Genís Margarit: "Moltes entitats han optat per opcions econòmiques pel teletreball, i això és un risc brutal"
Comparteix
Les entitats del tercer sector es troben en un moment en què s'han de replantejar aspectes vitals per no comprometre la seguretat dels seus clients.
Fa uns mesos, el teletreball no era quelcom més que una idea que es plantejava com a possibilitat de futur. Ara, en plena pandèmia de la Covid-19, la situació ha fet un gir de 180 graus i moltes entitats han hagut d’adaptar-se, de pressa i corrents, a una situació on el teletreball s’ha assentat com a protagonista. Però és el teletreball una opció 100% segura per les entitats?
Parlem d’això amb Genís Margarit, enginyer de telecomunicacions i expert en ciberseguretat que, a través de la plataforma telecos.cat, va redactar el decàleg "Precaucions a l'hora de teletreballar".
Moltes empreses, abans de la pandèmia, no consideraven el teletreball com una prioritat i això va fer que l’haguessin d’implementar en molt poc temps. Creus que es va fer bé?
Tecnològicament, si et sóc sincer, s’ha fet el més bé possible. És a dir, cada empresa, en funció dels recursos que tenia en aquell moment, va trobar la solució que tenia més a l’abast. Si aquest canvi s’hagués pogut planificar per part dels departaments d’informàtica amb més temps, aleshores molts d’ells segur que haurien resolt els accessos remots de forma més segura, i amb funcionalitats avançades. Però com que la solució es va haver de buscar en un cap de setmana, es van agafar les eines que es tenien a l’abast i que permetien l’accés remot.
Podríem diferenciar dos tipus d’empreses: aquelles que durant els darrers cinc anys sí que havien fet una transició del seu sistema d’informació al núvol (del correu electrònic, el sistema de fitxers, els softwares de gestió o comptabilitat...) i per les que adaptar-se al teletreball ha estat tecnològicament senzill, i aquelles empreses que aquesta transició al núvol no l’havien fet prèviament i han hagut d’habilitar uns accessos remots a correcuita, que han quedat insegurs a causa d’una mala planificació.
Pot ser que les entitats del tercer sector hagin estat més afectades per aquest canvi?
Les que jo conec directament, no, perquè la mateixa necessitat de fer molta atenció amb els usuaris del servei, que sovint estan als domicilis o al carrer, ja els havia requerit anteriorment que els tècnics d’aquests serveis haguessin de poder accedir remotament. Si això ja ho havien demanat als seus proveïdors informàtics, cosa que en alguns casos era així, doncs ja tenien les eines necessàries per poder implementar el teletreball sense problema.
Sí que conec, tot i això, algunes entitats del tercer sector més “tradicionals”, que o bé ho mecanitzaven tot, o bé anaven amb una llibreta amunt i avall apuntant les coses, i a l'hora de passar-les a net a l'ordinador ho feien des de casa.
Què és el que una empresa necessita sí o sí per portar a terme una segura jornada de teletreball?
Hi ha múltiples factors. Començaré explicant el que més em preocupa: la disponibilitat. El sistema d‘informació, la tecnologia, ha de funcionar. Si Internet no et funciona correctament, ja et poden explicar les mil i una amenaces, que no servirà de res. El gran hàndicap d’enviar algú a teletreballar és que en la seva llar no tingui la dotació de recursos necessaris, que donin les garanties suficients: wifis que no funcionen prou bé, ordinadors sense antivirus, o compartits entre tota la unitat familiar i per tant insegurs...
Un segon factor seria comptar amb millors mesures de seguretat. Teletreballar vol dir accedir remotament a la informació, i quan s’accedeix remotament a la informació es necessita quelcom més que només una contrasenya d'accés. Jo per entrar a casa meva faig servir la clau de l’entrada, però a més també apago l’alarma. No pot ser que l’única barrera d’entrada que tinguin les empreses del tercer sector sigui una contrasenya, no és suficient, perquè d’aquesta manera, l’èxit que tenen els ciberdelinqüents a l’hora de crear estafes és molt elevat.
Un dels punts que mencioneu és la necessitat que l’ordinador que s’utilitzi només es faci servir per usuaris autoritzats. Facilitar nous terminals als treballadors és una solució, però moltes entitats ni s’ho plantegen. Com se les pot convèncer?
Si pensem des del punt de vista de l’entitat del tercer sector, la primera decisió que s’hauria de prendre és precisament aquesta, la d’aconseguir que els treballadors tinguin un bon equip a casa només dedicat a l’ús professional. Per tant, se’ls hi pot fer una pregunta: si quan els vostres treballadors estan al centre compten amb una cadira, un punt de llum, un ordinador, un escriptori... per què no poden tenir uns bons recursos mentre estan a casa?
