Osane Consulting Ingeniaritza eta Aholkularitza arloko Arabako ETE bat da, nazioartean jarduten duena eta hainbat profesional biltzen dituena, denak ere adituak ondare arloko nahiz arlo korporatiboko segurtasun-diziplina desberdinetan. 2018an sortua, Arabako Teknologi Parkean du egoitza, eta segurtasunaren 360 graduko ikuspegi bat ematen du zibersegurtasun eta ziberinteligentzia arloetan. Ikuspegi horretatik abiatuta, konpainiako zibersegurtasuneko aholkulari Inge Barandiaranek hainbat ohartarazpen egin ditu: ETEen % 99ren iritziz, ETEak ez dira helburu erakargarri bat zibererasoentzat edo horrelako gertakari larriak jasan dituzten hamar ETEtik sei desagertu egiten dira sei hilabeteren buruan.
Zein da zuen zeregina enpresa bat zuekin harremanetan jartzen denean?
Une horretan duen asmoaren edo beharraren araberakoa izaten da. Ideala litzateke gurekin harremanetan jartzea prebentziozko neurriak hartzeko, digitalizazioak edo konektagarritasunak eskaintzen dituzten abantaila guztiak aprobetxatu eta arriskuak murrizteko. Baina tamalez, kasu gehienetan guregana jotzen dute dagoeneko jazo diren gertakariei erantzun behar zaielako. Halakoetan, eta kontuan izanik denbora urrea dela, lehenbiziko lana da gertakaria mugatu eta isolatzea, ez dezan eraginik izan aktibo gehiagorengan. Ondoren, erabakiak hartu behar dira konpainia lehenbailehen berrabiarazteko.
Datuen errealitatea ikusi eta aztertu ondoren, zure ustez enpresa mundua zergatik ez dago kontzientziatuago zibersegurtasun arloko politikak inplementatzeari dagokionez?
Ez dugulako ikusten segurtasuna inbertsio gisa, baizik eta gastu gisa. Agian oso modu eraginkorrean garatuko dugu enpresako jarduera, baina segurtasun arloko gertakari batek guztiz baldintzatu ditzake gure ahalegin guztiak, eta arriskuan jar ditzake gure negozioak. Era berean, gaur egungo gizartean bat-batekotasunaren beharra sortu diogu geure buruari. Dena nahi dugu berehala, eta kontrako sentsazioa eragiten duen oro baztertzen dugu. Gure enpresen segurtasuna bermatzea lehiakortasunaren sinonimoa da.
Oraindik asko entzuten da… “Nola erasoko naute, ETE bat naiz eta?”
Bai, nahi genukeena baino askoz gehiago. Oso zaila da segurtasuna edo zibersegurtasuna lehentasuntzat hartzea gure enpresak baloratzen ez baditugu. Azken finean, haietan lan egiten duten pertsonen familien sostengua besterik ez dira! Apalegiak gara. Har ditzagun bi ikuspuntu: ETEen portzentajea oso altua da Euskadin, % 99 ingurukoa uste dut, eta horregatik bakarrik bada ere, hau da, estatistikoki aukera asko ditugu zibereraso bat jasateko. Beste ikuspegia ez da hain matematikoa: enpresa handiek baliabide gehiago bideratzen dituzte euren segurtasunera, horregatik, zailagoa da zibereraso zuzen bat jasatea…
Baina…
… Enpresa horien hornitzaileen portzentaje handi bat ETEak dira. Hortaz, eraso horiek gure bezeroenganaino iristeko “kanal” bihurtu gaitezke. Lehenago edo geroago, eurek eskatuko digute bete ditzagula zibersegurtasun arloko gutxieneko hainbat eskakizun gurekin lanean jarraitzeko. Esaten da enpresa baten zibersegurtasun-maila neurtzeko kontuan hartu behar dela zibersegurtasun neurri gutxien dituen hornitzailearen maila. Zibersegurtasuna geratzeko etorri da, eta ez bada geure konbentzimenduz, izango da gure bezeroek edo araudiak hala eskatuko digutelako.
Zer egin daiteke hau konpontzeko?
Oro har, erreakzioz jokatzea baino hobe da proaktibo izatea. Hobea eta merkeagoa. Kontuan hartu behar da industria sektoreak banka eta aseguruena gainditu duela lehen aldiz gertakari kopuruari dagokionez. Zibergaizkileei iruditzen zaie ETEak helburu lorgarriagoak direla euren ahaleginei errentagarritasun ekonomikoa ateratzeko. Argi izan behar dugu zeintzuk diren gure aktiboak, gure arriskuak eta gure baliabideak. Proportzionalki jokatu behar dugu gauza guztietan.
Ezar daitezke oinarrizko neurriak enpresa-inguruneak kanpoko mehatxuetatik babesteko?
Lehenik eta behin zer daukagun jakin behar dugu, zer babestu behar dugun erabakitzeko. Enpresaren zerbitzura jartzen diren sistema guztiak, makineria, eta abar biltzen dituen inbentario bat egin behar dugu. Sakelakoak eta tabletak ahaztu gabe. Ondoren, elementu bakoitzak izan ditzakeen arriskuak ebaluatu behar ditugu, eta baita ere haienganako mehatxu batek antolakundean izan dezakeen inpaktua. Eta, horrez gain, hainbat segurtasun-politika ezarri behar dira, esaterako nork zein datu eskuratu ditzakeen, zertarako, eta zer egin dezaketen datu horiekin. Esaterako, oso garrantzitsua da langile guzti-guztien kontzientziazioan inbertitzea. Zibersegurtasun gertakarien % 80 gizakion erruz gertatzen dira.
Hori bezain garrantzitsua da ulertzea Zibersegurtasuna ez dela estatikoa…
Hala da, bai. Etengabeko prozesua izan behar da, antolakundean gertatzen diren aldaketa guztiak ebaluaraziko dizkiguna. Langile berriek, hornitzaile berriek, proiektu berriek, langileen bajek, eta abarrek aldatu egiten dituzte arriskuak eta mehatxuak.
Hiru enpresatik bik aurreikusita daukate datorren urtean Zibersegurtasun arloko aurrekontua handitzea. Seinale ona dirudi…
Badirudi lehiakor izateko eta hazteko gakoa -edo gakoetako bat behintzat- digitalizatzea dela. Gure bezeroek sinetsi behar dute gure lana ondo egingo dugula eta, horrez gain, ez diegula arazo gehigarririk sortuko. Zibersegurtasunean inbertituz gero konfiantza eta sinesgarritasuna irabaziko ditugu merkatuan. Merkatuan jarraitu nahi duten enpresa guztiek hartu beharko dute erantzukizun hori.