En un mundo cada vez más digital, los activos físicos de una empresa ya no son los más valiosos y han cedido ese lugar a los datos. Sin una adecuada protección de estos, ninguna organización podrá prosperar, de ahí la acuciante necesidad de desarrollar una verdadera resiliencia digital.
Las organizaciones han digitalizado ya la mayor parte de sus procesos de negocio y, por tanto, los datos son más valiosos que nunca. No solo impulsan las operaciones, también son una fuente de información para generar ideas y mejorar los resultados.
Sin embargo, su huella ha crecido a la par de su importancia, hasta extenderse mucho más allá del centro de datos. Esta expansión hace que las organizaciones sean más vulnerables a todo tipo de amenazas (desastres naturales, errores humanos o ciberataques, tras los que puede haber incluso algún Gobierno). El hecho de que los datos no estén disponibles puede llegar a paralizar las operaciones e imposibilitar que los servicios se presten con normalidad.
El inmenso valor de los datos y su creciente vulnerabilidad exigen una TI más resiliente que nunca. Los CIO y el resto de los líderes de TI tienen que aprovechar todos los recursos disponibles para asegurar la resiliencia que precisan los procesos de negocio. Aquí identificamos tres de esos recursos.
El inmenso valor de los datos y su creciente vulnerabilidad exigen una TI más resiliente que nunca
Una cultura consciente del riesgo
Un recurso que a menudo se pasa por alto para lograr la resiliencia de las TI es la creación de una cultura consciente del riesgo en toda la organización. En la práctica esto significa que la seguridad no es solo responsabilidad del CIO o del equipo de TI, sino de todos y cada uno de los empleados. No se puede evitar el riesgo, así que hay que promover el conocimiento y la comprensión de las amenazas para poder reconocerlas y planificar la respuesta.
Además, como todo el mundo maneja activos corporativos sensibles (hojas de cálculo con cifras de ventas, contratos de clientes o planes estratégicos de marketing), hay que prestar atención a cómo se protegen. ¿Alguien almacena archivos en una carpeta que no ha sido bloqueada? ¿Quién utiliza un servicio público para intercambiar archivos de gran tamaño sin pararse a pensar que ahí la seguridad es mínima?
Al crear una cultura consciente del riesgo, las organizaciones también deberían considerar la implementación de tecnología de ciberengaños como parte de un enfoque integrado para gestionar el riesgo. El engaño cibernético ha surgido como una pieza vital en las estrategias de ciberseguridad multicapa, al ofrecer herramientas sofisticadas que detectan y desvían los ataques antes de que causen daño: anticiparse a los malos coloca a los buenos en mejor posición para luchar.
Consolidación y automatización
Otro recurso clave para alcanzar la resiliencia tecnológica es la consolidación y automatización. Se trata de reducir la complejidad de la pila tecnológica general, disminuyendo al mismo tiempo la superficie de ataque y las vulnerabilidades.
Recurrir a las aplicaciones SaaS es una buena manera de ayudar a lograr este objetivo, al tiempo que se mantiene la resiliencia de las TI. Gracias al modelo de responsabilidad compartida, los proveedores de la nube ofrecen seguridad —a nivel lógico y de infraestructura— y controles de acceso a la plataforma, aunque la responsabilidad del control de los datos y del acceso a ellos sigue estando en manos del usuario.
Teniendo en cuenta estas opciones, un buen primer paso para la consolidación y la automatización es analizar un flujo de trabajo concreto (por ejemplo, el de atención al cliente) y examinar los procesos y la infraestructura que lo soportan.
Al dibujarlo sobre el papel y trazar la arquitectura será posible identificar el número de sistemas, integraciones y puntos de contacto, así como ver qué es SaaS y qué no lo es. Entender el nivel de complejidad de los flujos de trabajo críticos ayudará a establecer cuáles deben consolidarse primero.
Al llevar a cabo esta tarea, se debe prestar especial atención tanto al número de aplicaciones en un entorno concreto como al número de integraciones. En las integraciones es donde fallan muchos sistemas de TI, sobre todo si están desarrollados a medida: comprometer una integración puede proporcionar un vector de ataque fácil para que los criminales accedan desde un solo sistema a todos los demás con los que esté integrado.
Además de la consolidación, la automatización es también una pieza esencial de la resiliencia de las TI puesto que los procesos manuales dan más oportunidades para que las personas cometan errores; y esos errores son puertas para los hackers.
Por ejemplo: un descuido inocente (como que un administrador del servidor se olvide accidentalmente de marcar la casilla de una configuración de seguridad al desplegar una nueva instancia de un servicio) puede crear una grieta fácil de ensanchar. La automatización de ese proceso no solo hace que este sea más repetible y escalable, sino que ayuda a descartar el error humano, eliminando el tipo de lagunas de seguridad accidentales que pueden comprometer la resistencia de TI.
BC/DR en toda regla
Un último recurso que no debe ignorarse es un plan completo de continuidad de negocio/recuperación ante desastres. Por muy segura y bien preparada que esté una organización, nadie es invulnerable y hay que prepararse para el momento en que ocurra algo malo.
Esto requiere que los CIO piensen no solo en la tecnología, sino en los procesos de negocio que soportan. DR (disaster recovery) es la pieza tecnológica de la ecuación. Si se ha producido algún tipo de desastre y se han perdido el sistema y los datos, es la encargada de recuperarlos lo antes posible para que todo vuelva a funcionar.
En esa misma ecuación, BC (business continuity) es la parte del proceso. Si se pierde el acceso a las herramientas o a las personas que llevan a cabo los procesos (nóminas, ventas o atención al cliente), ¿se puede garantizar que estos sigan funcionando? Si debido a un acontecimiento imprevisto desaparecen personas y funciones en una zona geográfica o en una oficina, ¿qué se hace para garantizar la continuidad del negocio?
Antes de la pandemia, no era habitual que los CIO se enfrentaran a este tipo de preguntas. Su función tradicional se centraba en la DR, más relacionada con la pila tecnológica. La COVID-19 cambió el papel del CIO, que ahora sí tiene que formar parte de la conversación acerca de la continuidad del negocio y sobre cómo mantener los procesos en movimiento, incluso si una pieza tecnológica falla.
No son pocos los retos a los que se enfrentan las empresas, ni escasas las amenazas que acechan a sus datos, pero los recursos adecuados, bien aprovechados, pueden proporcionar la resiliencia informática que estas necesitan para proteger su información y atenuar el impacto de un ciberataque u otro desastre.
