Totes les entitats del tercer sector que treballen amb dades personals de la mateixa entitat com de les persones a les quals atenen, moltes d'elles que suposen informació sensible, han de tenir especial cura en protegir-les per evitar el seu robatori, tal com recull el Reglament General de Protecció de Dades (RGPD). En els darrers anys, amb el major grau de transformació digital en els processos que experimenten les entitats, la seguretat d'aquestes dades és un dels reptes a causa dels diversos riscos als quals està sotmesa aquesta informació de les entitats tan valuosa per persones ciberdelinqüents.

La Taula del Tercer Sector Social de Catalunya, a través del projecte m4social, tractar de promoure la innovació i la transformació digital de les organitzacions socials. Amb la col·laboració d'Enginyers Voluntaris, es realitzen assessoraments, de la mà de professionals, a les entitats del tercer sector. Un dels aspectes tractats és el foment d'una major consciència i maduresa digital entre les entitats per tal de reduir els riscos relatius a la fuita d'informació.

Enginyers Voluntaris el conformen membres del Col·legi d'Enginyers Agrònoms de Catalunya, d'Enginyers de Camins, Canals i Ports de Catalunya, d'Enginyers Industrials de Catalunya, d'Enginyeria Informàtica de Catalunya i de l'Associació Catalana d'Enginyers de Telecomunicació. Parlem sobre aquests acompanyaments i la importància de protegir les dades a les entitats del tercer sector amb els enginyers voluntaris Jesús Arribas, president, i Jordi Ruppmann, coordinador del projecte de Transformació Digital.

Quina activitat dueu a terme des d'enginyers voluntaris?

Jesús Arribas (J.A.): Enginyers voluntaris som un grup de voluntaris d'enginyeria de Catalunya. Bàsicament, el que volem fer és posar al servei de la societat, de les entitats socials, els nostres coneixements i la nostra expertesa per ajudar-les en el que sigui possible. Normalment, el nostre voluntariat no és finalista i s'adreça més a entitats. Són voluntariats i ajudes més de tipus secundari, tot i que també fem de caràcter finalista.

(J.A.): Actualment, estem treballant amb un projecte de transformació digital de la mà de la Taula d’entitats del Tercer Sector Social de Catalunya amb el qual, durant l'any, donem suport a diverses entitats. També estem engegant un projecte de mentoria amb joves per poder-los facilitar la inserció en el mercat laboral. Així mateix, hem fet un projecte per ajudar en temes d'eficiència energètica als edificis amb entitats que coordinen pisos per a gent sense recursos. I cal destacar també l'ajuda que hem ofert a les entitats i a centres especials de treball en temes de gestió i millora de processos.

Amb la transformació digital, ha sorgit la ciberseguretat. Primer de tot, en quin estat es troba la transformació digital dins de les entitats?

(J.A.): A molta part del sector social, em refereixo a les entitats més petites, els sobrepassa el tema de la digitalització, lògicament. Estan molt bolcades i molt dedicades a l'atenció primària dels seus beneficiaris, el que és normal o és esperable que facin. Tanmateix, no pensen en la digitalització, o els hi queda una mica lluny d'entrada. Algunes s'adonen que avui dia, en un món en què tot va amb ordinador i amb internet, veuen que no es poden quedar enrere, però pensen que amb un ordinador ja digitalitzen l'entitat. I no és així, l'ordinador és una caixa ximple que farà el que tu li demanis que faci o deixi de fer.

Quin és el procés que s'ha de seguir per aconseguir una transformació digital a l'entitat?

(J.A.): Abans de passar a la transformació digital, cal posar en ordre casa teva, saber com fas les coses, què és el que fas, què és el més important de tot el que fas, com hauries de gestionar-ho, etcètera, perquè quan tinguis clar això, sabràs quina eina necessites i com t'ajudarà. Aquesta és la visió que intentem aportar a aquest tipus d'entitat que no té tants mitjans, una manera de poder orientar-se en aquest món, de prioritzar els processos que tenen i, a partir d'aquí, dirigir la digitalització en aquesta direcció.

Jordi Ruppmann (J.R.): De vegades hi ha confusió de terminologia. La digitalització no deixa de ser l'automatització mitjançant eines digitals de processos, mentre que la transformació digital va relacionada amb una nova visió de l'estratègia per donar resposta a les demandes de la societat digital. Portem 3 anys treballant amb la taula, i hem acompanyat les entitats a identificar el que són dins d'aquesta societat digital en la qual ofereixen un servei, com a entitat social.

Les entitats són conscients que cal fer aquesta transformació?

(J.R.): Hi ha entitats que sí que tenen interès, perquè s'adonen que el problema no és tant mecanitzar o automatitzar un procés, perquè si tenen defectes en aquest procés, el que faran és automatitzar els defectes i els errors, i encara tindran més problemes d'una forma exponencial. Nosaltres les acompanyem amb aquesta línia, definint primer aquest full de ruta estratègic.

