De un tiempo a esta parte, la seguridad ha pasado a ocupar los primeros puestos entre las prioridades de las empresas en su camino hacia la tan manida transformación digital. Aunque se están poniendo muchos esfuerzos en este ámbito, la tecnología no es el único frente. Para proteger de forma efectiva la integridad de los activos y, por ende, de la propia organización es necesario tener también en cuenta aspectos organizativos o de gestión, lo cual implica involucrar de forma activa a la dirección general y a las áreas directamente involucradas en el negocio.

Proteger los sistemas de información frente a ataques ha ido complicándose exponencialmente en tan solo unos años. No hace tanto que los sistemas críticos estaban muy centralizados, con unos perímetros de protección bien definidos, unas conexiones con el exterior acotadas y un modelo de propiedad, administración y uso absolutamente delimitado,

Todo se ha complicado

Desde hace unos años, la ciberseguridad se ha hecho más complicada de gestionar y no siempre podemos culpar de ello a la evolución de la tecnología.

Por un lado, con los nuevos tiempos, los negocios crecen, ganan velocidad y se complican. Hay mucho más que proteger, y ese sujeto de la protección es más complejo. Además, los directivos cada vez esperan menos al departamento de TI a la hora de tomar decisiones con impacto tecnológico; cada vez más, emprenden sus propias iniciativas digitales al margen de los gestores de la TI tradicional, espoleados por la presión de la dirección general. Y no siempre con la seguridad en el primer
plano.

Por otra parte, la frontera entre tecnología y negocio se diluye en un mundo tan hiperconectado. Pero lo que es peor es que hay tantos perímetros por proteger como individuos portadores de tecnología propia (en muchos casos, con activos relevantes para la empresa).

La presencia en redes sociales y el escaso interés por preservar la privacidad personal de la gente —empleados en muchos casos de empresas con activos sensibles— ha abierto nuevos frentes difíciles de acotar.

Por último, las innovaciones de la tecnología en el campo de la inteligencia artificial, analítica, etc., son aprovechadas por igual tanto por los defensores como por los atacantes. Estos tienen todo el tiempo que desean para planear sus acciones ilícitas, mientras los primeros tienen cada vez menos margen para prevenirlas o remediar sus efectos.

Es evidente que las organizaciones no tienen demasiados motivos para tomarse a la ligera los riesgos que corren. Según IDC, solo el 23% de las compañías cree una prioridad securizar los dispositivos móviles para evitar el robo o secuestro de la información (ramsomware), mientras que el SANS Institute señala que las amenazas críticas a dispositivos de control industrial (ICS) han pasado del 8% en 2015 al 24% en 2016.

Cada vez se espera menos a TI a la hora de tomar decisiones con impacto tecnológico

¿Qué está fallando?

Pero no nos confundamos, las empresas sí que invierten, y mucho, en tecnología de seguridad. De hecho, la ciberseguridad ha tomado una gran importancia en las agendas de las direcciones generales, que anualmente tratan de marcar estrategias y programas cada vez más amplios y de carácter obligatorio.

El problema estriba en que se está respondiendo tarde a la creciente complejidad de sus plataformas tecnológicas y la transformación digital está exigiendo una gestión de la ciberseguridad igual de especializada desde el punto de vista técnico, pero con una dimensión más estratégica y alineada con los objetivos y exigencias del negocio.

Desgraciadamente, en muchos casos sigue existiendo un notable gap entre la definición de la estrategia de ciberseguridad y su traslado a la tecnología, a las operaciones corporativas, a los procesos de negocio y al comportamiento (y a la percepción) de los empleados que deben asumirla.

Encontramos incoherencias y dificultades en el uso del lenguaje, el establecimiento de prioridades de protección, el modo de organizar los roles relacionados con la seguridad y el reparto de responsabilidades en todo lo que atañe a la salvaguardia de los activos críticos de la empresa.

Este último punto es importante: no es un secreto la escasa implicación (y mucho más escasa coordinación) de las unidades de negocio en la seguridad de los activos TI de su propiedad, empeñadas como están —cada vez más— en sus propias y a menudo inconexas iniciativas digitales.

