9 minute read
VENTANA GLOBAL
Ilustración: Oscar Danilo Quezada
Ciberseguridad y las operaciones de negocios: ocho razones a considerar * Ventana Global
Advertisement
Este análisis se centra en la atención y respuesta que dan las organizaciones a la multitud de amenazas cibernéticas, que para algunas aún no representa una prioridad. El error más común de toda organización es relegar la función de ciberseguridad a un departamento de TI con escasos recursos y con pocos fondos.
niel harper
LA hiperconectividad de la economía digital es un hecho ineludible de la sociedad moderna. Una institución financiera sin presencia en línea o con una estrategia omnidireccional dejará de ser competitiva. Las universidades, ya sean públicas o privadas, deben desarrollar y evolucionar continuamente sus capacidades de aprendizaje en línea si es que quieren seguir siendo relevantes. Los minoristas en línea están rápidamente superando a sus contrapartes de “ladrillo y mortero” y haciéndolos irrelevantes. Otro ejemplo de esta evolución son las agencias de viaje tradicional, que en gran parte han quedado relegadas a la condición de dinosaurios ante la era de los “agregadores” de búsqueda de viajes en línea y portales de reserva.
Un ecosistema de pagos en línea dominado principalmente por las principales redes de tarjetas y procesadores ahora incluye sistemas como Apple Pay, Google Wallet y otros. Cuando añadimos la Internet de las cosas (IoT) 1 , la robótica y la inteligencia artificial (AI) 2 a todos estos cambios, vemos que la sociedad en red se ha convertido en algo que simplemente no podemos ignorar.
En este contexto de ubicuidad de la tecnología, uno de los aspectos más preocupantes, es la multitud de amenazas cibernéticas con las cuales las organizaciones y los individuos tienen que lidiar. Si bien los riesgos para las personas son relativamente altos en lo que se refiere a la invasión de la privacidad, el robo de identidad y la pérdida financiera, los ataques cibernéticos también pueden tener un impacto especialmente crítico en las empresas. Dependiendo de las realidades del mercado y de la jurisdicción, las consecuencias pueden incluir fuertes sanciones regulatorias, caída de precios de las acciones, demandas o despidos masivos. El efecto en los balances financieros de las empresas puede ser catastrófico.
En ese sentido, ¿cómo responden las empresas a estos escenarios de amenazas en constante evolución? Las estrategias resultantes se encuentran en algunas de las siguientes categorías. Primero, están las grandes organizaciones que emplean el método de 3 líneas de
1 La Internet de las cosas (en inglés, Internet of things, abreviado IoT) es un concepto que se refiere a la interconexión digital de objetos cotidianos con la Internet.
2 La robótica es la rama de la ingeniería y de las ciencias de la computación que se ocupa del diseño, construcción, operación, disposición estructural, manufactura y aplicación de los robots. La inteligencia artificial (AI, siglas en inglés), también llamada inteligencia computacional, es la inteligencia exhibida por máquinas.
defensa donde un departamento de Tecnologías de la Información ( ti) gestiona los riesgos cibernéticos, operacional y de cumplimiento. Estos departamentos de ti se especializan en la gestión de riesgos —incluido el cibernético— y la función de auditoría interna proporciona las garantías de que los riesgos cibernéticos están siendo gestionados eficazmente. Este método requiere recursos intensivos y exige personal altamente especializado y costoso.
Segundo, las compañías con recursos más limitados y con poco personal calificado para atender de forma cotidiana ante las posibles amenazas de un ciberataque. Muchas de estas organizaciones ni siquiera se enteran de que sus sistemas y redes están en peligro. Y terceto, las pequeñas y medianas empresas (pymes) que básicamente esconden la cabeza en la arena como el avestruz y prefieren creer que al ser demasiado pequeñas son insignificantes como para ser el blanco de los ciberdelincuentes.
