En un context on l’ús d’internet i l’ordinador està ocupant la centralitat de la majoria dels treballs, aquest article vol compartir una visió sobre els reptes i desafiaments que es presenten en la seguretat informàtica (coneguda també com a ciberseguretat), així com en la seguretat referida a les dades.

Però si ambdues són seguretat, per què no són el mateix?

Moltes organitzacions creuen tenir “guanyada la batalla” en matèria de seguretat informàtica en comptar amb eines fonamentals com un firewall, VPN o d’altres com l’IPS/IDS que monitoren les xarxes o els famosos antivirus. Tot i això, aquestes mesures de seguretat no tenen una relació directa amb la “seguretat de les dades”, ja que es tracta de dues dimensions diferents.

Per entendre-ho, hem de pensar en la Ciberseguretat com l’arquitectura d’una fortalesa: els murs, els fossats i els guardes impedeixen que un estrany hi entri. La seva missió és protegir el continent. Per contra, la Seguretat de les Dades se centra en el contingut: és el conjunt de mesures que asseguren que, fins i tot si algú és dins de la fortalesa, no pugui llegir un document secret si no té permís. No es tracta només de qui hi entra, sinó de què es pot fer amb la dada.

Mentre la ciberseguretat bloqueja atacs externs, la seguretat de dades implementa tècniques com el xifratge de bases de dades, l’emmascarament o l’anonimització. Aquesta capa pertany a la dimensió del ‘Govern de la Dada’, ja que és el negoci qui decideix, sota criteris ètics i legals, quina dada és sensible i quin nivell de blindatge requereix segons el seu cicle de vida.

Al seu torn, també es busca establir una línia de base per complir amb les normatives vigents (com el RGPD o la LOPDGDD), així com tenir consciència del valor que tenen les dades que tenim en cas de patir un atac.

En definitiva, la seguretat informàtica i la seguretat de les dades són dues cares d’una mateixa moneda: mentre la primera vetlla perquè ningú hi entri, la segona assegura que s’arribi on es vol i es pot anar. Aquest matís en el vocabulari ha tingut impactes cada vegada més grans per a les empreses, i que compartim a continuació.

Els atacs creixen i les despeses també

Segons una nota del 2025 el FMI estimava el 2024 que la “ciberdelinqüència” costarà uns 23 bilions de dòlars el 2027 a tot el món, suposant un augment del 175% respecte al 2022. Alhora, es considera que no moltes organitzacions disposen de persones capacitades i dedicades exclusivament a aquesta tasca.

En el mateix sentit, en l’informe “Prospectives 2026” de l’Agència de Ciberseguretat de Catalunya s’ha donat a conèixer que en el 82,6% de les estafes per correu electrònic s’han identificat enllaços maliciosos que ja utilitzen IA.

A més d’aquesta tècnica (coneguda com a phishing) n’hi ha d’altres associades a la vulneració de la seguretat, com ara: suplantació d’identitat, programari maliciós, atacs a dispositius o als núvols on allotgem les nostres dades.

Finalment, cal esmentar una altra qüestió: Als problemes derivats de l’atac se li han de sumar les sancions reguladores: una bretxa que exposi dades personals pot derivar en multes de fins a 20 milions d’euros o el 4% del volum de negoci global anual sota el RGPD. El cost de l’incident no acaba amb l’atac.

El règim sancionador és sever: el RGPD preveu multes de fins a 20 milions d’euros o el 4% de la facturació global, i NIS2 afegeix sancions de fins a 10 milions per a entitats essencials, estenent a més la responsabilitat personal als òrgans d’adreça. La ciberseguretat deixa de ser un assumpte exclusivament tècnic per a convertir-se en una qüestió d’agenda executiva.

A aquestes, cal afegir-hi el “factor humà”, que és la principal causa de la majoria dels casos de vulneració.

Així doncs, el problema de la seguretat, a més d’evitar intrusos o fugues, és també un problema major a causa del desenvolupament de l’eina estrella d’aquesta dècada: la IA.

Gràcies al creixement de l’eina, moltes formes de vulnerar sistemes de seguretat han millorat la seva eficàcia, alhora que també ha crescut la filtració de dades privades per al seu ús com a conseqüència de l’absència de mesures de seguretat sobre les dades a les empreses o organismes.

Hi ha una paradoxa en tot això que val la pena compartir: s’estima que hi ha un 60% de personal extern dedicat a temes de seguretat a les empreses, mentre que altres estudis defineixen que es necessiten milions de persones més formades per al 2030; tanmateix, gràcies a la IA es pot fer front a aquesta manca de mà d’obra especialitzada. La pregunta que cal fer-se és: fins quan?

