Publicat el 12 de juny del 2026 · per Qubit Technologies
Per què auditar la vostra seguretat surt més barat que ignorar-la
No auditar és apostar que ningú no trobi els vostres errors abans que vosaltres. Una bretxa de dades costa molt més que una auditoria, entre la multa de protecció de dades, l'aturada del negoci i la confiança que es perd pel camí.
Cap empresa decideix saltar-se una auditoria de seguretat per mala fe. La salta perquè sembla una despesa sense retorn, una cosa que ja s’arreglarà el dia que faci falta. El problema és que el dia que fa falta sol ser el dia que ja és tard.
Una auditoria és mirar els vostres sistemes amb els ulls de qui us vol atacar, abans que ho faci algú de debò. No auditar no us estalvia el problema, només endarrereix el moment d’assabentar-vos-en, que gairebé sempre arriba quan l’error ja té nom, data i cost.
El que costa una bretxa que ningú va veure venir
Una bretxa de dades no és una factura única. Són diverses alhora. Hi ha l’aturada mentre conteniu l’incident i recupereu els sistemes, que per a moltes empreses són dies sencers sense facturar. Hi ha el cost tècnic d’investigar què va passar i tancar la porta per on van entrar. Hi ha l’avís als afectats, que poques vegades surt de franc.
Per sobre de tot això hi ha la multa. Quan a la bretxa hi ha dades personals, entra en joc la llei de protecció de dades, i aquí no parlem d’una xifra simbòlica. El reglament europeu permet sancions de fins al quatre per cent de la facturació anual. El que més pesa per al regulador no és només que us ataquessin, és si ho podíeu haver evitat amb una diligència raonable.
Aquesta última part és la important. Una empresa que pot demostrar que auditava, que corregia el que trobava i que es prenia la seguretat seriosament parteix d’una posició molt diferent d’una altra que no va fer res fins que va rebentar. No és el mateix tenir mala sort que ser negligent, ni a ulls de la llei ni a ulls dels vostres clients.
La vulnerabilitat que algú us regala
De tant en tant passa una cosa que moltes empreses gestionen just al revés de com haurien. Algú de fora, un investigador, un client amb coneixements, de vegades un simple curiós, troba un error en un dels vostres sistemes i es pren la molèstia d’avisar-vos.
La reacció instintiva és posar-se a la defensiva, com si el missatger fos el problema. És l’error més car de tots. Qui us avisa de bona fe us està fent un favor que no heu pagat, us està ensenyant una porta oberta que tard o d’hora trobaria un altre.
La diferència entre tots dos és enorme. El que avisa vol que ho arregleu. El que no avisa vol que segueixi obert el màxim temps possible, per entrar el dia que li convingui. Ignorar el primer avís no tanca la porta, només garanteix que el següent que la creui no us enviï un correu educat.
Auditar és decidir quan us assabenteu
Al final l’elecció no és entre tenir errors o no tenir-ne, perquè errors en té tothom. L’elecció és qui els troba primer i en quines condicions us n’assabenteu. En una auditoria us n’assabenteu en un informe, amb temps per corregir i sense que ningú hagi tocat les vostres dades. En una bretxa us n’assabenteu enmig del desastre, amb pressa, amb la llei a sobre i amb clients preguntant què ha passat.
Auditar no garanteix que no us passi mai res. El que fa és que, quan aparegui un error, el conegueu vosaltres abans que qui el vol aprofitar. És la diferència entre trobar la gotera un dia de sol o descobrir-la la nit de la tempesta.
Això no va de complir un tràmit ni de tenir un paper per ensenyar, que és una confusió que ja vam tractar a per què passar una auditoria de compliment no vol dir estar segur. Va de mirar abans que miri un altre, amb la diferència que vosaltres ho feu per arreglar-ho.
Si voleu saber què trobaria avui un atacant als vostres sistemes abans que ho faci de debò, escriviu-nos a [email protected].