En realidad, lo más común es que los líderes empresariales en general no reconocen que la ciberseguridad ya no es el dominio exclusivo de las organizaciones o departamentos de ti. La estrategia de seguridad cibernética es ahora una estrategia de negocios, y la respuesta a las amenazas cibernéticas es responsabilidad de todo individuo que trabaja o dirige una empresa. A continuación presentamos ocho razones por las cuales la ciberseguridad debe ser parte inseparable de las operaciones de una empresa.
GOBIERNO CORPORATIVO
En una encuesta de Goldsmiths de 2016, basada en las respuestas de 1,530 directores no ejecutivos y ejecutivos de nivel directivo en Estados Unidos, Reino Unido, Alemania, Japón y países nórdicos, el 90% de los encuestados admitieron no poder leer un informe de seguridad cibernética y no estar preparados para responder a un ataque mayor.
Aún más preocupante fue el hecho de que más del 40% de los ejecutivos no creen que la seguridad cibernética o la protección de los datos de los clientes sea su responsabilidad. Esto denota la importancia de que la ciberseguridad sea un tema que se discuta desde las juntas directivas. Aún más, una mayor apropiación debería atribuirse a todos los niveles de personal para los riesgos cibernéticos. La cultura de la ciberseguridad es un esfuerzo colectivo que comienza en los estratos superiores de la organización y luego se extiende hacia otros estratos.
CUMPLIMIENTO NORMATIVO Y LEGAL
Ciertas industrias como la banca, la salud y la energía, están sujetas a pesadas cargas regulatorias. Muchos de sus reglamentos incluyen requisitos relacionados con la privacidad, la protección de datos y la seguridad de la red. Por ejemplo, en los Estados Unidos de América hay normas como hipaa, GrammLeach-Bliley y fisma. La Unión Europea (UE) tiene la Directiva nis y el gdpr. Para hacer frente a los flujos de datos transfronterizos entre la ue y los ee.uu. está el Escudo de Privacidad. Para cumplir con esta multitud de regulaciones, las capacidades cibernéticas y de gestión de riesgos deben estar integradas entre las organizaciones. Si no es así, la capacidad de las empresas para continuar operando estará en riesgo. Así de claro.
VENTAJA COMPETITIVA
El desarrollo de controles internos robustos y efectivos para protegerse contra los ataques cibernéticos es parte de las estrategias de liderazgo en el mercado, fortalecimiento de la marca y diferenciación entre productos y servicios.
Por ejemplo, a medida que más empresas buscan la inteligencia artificial, IoT y la robótica para agilizar los procesos y mejorar el rendimiento empresarial, garantizar que estas tecnologías sean seguras puede aumentar los ingresos y mejorar los rendimientos. Los accionistas no sólo deben esperar la excelencia cibernética, sino que deben exigirla.
GESTIÓN FINANCIERA
Existe una correlación directa entre los eventos de riesgo relacionados con lo cibernético (por ejemplo: daños a la reputación, interrupción del negocio, multas, etc.) y pérdidas financieras. La gravedad y el impacto de estos riesgos se pueden mitigar integrando la estrategia comercial con la estrategia de seguridad cibernética.
La importancia es aún más pronunciada dada la recesión económica mundial y la disminución de rendimientos que enfrentan varios negocios.
