Si tuviera que elegir al influencer del año en el mundo de la tecnología de la información, probablemente no sería el CEO de una importante compañía, ni un prestigioso gurú tecnológico. Quizá tendría nombre de virus y un apellido que hace referencia a su nacimiento —el año pasado—, y, desde luego, no sería bienvenido a la ceremonia de entrega del premio.

En medio de todas las iniciativas de transformación digital que se están poniendo en marcha, quizá la que más protagonismo ha adquirido durante los últimos meses ha sido la necesidad —aunque también hay un punto importante de comodidad— de que los usuarios puedan desarrollar su trabajo desde cualquier localización. En muchos casos, esto se ha conseguido a través de equipos personales o desktops híbridos, haciendo uso de redes móviles, o mediante puntos de acceso domésticos o públicos. El objetivo es buscar la absoluta libertad en cuanto a la elección del dispositivo, y poder usarlo en cualquier momento y lugar, tanto en un ámbito personal como profesional.

En el extremo contrario se encuentras las empresas, que ven cómo constantemente se modifica su modelo de cliente, su canal y su patrón de venta o de relación con los stakeholder. Hablamos de aquellos sectores en los que la digitalización lleva ya un largo recorrido, sectores como la banca o los más ligados a las tecnológicas, pero también de otros que se están reinventando —como, por ejemplo, el del automóvil—, donde algunas ventas, que tradicionalmente han sido presenciales, empiezan a realizarse online de principio a fin, o con un elevado componente digital.

Cyber Maturity Review permite conocer la situación frente a determinados estándares o en relación con la media de su industria

Pero resulta que, en ese preciso momento, como un auténtico dinamizador de tendencias, aparece este terrible virus influencer, que viene a acelerar de manera forzosa estas y otras muchas tendencias de transformación digital. Por si había alguna duda sobre lo imparable de esta transformación, la situación de pandemia llega para que tengamos que hacer de la necesidad virtud, y obliga a usuarios, empresas y empleados a adoptar muchos de estos cambios de forma acelerada.

La tormenta perfecta

El problema es que, desde el punto de vista de quienes trabajamos en ciberseguridad, esta absoluta disolución del perímetro, junto con la adopción acelerada del trabajo en remoto, ha generado una especie de tormenta perfecta, en la que se han mezclado aperturas de accesos a elementos internos sin asegurar de forma adecuada, desplazamientos de cargas de trabajo a la nube sin excesiva planificación, o accesos desde equipos y redes sin las necesarias garantías. Todo esto está propiciando una exposición de información corporativa sin el adecuado control, que determinados actores han sabido aprovechar.

Todos los actores de la cadena, tanto las empresas como los proveedores tecnológicos, deben considerar la seguridad como algo inherente a todos los servicios

El riesgo es claro si tenemos en cuenta la existencia de una ciberdelincuencia que crece a un ritmo acelerado, cada vez más organizada, que utiliza nuevas tendencias y técnicas de engaño constantemente, y que es capaz de ejecutar un número creciente de ataques dirigidos y cada vez más elaborados. En este escenario resulta vital que todos los actores de la cadena, tanto las empresas como los proveedores tecnológicos, consideren la seguridad como algo inherente a todos los servicios.

Además, la realidad nos dice que resulta vital interpretar este nuevo escenario y poder identificar de forma específica tanto los riesgos existentes como las necesarias acciones de mitigación. Se trata de entender las debilidades propias y trazar un plan que permita abordar todos los cambios relacionados con la crisis, pero con una perspectiva a largo plazo. Las empresas deben tener claro que, en muchos casos, la inversión en seguridad, unida a las estrategias de migración a la nube, van a romper una serie de barreras que, una vez traspasadas, van a eliminar muchas de las reticencias y cuellos de botella en el camino hacia la reducción de la interacción física.

A camino largo…

Por si la situación no fuera suficientemente compleja, el contexto de muchas organizaciones es en este momento el de una necesidad de reducción de costes, propiciada por la situación socioeconómica que estamos viviendo. En este entorno se hace crucial destacar la importancia del papel de la tecnología como elemento crítico a la hora de mejorar la eficiencia de los costes.

En cada caso, hay que entender y planificar los cambios necesarios, y hacerlo desde la perspectiva coste/efectividad e impacto en negocio

Así que, a camino largo, paso corto. Hay que entender y planificar en cada caso los cambios necesarios, y hacerlo tanto desde la perspectiva de la relación coste/efectividad, como también atendiendo al impacto en el negocio. Pero no se trata solo de minimizar las posibles consecuencias negativas, sino considerando también las ventajas competitivas que esto puede proporcionar al negocio en el futuro. Esto es muy importante si se tiene en cuenta que, una vez que acabe la crisis generada por la pandemia, este nuevo escenario tecnológico va a ser vital en esta “nueva normalidad”, que terminará implantándose definitivamente.

Cyber maturity review

Como ejemplo de mecanismo para avanzar en esta línea, DXC Technology está trabajando con sus clientes bajo el paraguas de una iniciativa conocida como Cyber Maturity Review. Básicamente, permite evaluar el nivel de madurez de las empresas sobre más de veinte áreas clave, asignando una puntuación de riesgo y ofreciendo una serie de indicadores de mejora. Además, permite a las empresas conocer su situación frente a determinados estándares o en relación con la media de su industria, lo que permite definir una hoja de ruta para mejorar la seguridad priorizando las inversiones y reduciendo la exposición a los riesgos.

El objetivo de esta iniciativa es doble. Por un lado, que las compañías puedan establecer líneas base de seguridad en todas sus áreas, con acciones inmediatas e inversiones muy dirigidas que permiten reducir la exposición. Por ejemplo, la implantación de sistemas de autenticación de doble factor (MFA) que impidan el acceso inapropiado, incluso en el caso de que las credenciales de un usuario se hayan visto comprometidas, sistemas antiphishing o el despliegue de soluciones de parcheado virtual que impidan la explotación de vulnerabilidades sobre sistemas y aplicaciones que no han sido parcheados por razones operativas o por indisponibilidad de parches del fabricante.

Se trata de sentar las bases de seguridad que darán cobertura a las estrategias de futuro

Por otro lado, se trata de sentar las bases de seguridad que darán cobertura a las estrategias de futuro, donde probablemente haya que contar con plataformas de protección de cargas en la nube (CWPP), soluciones de seguridad específicas para contenedores, de protección en tiempo de ejecución para aplicaciones (RASP), o aproximaciones al framework SASE, entre otras.

Especialización

En cualquier caso, a tenor de los incidentes que aparecen constantemente en los medios de comunicación, lo que es evidente es la necesidad de contar con una adecuada especialización en este ámbito de  la seguridad. En el caso de DXC Technology, la apuesta es clara. De hecho, los últimos meses han supuesto un incremento notable de la demanda de nuestros servicios, tanto de los relativos al SOC (certificado por CERT y FIRST) como de los servicios de consultoría. Las necesidades han sido variadas, desde la protección frente a ciberataques hasta la asesoría operativa derivada de estos nuevos escenarios de trabajo en remoto que han acelerado el despliegue de soluciones para reducir su exposición.

Artículo relacionadosMás del autor