Estamos viviendo un cambio significativo en el modelo industrial y económico que está afectando a toda la sociedad, pero, a diferencia de lo que ocurría en otras épocas
—en las que eran las industrias las que cambiaban el modelo de vida de la sociedad— ahora es de la sociedad de donde está emanando el cambio hacia las empresas. Las organizaciones están evolucionando mediante una transformación de los procesos basada en las TIC. Aquellas que sean más ágiles serán las que tengan mayor probabilidad de supervivencia.

Este nuevo panorama pone a la tecnología en el punto de apoyo imprescindible. Tal es su nivel de importancia que, en muchas ocasiones, el valor generado es principalmente de índole tecnológica, dejando en segundo plano al servicio o producto que ofertan. Y esto se traslada también a la sociedad y al propio individuo, a la manera de comportarse o de relacionarse.

El escenario actual de dependencia tecnológica permite que emerjan riesgos que hace unos años tenían una importancia relativa. Así, en los últimos foros económicos de Davos, gran parte de los principales peligros identificados tenían una relación directa con la ciberseguridad, aquellos que tienen relación con los procesos tecnológicos de las empresas y los servicios e información que estas prestan y manejan.

Hoy ninguna organización podría funcionar sin sus TIC, por lo que todos aquellos riesgos que puedan poner en jaque o parar la capacidad de ejecución de una organización, afectando a las TIC y los procesos asociados, deben tener una consideración especial. Y más aún, la adopción general de los ciberriesgos es más amplia y suele incluir también aquellos de índole tecnológica que puedan conllevar un riesgo legal, reputacional o económico al afectar a dicha capacidad de ejecución.

Los actores implicados no han evolucionado en la misma medida que las amenazas

Evolución

Entre los principales actores capaces de materializar estos ciberriesgos se encuentran desde terroristas, hacktivistas o el crimen organizado hasta los gobiernos e incluso la competencia. En resumen, todos aquellos que generan conscientemente acciones dirigidas contra una organización para utilizarlas en su propio
beneficio.

En la prensa es habitual encontrar noticias sobre algún incidente de seguridad en empresas, en muchos casos con volúmenes económicos de cierta importancia, que empiezan a preocupar a los principales responsables de las organizaciones y países.

Además, en muchos casos no se trata de ataques especialmente sofisticados y han sido posibles debido a una falta de adaptación por parte de todos los implicados: las empresas, los proveedores de tecnología y los de soluciones tecnológicas de seguridad. Ninguno de ellos ha evolucionado en la misma medida que las amenazas.

Este escenario no va a mejorar en los próximos años. Según el informe que ha hecho público PwC para el año 2015, los incidentes de seguridad graves se han incrementado en un 38%. Y lo peor de todo es que tendencias como la transformación digital, el big data y el cloud computing no van a ayudar a contener esta situación. Más bien lo que va a ocurrir es todo lo contrario.

Un ejemplo claro es que el perímetro de red y control de las organizaciones se está desdibujando. Los ámbitos en los que se maneja información relacionada con las organizaciones ya no pertenecen a estas en su totalidad, como ocurre por ejemplo con las apps: el dispositivo del cliente contiene tanto información personal como de la empresa. De hecho, las soluciones de movilidad, aunque aumentan la productividad, tampoco ayudan en este escenario, ya que convierten cada uno de los dispositivos de empleados o proveedores en puntos que se han de
proteger.

Las soluciones de seguridad IT actuales no son completas, ni están diseñadas para gestionar la seguridad en entornos que no son propios de la empresa. Sin embargo, según un informe de Morgan Stanley, se espera que el gasto global en seguridad TI se duplique, pasando de 55 000 a 130 000 millones de dólares para 2020. En lo que se refiere al gasto en seguridad por dispositivo, no se espera que crezca (se mantendrá en los 64 dólares actuales), ya que la tendencia es que aumente de forma significativa el número de dispositivos que es necesario proteger.

A esta situación hay que añadir el ámbito de los profesionales de seguridad. Actualmente, este sector goza de un 0% de desempleo y se espera que la demanda de profesionales bien formados aumente un 40% para el año 2020. Este escenario está provocando que sea una de las profesiones más globalizadas, con grandes multinacionales realizando procesos de selección en países diferentes al de contratación.

Se espera que la demanda de profesionales aumente un 40% para el año 2020

Reinventar las TI

Es evidente que los retos relacionados con la seguridad se están incrementando, lo cual conforma un escenario mucho más complejo para todas las partes y obliga también a los fabricantes de TI a reinventarse.

Es necesario replantearse la situación, ya que el paradigma actual de la seguridad no es efectivo ni es sostenible en el tiempo. Las organizaciones no pueden evitar que las ataquen y, por supuesto, no pueden permitir que alguno de estos ataques acabe teniendo éxito.

Para tratar de hacer frente a este cambio de paradigma, durante los próximos años se van a producir una serie de cambios, que van a girar sobre los siguientes cuatro ejes:

• Consolidación de la tecnología. El objetivo es conseguir la reducción de los costes de propiedad y operación de las soluciones, mediante los beneficios que reportarán las economías de escala —al tratar con menos proveedores—, así como la reducción de los costes de operación. De igual forma, esto permitirá mejorar la efectividad a través de la integración de funcionalidades en una misma solución.
• Automatización. Esto también supondrá una mejora de la efectividad, pues se reduce la intervención humana, lo que deriva también en una disminución en los costes de operación. Asimismo, la automatización va a permitir el tratamiento de grandes volúmenes de datos de forma adecuada, algo que sería inviable hacer con personas.
• Mejora de la visibilidad. Motivado por todo lo comentado anteriormente, además de por el aumento de los dispositivos que se han de monitorizar, las RRSS y entornos cloud, las organizaciones deben ser capaces de identificar eventos relevantes que les permitan impedir un incidente de seguridad. Por otra parte, los proveedores y las empresas deberán ponerse de acuerdo para posibilitar estas capacidades de monitorización en los diferentes entornos.
• Mejora de la ciberresilencia. Lo que se pretende es mejorar las capacidades de respuesta a incidentes de seguridad dentro de una organización, ya sea mediante la mejora de las plataformas y los profesionales, o con el apoyo en otras  entidades. Y, por supuesto, potenciar todo esto con una mayor colaboración entre los entornos público y privado.