Albert Rulló: “Un pla de ciberseguretat no et protegeix si no l’actualitzes”

Quina és l’estratègia de ciberseguretat d’Andorra Turisme?

La nostra estratègia és clara: paral·lelament al cicle de millora contínua dels sistemes, comunicacions i formació dels empleats, treballem en la detecció mitjançant el monitoratge constant, amb la finalitat de poder respondre als casos que es poden esdevenir. Davant de cada possible incident, es plantegen diverses propostes i escenaris de recuperació, que poden ser més parcials o més globals: des d’aquells que es poden executar en paral·lel sense afectar l’activitat general de l’empresa, fins als escenaris més severs, que provocarien el blindatge total dels sistemes i de les comunicacions.

Es realitzen avaluacions periòdiques de riscos digitals?

Sí, entenent com a avaluacions les gràfiques de monitoratge de les comunicacions i les tasques de validació i recuperació aleatòria de còpies de seguretat.

Passem testos periòdics d’atacs controlats, tant interns com externs

Quins són els principals riscos?

Principalment, els derivats del correu electrònic, a causa del gran ús que se li dona des de diferents equips i de la gran quantitat de projectes que s’hi realitzen.

Hi ha programes de formació obligatòria en ciberseguretat per als treballadors?

Sí, tenim una col·laboració amb l’empresa Win2Win, a través de la qual s’estableixen un seguit de formacions periòdiques –fixades per l’Agència de Protecció de Dades–, que són d’obligat compliment per als treballadors.

La IA ha revolucionat la ciberseguretat, tant per bé com per mal

Com es treballa la conscienciació sobre els riscos habituals?

Dins d’aquestes formacions, es mostren exemples mitjançant els quals els usuaris poden veure de forma gràfica una representació dels riscos que pot ocasionar, en el dia a dia, el desconeixement o la tolerància sobre algunes accions quotidianes. Es busca sobretot la sensibilització. També és una feina que, en molts casos, ja ve donada perquè, malauradament, tots coneixem algun cas proper en què s’ha patit algun ciberatac, alguns a baixa escala i d’altres a l’àmbit mundial. El ressò mediàtic també és constant.

Es tenen identificats els actius digitals crítics?

Sí, és una de les fases prèvies al muntatge del pla de seguretat. És, de fet, l’etapa més important, ja que definirà l’abast global del pla a elaborar i, a més, suposa un impacte molt elevat pel que fa a recursos econòmics i personals.

Es fa un seguiment dels dispositius connectats?

Es monitoren servidors, equips de treball i comunicacions, mentre que la resta de dispositius més domèstics que podem trobar dins de l’empresa pertanyen a una zona aïllada tan físicament com lògicament de la resta d’equipaments corporatius. La prevenció i aplicar mesures de confiança zero és una de les mesures més beneficioses.

Andorra Turisme disposa d’un protocol de resposta davant intents de suplantació, segrest de dades o filtracions?

Sí, comptem amb un gabinet de crisi. Una vegada identificat l’incident, es decideix quines mesures correctores s’apliquen, com i què es comunica, i de quina manera es coordina la resposta entre l’equip directiu i els departaments. És molt important per definir una resposta proporcional a l’incident.

Quina mena de tallafocs, antivirus, sistemes de detecció o eines de monitoratge s’utilitzen?

Aquesta qüestió, per no vulnerar la nostra seguretat, prefereixo no contestar-la. Cal entendre que cada arquitectura té les seves particularitats i vulnerabilitats. Revelar-les també és un risc. Només puc dir que comptem amb tallafocs, antivirus i sistemes de seguretat pioners al mercat i de renom contrastat.

Es realitzen auditories periòdiques de seguretat?

Sí, seguim un pentest de tipologia Black Box i White Box, en què una empresa externa especialista en ciberseguretat ens fa atacs controlats, tant externs, sense tenir informació de res, com interns, trucant exactament a les portes dels nostres sistemes per quantificar el nivell de seguretat que ofereixen. És una pràctica molt recomanada a fi de poder valorar el nivell de seguretat de les mesures aplicades: sotmetre’s a un examen i, en funció del resultat obtingut, actuar on calgui.

S’ha establert un cicle de revisió per actualitzar polítiques, processos i eines de ciberseguretat?

És important mantenir-se actualitzat en aquest camp. Contínuament apareixen noves solucions de ciberseguretat, que són més eficients i que obliguen a evolucionar i a actualitzar els sistemes. No podem caure en l’error de pensar que, un cop dissenyat el pla de ciberseguretat, ja estàs protegit: has de seguir avaluant i aplicant les actualitzacions que van sorgint. Tenir material obsolet, malgrat que encara sigui funcional, és molt perillós precisament perquè pot ser vulnerable i no tens opció de protegir-lo. Un altre error és creure que alguna cosa, mentre funcioni, no cal canviar-la, i sí que cal, des del mateix moment que deixa de comptar amb les actualitzacions oficials del fabricant.

Quines són les principals preocupacions actuals en matèria de ciberseguretat?

Molts companys coincidiran amb mi que la IA ha revolucionat aquest camp, tant per bé –perquè és una gran eina per detectar i analitzar fonts d’informació i comportaments anòmals– com per mal, perquè a la vegada aporta més rapidesa i agilitat a l’hora de perpetrar atacs més massius i de més qualitat.

Quines millores es consideren prioritàries a curt i a mitjà termini?

A curt termini, seguir amb la conscienciació i formació dels treballadors. Ells són la porta d’entrada als sistemes i a la documentació i, per tant, un dels principals focus en què cal prestar atenció. A mitjà termini, seguir amb l’evolució contínua tant del programari com del maquinari i la xarxa de comunicacions. Tal com apuntava abans, els sistemes desactualitzats poden ser altament perillosos, siguin tallafocs, servidors, sistemes operatius o el que sigui. Sistemes que avui són segurs, si demà es detecta alguna vulnerabilitat i no som capaços d’aplicar el bug de correcció perquè ja no va suportat pel fabricant, passen a ser una porta d’entrada per a l’atacant perquè la pugui utilitzar per accedir a aquell sistema i a la resta. També m’agradaria comentar que cal prestar especial atenció a la interconnexió dels elements que formen part una xarxa. S’han donat casos en què els servidors compten amb un sistema de seguretat òptim, però que la impressora que comparteix xarxa és vulnerable. Un atacant pot utilitzar un sistema vulnerable (com ara aquesta impressora) com a intermediari per entrar al servidor ja des de dins. Tot element que formi part d’una xarxa de comunicacions té el seu pes pel que fa a ciberseguretat.

Consulta l’especial de Transformació Digital 2025