(J.R.): Una de les coses principals en aquests acompanyaments és que la feina l'ha de fer la direcció de l'entitat, i no pas l'enginyer voluntari, qui en realitat fa de coach. En algun moment hem utilitzat la paraula xerpa, d'ajudar amb algunes idees, però perquè l'entitat sigui la que hi treballi. El que intentem és avançar el més ràpid possible, però que siguin les entitats les que realment es facin el seu projecte.

Com reben les entitats aquest acompanyament?

(J.R.): En la majoria dels casos les entitats esperen solucions, però abans cal veure en quin punt de maduresa digital es troben, en quin moment necessiten aquestes solucions o identificar d'on s'obtenen les dades. I és aquí on comença a aparèixer el problema, perquè moltes tenen un cert desordre amb el tema de les dades. Tenen dades multiplicades i no coherents, en excels llarguíssims. Primer hem de fer que la dada sigui única, i a partir d'aquí entrem en temes de seguretat.

A què us referiu?

(J.A.): Passa sovint que una persona registra la informació d'un usuari, però després aquest usuari va a una altra persona que ho registra de nou en un altre lloc, i l'entitat pot tenir el nom d'una mateixa persona en diverses bases de dades, i fins i tot, escrits de diferent manera, i moltes vegades, a més, exposades. Això és fruit que la prioritat de les entitats és atendre la persona, i no tant registrar una dada una única vegada. Però sí que és veritat que aquesta part queda en un segon pla i no s'adonen que estan treballant en una mateixa dada diverses vegades i d'una manera que complica qualsevol gestió.

(J.A.): L'Excel és una gran eina de la qual es fa un mal ús. Quan es treballa amb excels, primer, ningú té cap garantia que el document que hi ha a l'entitat, amb tota la informació, estigui ben muntat. Segon, no tots els excels es parlen entre si o són compatibles, el que dificulta la gestió. I tercer, on poses aquest Excel? Si la persona que s'encarrega d'ell marxa de l'entitat, aquest document es pot perdre. O si té una contrasenya i no la sabem, doncs no s'hi podrà accedir. L'Excel és la manera que tenen totes les entitats de començar, però és on es perd la gestió de les dades de l'entitat. Tens moltes dades, però no tens informació coherent.

I un cop fet el tractament d'aquestes dades, quins riscos existeixen? Què busquen les persones delinqüents en les entitats?

(J.A.): Diria que a les entitats, pel tipus de feina que fan, hi ha un punt de certa despreocupació. És a dir, ningú pensa que des de fora els puguin fer mal, generalment no malpensen, i de vegades abaixen la guàrdia. Cal que la gent prengui consciència que, encara que sembli que no són importants per una altra persona, mai saps per qui ets important. Tampoc cal estar desconfiant tot el dia.

(J.R.): Els ciberdelinqüents t'ataquen perquè ets vulnerable i perquè realment no has fet els teus deures prèviament. Crec que és important fer una anàlisi de la gestió del risc, identificar-lo i saber què podem i què no podem controlar. La idea és minimitzar els riscos, perquè mai els podem evitar completament. Els hackers sempre van per davant de tothom, i aquest és un dels problemes que tenim.

Parleu de maduresa digital. Quines accions se solen fer i posen en risc la seguretat de les dades?

(J.R.): La maduresa digital és la mentalitat de ser conscients dels riscos existents. Per exemple, portar informació sensible en un USB. Si el perds, deixes de tenir el control d'aquestes dades. Aquesta fuita d'informació pot generar un gran problema. Primer per a la persona, perquè això pot tenir conseqüències greus, i després per a l'entitat, que és la responsable de les dades.

(J.R.): Podem fer totes les formacions o webinars sobre protecció de dades i de ciberseguretat, però cal que les entitats siguin conscients dels riscos de les accions que fan. Podem tenir un ordinador molt protegit, però si hi ha les contrasenyes en post-its enganxats al monitor, és una informació a la qual pot accedir qualsevol persona aliena. O si deixem un portàtil en un espai en el qual pot entrar tothom, si se l'emporten, ja hem perdut tota la informació. Aquesta conscienciació la intentem reforçar en els acompanyaments. Amb conscienciació i maduresa digital, les entitats ja guanyen molt en protecció de dades.

Per fer una transformació digital i per tenir una bona seguretat s'han de destinar recursos que, moltes vegades, les entitats no tenen.

(J.A.): Digitalitzar-se a cost zero és impossible, perquè a banda del cost de l'eina en si mateix, encara que algunes puguin ser molt econòmiques per a les entitats socials, s'ha d'afegir el cost de les hores que has d'invertir per posar en marxa aquella eina i formar els usuaris als quals, un cop els expliquis l'eina, els hauràs d'acompanyar d'una manera formada.

(J.R.): ​Si es treballa per tenir una bona seguretat, pots treballar el projecte amb tranquil·litat i ben pensat, guanyes temps, pots negociar preus i fas una posada en marxa no traumàtica. En canvi, si ho fas quan has tingut un atac, ja vas a contrapeu. A més de fer front les multes que hagis de pagar, o les possibles demandes per danys i perjudicis, a més s'haurà d'acabar fent igualment el projecte de seguretat de la informació, però ara en condicions totalment negatives i amb un major cost.