Del “Ok però a mi no em tocarà” al “KO, ho hem perdut tot”

És normal creure que no podem ser víctimes d’un atac, però també pot ser normal rebre cada vegada més trucades de telèfon de números desconeguts, correus que intenten fer-se passar per entitats conegudes, SMS amb “comptes bloquejats, si us plau truqueu al banc…”, entre tantes altres. Però el cop que no es veu és aquell que fa que passem del tot OK al KO.

En efecte, malgrat que les regulacions europees es tornin més exigents, hi ha una bretxa entre la seva implementació total i els temps per assolir-la, la qual cosa representa la tempesta perfecta per als vulneradors de seguretat.

Per posar més exemples: a Espanya, s’han registrat segons l’INCIBE-CERT uns 122.223 incidents de ciberseguretat l’any 2025, significando un augment del 26% respecte a l’any 2024. La normativa europea aplicable (NIS2) es va promulgar el 2023 i només al gener del 2025 s’ha creat un “Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat”, creant el marc integral per a la seva implementació i publicació durant l’any 2026, definint el nou marc de la seguretat informàtica: ja no és una recomanació, és una obligació.

Sota la premissa de “a mi no em passarà”, s’anul·la una de les eines més potents per evitar la vulneració de dades: la previsió.

En efecte, avui dia hi ha sectors que estan sent els preferits per als atacs, a causa de la fallada humana, de sistemes desactualitzats o de la capacitat de la IA de vulnerar-los.

Segons el mateix informe de l’INCIBE, el 2025 es van cometre 401 incidents relacionats amb “operadors essencials i importants, alineats amb la directiva NIS2, i vitals per al funcionament de la societat”, dels quals el 34% va ser banca, el 14% transport, el 8% energia, el 7% infraestructura dels mercats financers i el 6% asseguradores i fons de pensions. És a dir, 1 de cada 3 bancs van rebre atacs durant el 2025.

I si s’analitzen les incidències més freqüents dels 122.223 incidents registrats, es troben gairebé la meitat (55.411 casos) amb programaris maliciosos incloent-hi virus. Pel que fa al frau en línia es van registrar 45.445 casos, sent un 19% més que l’any anterior i on el phishing es destaca amb 25.133 casos (més del 50% de les incidències). Les altres formes es completen amb 4.600 dominis web potencialment fraudulents i, finalment, els casos de robatori d’informació que han ascendit a 3.849 casos.

Si es comparen aquestes dades amb les de l’any 2024, trobem que la categoria “robatori d’informació” figura com la novetat del 2025, per la qual cosa hem d’estar preparats i preparades perquè aquesta modalitat creixi mentre existeixin les fallades tècniques de la ciberseguretat, així com una absència o debilitat en una estratègia de Govern de la Dada que organitzi els actius i els protegeixi segons la seva sensibilitat i criticitat.

Llavors, què és la seguretat informàtica i la seguretat de les dades?

Des de la perspectiva de DAMA (DMBOK2) i les especificacions UNE 0077/0078, la Seguretat de Dades és una de les àrees de coneixement centrals del Govern de la Dada. No es tracta només de “posar murs”, sinó de la planificació, execució i control de polítiques per garantir l’autenticació, l’autorització i l’accés adequat a les dades.

Mentre que la seguretat informàtica es preocupa per com algú entra al sistema, la seguretat de dades es preocupa per què pot fer un cop dins i quins tipus de dades està gestionant, complint amb aquests 3 principis bàsics de seguretat:

• Confidencialitat: Assegurar que només les persones autoritzades accedeixin a informació sensible.
• Integritat: Garantir que les dades no siguin manipulades o alterades de forma inadequada.
• Disponibilitat: Assegurar que les dades estiguin llestes quan el negoci les necessiti.

Una organització que pretengui ser segura ha d’incorporar una visió integral sobre la seguretat informàtica i la seguretat de les dades, com a part d’un govern de dades que converteixi les dades en un valor segur i superior.

A DesideDatum et podem ajudar amb això; amb una experiència de gairebé 10 anys en projectes de govern de la dada et podem ajudar a orientar l’organització cap a decisions basades en les dades o preparar-les per intensificar l’ús de la IA.

I com que la seguretat de la dada va associada a la seguretat informàtica, també t’acompanyem en la certificació ENS, l’adequació a la directiva NIS2, en la classificació i protecció de la informació, entre d’altres qüestions, perquè el 2026 encara sigui l’any “on a mi no em toca”.