DESARROLLO DE NEGOCIOS En 2004, el mercado global de ciberseguridad fue valorado en US$ 3.5 mil millones. En 2017, se estima que ese mercado equivale a US$ 120 mil millones. Pero este valor se basa principalmente en el número de productos y servicios entregados. Si bien existe un enorme potencial de crecimiento dentro del paradigma existente, existe una oportunidad económica masiva para fomentar un ecosistema comercial basado en la confianza en línea. RESPONSABILIDAD SOCIAL DE LAS EMPRESAS Existen numerosos beneficios para los programas de Responsabilidad Social ( rsc), que van desde el aumento de la lealtad a la marca hasta la obtención y retención de inversionistas para atraer y retener a empleados comprometidos y productivos. La inversión en responsabilidad social en áreas relacionadas con el ciberespacio, como la protección en línea de los niños, la codificación segura para las mujeres, las piraterías y la investigación en ciberseguridad es un enfoque inteligente para consolidar la posición en el mercado. Como resultado, las empresas pueden promover una buena seguridad como punto de venta de sus productos y servicios, crear oportunidades para los mejores talentos de ciberseguridad y aprovechar sus cadenas de suministro específicas para crear confianza del consumidor. SEGURIDAD PÚBLICA Un número cada vez mayor de empresas están suministrando productos y servicios en las áreas de redes inteligentes, ciudades inteligentes, transporte público automatizado, instalaciones eléctricas, vehículos autónomos, etc. La posesión de conocimientos básicos en la alineación de la ciberseguridad y las operaciones comerciales fortalece a las organizaciones en sus respectivos entornos de mercado en términos de seguridad. También hay distintas implicaciones para la seguridad nacional cuando pensamos en estas tecnologías en el contexto de amenazas potenciales a la vida humana.
Tomemos por ejemplo la creciente popularidad de las auditorías de confianza global y las ofertas de puntuación. Cada vez más organizaciones están desarrollando soluciones para combatir la proliferación de noticias falsas. En relación con el IoT, se están formando consorcios para llenar las brechas de seguridad en el diseño del producto, es decir, los mercados existentes pueden fortalecerse mediante la colaboración y la coordinación. Estos son sólo algunos ejemplos del mercado emergente de Trust-as-a-Service (TaaS).
FUSIONES Y ADQUISICIONES
Las empresas deben reconocer la importancia de la debida diligencia en la ciberseguridad en el proceso de fusiones y adquisiciones. Debido a un bajo nivel de diligencia, varias corporaciones se han enterado de los principales incidentes cibernéticos después de haberse firmado un acuerdo de adquisición. Los problemas serios de ciberseguridad —relacionados con el cumplimiento de normativas, las brechas de datos, la mala arquitectura de seguridad o la ausencia de procesos de respuesta a incidentes— deben identificarse antes de finalizar las transacciones.
En el caso de la adquisición de Yahoo! por parte de Verizon, la oferta final se redujo en casi US$ 400 millones debido a revelaciones sobre incidentes de ciberseguridad. Una encuesta de la nyse de 2016 indicó que más del 50% de los encuestados consideraban que las vulnerabilidades de ciberseguridad eran suficiente razón para cancelar una fusión o adquisición empresarial.
CONCLUSIONES
Considerando que los usuarios finales son generalmente considerados como los puntos más débiles en las defensas cibernéticas, la lógica dicta que la ciberseguridad debe comenzar con el individuo. Cada empleado debe estar comprometido e involucrado en la defensa de la organización contra amenazas en línea. Son ellos quienes más a menudo acceden a las aplicaciones empresariales, redes y dispositivos, y sin duda servirán como la primera línea de protección contra los hackers.
Los ejecutivos y los miembros de la junta directiva pueden convertirse en blancos de ataques debido a su nivel de acceso a activos digitales clave. Debido a la fortificación tradicional del perímetro de la red, los trabajadores de línea son el foco de los agentes de amenaza que buscan entrar en la red o escalar sus privilegios para acceder a información confidencial. De hecho, tanto los ejecutivos como los empleados representan vectores con el mismo objetivo final: el compromiso de los sistemas internos y el acceso a los datos críticos.
Por lo tanto, el desarrollo de una estrategia eficaz de seguridad cibernética debe implicar el estrecho acoplamiento de las prácticas de seguridad con las operaciones comerciales para reforzar la postura general de seguridad de una organización. El error más común de toda organización, el paso en falso más común —no sólo de las empresas— es relegar la función de ciberseguridad a un departamento de ti con escasos recursos y con pocos fondos.