L’estalvi financer que aconsegueixen moltes empreses quan no faciliten equips informàtics pel teletreball suposa un increment de risc brutal, perquè una entitat del tercer sector tecnològicament el que ha de tenir és un control dels seus recursos. S’han de poder administrar els actius informàtics, han de ser de la pròpia entitat, ja que així es podrà assegurar que tinguin programes de gestió remota, de manteniment, de supervisió d’incidències... Si l’ordinador no és de l’entitat, aquesta administració central ja no existeix i no es té el control de la informació.
I si l’entitat, tot i així, segueix tirant cap a la via econòmica, i no vol adquirir nous ordinadors?
Doncs aleshores el que s’hauria de fer és un pla de comunicació i de gestió dels consentiments, que almenys, mentre s’estigui realitzant el teletreball, els serveis d’informàtica de l’entitat puguin desplaçar-se i fer manteniment, supervisant i homologant els ordinadors de casa. Que la gent estigui a casa vol dir que l’ordinador ha d’estar totalment desatès? Rotundament no. Aquests equips haurien d’estar preparats per reaccionar davant d’una avaria, amb un antivirus corporatiu, que rebin alertes si es produeix algun tipus d’incidència...
Sembla com si s’hagués d’educar a les entitats, més que una altra cosa.
Les entitats del tercer sector tenen una cosa molt bona: que ja estan acostumades a tenir les persones al centre dels seus interessos. Com que les persones a les quals donen el servei tenen totes les seves dades incorporades dintre dels serveis informàtics, surt de manera predeterminada voler tenir la informàtica segura per protegir aquestes dades. El dany que pot generar una violació de la ciberseguretat en una entitat del tercer sector no és tant econòmic com humà: aquí s'està posant en risc la informació de vida dels clients.
Internet està plena d’articles que recomanen unes o altres precaucions a l’hora de teletreballar. Podríem considerar el vostre decàleg un estàndard?
El decàleg que vam publicar a telecos.cat no deixa de ser un recull de deu punts que, explicats d'una manera o una altra, estan sent compartits per totes les agències de ciberseguretat a Europa. Per exemple, l'Agència de Ciberseguretat de Catalunya també ha publicat les seves instruccions, igual que l'Incibe (Instituto Nacional de Ciberseguridad). Per tant, les recomanacions poden venir d'un costat o d'un altre, però en general totes són molt similars.
Durant el confinament, l’ús d’apps de videotrucades es va disparar. Entre aquestes estava Zoom, que es va veure envoltada per la polèmica quan va aparèixer la notícia que s’havien filtrat les dades de milers d’usuaris. Era tan insegura Zoom?
Hi ha un mercat digital en el que tothom es mira de reüll. Totes les entitats, empreses públiques, privades... es van adonar que una de les eines que els hi mancava en molts casos era una que els permetés fer reunions a distància amb els seus clients, que ja no es volien desplaçar. Clar, en el cas del tercer sector, s’havia de poder fer servir una eina que els usuaris coneguessin i sobretot, entenguessin, que fos fàcil d’utilitzar. I les eines que en un primer moment van tenir més acceptació van ser precisament aquelles que eren més fàcils d’utilitzar, com Zoom.
Què és el que provoca això? Que a l’estar el primer de la fila se’t mirin amb lupa. Però hem d’entendre el model de negoci d’apps com Zoom: quan utilitzes aquesta eina, estàs firmant un consentiment que diu que acceptes pagar a canvi de les teves dades, el que s’anomena “pay for privacy”, i això ja es troba, i des de fa temps, en apps com ara Whatsapp.
I en cas de recomanar-nos-en una, quina recomanaries?
Aquesta és una pregunta trampa, realment. A dia d’avui te’n podria recomanar una que en dos dies em deixés en ridícul. El que sí que et podria dir és que no hem de confiar en eines que prèviament hagin patit una fuga d’informació, i en el cas de les entitats del tercer sector, si han d’acabar apostant per alguna eina de videoconferència, que com a mínim tinguin un contracte subscrit amb aquella eina, que estiguin utilitzant la plataforma llicenciada.
Quin futur veus pel que fa al teletreball?
Per les entitats del tercer sector que, malauradament, ara mateix estan atenent a distància a moltes persones usuàries del servei, el futur passa per començar a renovar els seus protocols i així no deshumanitzar l’atenció a les persones. Jo em centraria a realitzar una actualització de les capacitats tecnològiques per tal que tot el servei que ara s’està fent a distància no repercuteixi molt severament en l’atenció que reben els usuaris, ja que aquests segueixen necessitant un servei molt personalitzat i proper.
Afegeix un nou comentari