En resumen, persisten o han aflorado muchos problemas en el modo de gestionar la ciberseguridad. Tan solo como un ejemplo, podemos citar:

  • Una estrategia a veces incapaz de permear a la organización, muy diferente a obligar o marcar prohibiciones a los empleados. Muchas empresas siguen sin difundir programas extensivos de concienciación de sus profesionales, realmente actualizados a la realidad de su modo de vida digital. Mientras tanto, se sigue considerando la seguridad como un mal necesario.
  • Unos marcos normativos y procedimentales apoyados probablemente en estándares reconocidos, pero insensibles al negocio (con sus urgencias y restricciones) y a los factores considerados externos a la empresa, pero que están íntimamente relacionados con ella (proveedores, clientes, socios comerciales, reguladores…).
  • Unos controles sobre activos de TI que han ido perdiendo gradualmente efectividad por la complejidad y diversidad de estos, y porque muchas compañías aún no tienen claro cómo manejar los riesgos que les afectan (cloud, IoT, BYOD, big data).
  • Un responsable de seguridad sin respaldo suficiente, o situado en una posición organizativa que no le permite adoptar un papel estratégico, relegado a actividades técnicas de mera administración de sistemas.
FIGURA 1. Problemas asociados a la gestión de la ciberseguridad.

¿Podemos mejorar?

¿Qué supone todo esto? La ciberseguridad plantea una serie de problemas, tanto tecnológicos como de gestión. Una gestión que, en muchos casos no se ha adaptado del todo a algunos hechos simples e inmediatos:

  • La vida digital de las personas, cada vez más activa e interconectada, lo que también supone un riesgo para sus empresas.
  • La voluntad de las unidades de negocio para seguir adelante con sus iniciativas digitales.
  • La mayor complejidad (a veces, opacidad) de los procesos de negocio y el hecho de que la tecnología esté, por decirlo de forma llana, en manos de todo el mundo.
  • Todo ello se resume en la posición que adoptan al respecto las áreas de dirección general, del negocio y de los responsables del departamento de TI y de ciberseguridad:
  • La dirección general exige a negocio que sea capaz de llegar rápido al mercado, sin importarle otras cuestiones.
  • Al mismo tiempo, le piden al CIO que haga funcionar los sistemas y que, lógicamente, los proteja en sentido abstracto.
  • De forma paralela, desde negocio se le demandan al CIO soluciones rápidas conforme a sus prioridades, provocando a veces tensiones y conflictos que derivan en solicitudes inseguras, rechazos, incomprensión…
  • Además, negocio, cada vez más, aborda sus propias iniciativas tecnológicas al margen del departamento de TI y casi siempre también al margen de las directrices de seguridad.

Por tanto, si nos planteamos evaluar y mejorar un programa corporativo de ciberseguridad deberíamos hacerlo, por supuesto, desde una perspectiva tecnológica (riesgos en sistemas e infraestructuras, vulnerabilidades, políticas y procedimientos, etc.).

Por tanto, evaluar y mejorar un programa corporativo de ciberseguridad debería hacerse desde una perspectiva tecnológica (riesgos en sistemas e infraestructuras, vulnerabilidades, políticas y procedimientos, etc.). Pero, por un lado, debería cobrar cada vez más peso el papel que desempeñan las personas, así como los procesos que la hacen funcionar. Y por otro lado, también la influencia de los factores del negocio y del entorno que la rodea, considerando aspectos como las exigencias que los directivos tienen que cumplir, las restricciones del día a día, las presiones que llegan desde la dirección general y del mercado, los presupuestos, las barreras del personal…

La ciberseguridad plantea problemas tecnológicos, pero también de gestión

Conclusión

Está claro que la seguridad de las TI está entre las prioridades de la empresa (y cada vez será más importante). Pero los nuevos paradigmas tecnológicos avanzan demasiado deprisa, con lo que los aspectos organizativos y de gestión que tienen que ver con la protección de los activos críticos están muchas veces desfasados.

Esto es especialmente importante. Cuando se habla de ciberseguridad debería hablarse, sobre todo:

  • De salvaguardar de forma efectiva los procesos corporativos actuales y en evolución, independientemente de las decisiones tecnológicas que les afecten y del entorno de negocio, regulatorio y competencial.
  • De invertir de forma eficiente y efectiva en medios de protección, sin dilapidar recursos.
  • De mejorar la confianza en los programas de ciberseguridad que se abordan en la empresa.
  • Y, finalmente, de aumentar la implicación de la alta dirección y de las unidades de negocio en la promoción de una cultura de ciberseguridad.

Pueden parecer retos ambiciosos, pero la era digital y sus riesgos no van a permitir en absoluto que los ignoremos.

FIGURA 2. Los roles de la empresa: ¿a quién le importa la ciberseguridad?