero si estamos trabajando en la construcción de modelos innovadores para la protección de entornos de puesto de trabajo, infraestructuras, así como modelos de gobernanza de ciberseguridad que desean mejorar los niveles de seguridad y madurez de nuestros clientes. Seguro que en breve podremos destacarlos como modelos interesantes y que aporten un grado de mejora en la materia.
Si tuvieras que dar algún consejo, ¿cuál sería el primer paso para asegurarnos de que todo funcione correctamente respecto a la seguridad?
El principal consejo es ocuparnos y no preocuparnos en exceso por la ciberseguridad. Los humanos tenemos tendencia a que aquellas cosas que desconocemos nos preocupan mucho, pero en ocasiones hacemos poco de forma proactiva. Mi consejo es que todo el mundo que tenga relación con el ámbito digital, ya sea personal o profesionalmente, desarrolle un punto de curiosidad y espíritu crítico al respecto de la ciberseguridad. Cada acción proactiva para “ocuparnos” de nuestra ciberseguridad será un motivo menos para “preocuparnos”. Mirarse bien un correo sospechoso puede evitar ser víctimas de un phishing, configurar de forma segura el acceso a nuestro correo puede evitar que nos suplanten, revisar ofertas online demasiado ventajosas puede evitar caer en un fraude, tener servicios de expertos para responder eventualmente a un incidente puede evitarnos un mayor impacto y garantizar una buena recuperación, y un largo etcétera.
"Cada acción proactiva para "ocuparnos" de nuestra ciberseguridad, será un motivo menos para "preocuparnos" "
Mirando hacia el futuro, ¿cómo visualizas el panorama de la ciber seguridad en los próximos años en Cataluña y cuáles son las áreas en las que crees que debemos enfocarnos más?
Afortunadamente Catalunya es un territorio que lleva años trabajando en estrategias para desarrollar un potente modelo de ciberseguridad. Sin embargo, todavía quedan muchísimas cosas por hacer, tanto en la esfera pública como privada. Creo que la ciberseguridad seguirá siendo un campo de alto desarrollo en el que será necesario que ciudadanos, empresas y administración pública pongan su granito de arena, ya que podemos ser un territorio líder en un ámbito que tiene mucha potencia a nivel tecnológico, económico y social.
Creo que los grandes retos de futuro en los que Cataluña debería ser referente son la integración de evoluciones tecnológicas (como la IA), el despliegue de los modelos de colaboración que Europa está impulsando, el desarrollo de nuevos servicios de ciberseguridad más maduros y ajustados a las amenazas y una correcta gestión del talento en el sector (que incluye tanto la mejora de los porcentajes derivados de la igualdad de género, así como la integración de perfiles más multidisciplinares).
En cuanto a tu trayectoria profesional, ¿cómo influyó tu formación en tu enfoque actual hacia la ciber seguridad y cuáles crees que son los aspectos más valiosos que aporta tu experiencia legal a tu rol actual?
Desde el principio de mi carrera profesional me dediqué a la tecnología, en su vertiente legal. Por este motivo, fui desarrollando y adquiriendo capacidades en un mercado totalmente en desarrollo y que me enganchó desde el principio.
Dicho esto, creo que en el ámbito de la ciberseguridad, y en la digitalización en general, necesitamos una visión amplia ya que no sólo tiene una dimensión tecnológica, sino que en estos momentos: es un sector económico, es una realidad que transforma la sociedad y nuestras vidas personales (por ejemplo, el debate actual del móvil en nuestros niños), impacta en nuestras relaciones legales, etc. Por este motivo, es necesario incorporar perfiles de múltiples disciplinas para orientar y adecuar este fenómeno a nuestra sociedad. En mi caso personal, la visión y la formación legal me han permitido siempre contextualizar el desarrollo de propuestas de ciberseguridad en un marco legal y me ha ayudado a estructurarlas para su implantación. La capacidad de articular un discurso comunicativo es también una capacidad valiosa en nuestro sector. Creo pues que sólo es necesario tener interés, curiosidad y capacidad de trabajo para dedicarse a la ciberseguridad y las virtudes de cada itinerario formativo sólo pueden hacer que enriquecerla.
Esdeveniment
12 de juny de 2024
21a Festibity
12 de juny de 2024
#ITalent