Según Luis Julián Zamora Abrego, México Country Manager de CyberInt, la transformación digital contribuye a generar un nuevo modelo de negocio en el que debe tenerse en cuenta la ciberseguridad. A través del presente artículo, el autor explica cuáles son los elementos primordiales de una estrategia de ciberseguridad integral, la clave del éxito, observa, en todo proceso de transformación digital.
La transformación digital consiste en un cambio organizacional apoyado en el uso eficiente de las tecnologías de la información para habilitar un nuevo modelo digital de negocio, centrado en la interacción con los clientes, los empleados y otras organizaciones, que tiene por objetivo satisfacer mejor las necesidades de los usuarios y cumplir con los propósitos de la organización.
La transformación digital es algo más que aplicaciones, dispositivos e infraestructura tecnológica. Uno de los errores más comunes es centrarla solo en la tecnología (el ¿Cómo?) antes de tener una comprensión clara (el ¿Por qué?) de cómo apoyará al negocio, a los empleados y a los clientes (el ¿Quién?).
La transformación digital requiere un cambio organizacional y un cambio tecnológico. Ambos son necesarios y ninguno es simple. Todo cambio desafía el statu quo, requiere de liderazgo para superar la inevitable resistencia al cambio y de una gran visión para aprovechar las oportunidades, previniendo los riesgos. Asimismo, las tecnologías emergentes requieren nuevas habilidades y, a menudo, grandes gastos de capital.
Iniciativas exitosas
La organización, las personas, los procesos y la tecnología son los componentes que forman parte de toda iniciativa de transformación digital. Sin embargo, dependiendo de la naturaleza de la iniciativa, esta puede centrarse en algunos elementos por delante de otros. Por ejemplo, un nuevo modelo de negocio se centra primero en el cliente y en la organización antes que en la tecnología o en los procesos. Para ser exitosa, cualquier iniciativa de transformación digital requiere:
- Identificar las necesidades del cliente que se buscan resolver.
- Definir los KPI de negocio que serán impactados por esta iniciativa.
- Identificar los datos de los clientes que se requieren para perfilar el bien o servicio.
- Alinear la iniciativa con la organización y su cultura.
- Desarrollar los casos de uso específicos.
Sin embargo, suele ocurrir que cuando la organización debe priorizar las iniciativas, las de menos peso o con pocas posibilidades son aquellas enfocadas en proteger la información, sus servicios o su infraestructura, a menos que se requieran para cumplir con alguna ley o regulación.
Estrategia integral
Las organizaciones tienen una gran responsabilidad con la información que manejan tanto de sus clientes como de sus empleados, de terceros y de la propia organización. Adicionalmente, como mencionamos al principio, los modelos digitales que van habilitando generan diferentes interacciones entre todos estos actores. Interacciones que trascienden los límites de las organizaciones y que llegan a situarse en el ciberespacio.
Como consecuencia, cuanto más digital se vuelve una organización más conexiones y puntos de acceso genera, ampliando así su superficie de ataque y exponiendo más sus servicios, su infraestructura tecnológica y la información que en ella se genera, procesa, transmite y almacena. Con ello aumenta la probabilidad de que un ciberriesgo se materialice y la propensión a sufrir un incidente de ciberseguridad. Es por ello que la organización requiere una estrategia de ciberseguridad integral que, además de cubrir la operación diaria, participe de toda iniciativa de transformación digital.
Una estrategia de ciberseguridad integral debe cubrir la operación diaria y participar en las iniciativas de transformación digital
Si bien el uso y aprovechamiento de la tecnología y la información es crítico para garantizar la operación, el desarrollo y la expansión de una organización, su protección es igualmente importante. La delincuencia organizada, el terrorismo, los desastres naturales e incluso las pandemias han puesto de manifiesto la necesidad de mejorar su protección. Dicha protección es responsabilidad de la ciberseguridad.
Esto se puede conseguir a través de la implementación de una estrategia de ciberseguridad que tome como base el modelo de negocio y tenga una visión holística que permita a la organización abordar las verdaderas fuentes de los problemas al tiempo que maximiza los elementos que más pueden beneficiarla. Esta estrategia debe ayudar a gestionar eficazmente los ciberriesgos, reduciendo las vulnerabilidades, previniendo las amenazas y minimizando la probabilidad y el impacto que pudiera tener un ciberriesgo materializado, garantizando la confidencialidad, integridad y disponibilidad de la información y de sus activos digitales, al tiempo que los aprovecha para generar valor para la organización.
Muchos enfoques tradicionales de seguridad de la información solo se centran en las personas, los procesos y la tecnología, pero no examinan a la organización en su conjunto. Una estrategia de ciberseguridad debe ofrecer una visión completa de cómo el diseño y la estrategia de una organización afectan a las personas, a los procesos y a las tecnologías, lo que genera riesgos, oportunidades y áreas de mejora.
Elementos primordiales
Dada la naturaleza compleja y cambiante del panorama digital al que las organizaciones se enfrentan, es difícil identificar un enfoque único para la definición de una estrategia de ciberseguridad. No existe una estrategia de talla única. Sin embargo, existen cuatro elementos primordiales que se deben tomar en cuenta para desarrollarla:
1. Selección de un marco de ciberseguridad.
El marco se debe centrar en el uso de habilitadores del negocio para guiar las actividades de ciberseguridad y considerar los ciberriesgos como parte de los procesos de la organización. Los más reconocidos de la industria son:
- ISO/IEC 27032 (Tecnología de la información, técnicas de seguridad y directrices para la ciberseguridad). Define las guías en el ámbito de la ciberseguridad y se centra en dos áreas: por un lado, en cubrir las brechas no cubiertas por normas anteriores de seguridad y, por otro, en el proceso de colaboración entre las entidades que operan en el entorno actual.
- Marco NIST para mejorar la ciberseguridad de infraestructura crítica, que identifica actividades de ciberseguridad básicas agrupadas en funciones que consisten en:
- Identificar. Conocer a la organización para gestionar los ciberriesgos que pueden afectar a los sistemas, las personas, las infraestructuras, los datos y las capacidades.
- Proteger. Desarrollar e implementar las salvaguardas (o controles) adecuadas para garantizar la prestación de servicios críticos.
- Detectar. Implementar actividades para identificar la ocurrencia de un incidente.
- Responder. Actuar ante un evento y aprender de él.
- Recuperar. Planear para resistir, reparar y continuar la operación.
2. La definición de las responsabilidades dentro y fuera de la organización.
Asegurándose de que las partes interesadas (los miembros del consejo, la dirección, el staff, los empleados, los clientes, los proveedores y terceros) conozcan su papel y responsabilidad en el ámbito de la ciberseguridad para proteger a la organización, los servicios, la infraestructura y toda información que esté a su cargo o a la que tienen acceso.
3. El desarrollo y ejecución de un proceso eficiente de administración de ciberriesgos.
Este es el eje fundamental de toda estrategia de ciberseguridad, que tiene por objetivo predecir los desafíos que representa para una organización el ciberespacio, reduciendo la probabilidad de que ocurra un evento no deseado y previniendo su impacto.
En términos generales, para el caso de las iniciativas de transformación digital, las actividades que contempla son la identificación de las iniciativas y los procesos críticos del negocio, las tecnologías que los soportan, las amenazas que pudieran actuar en contra, las vulnerabilidades que las exponen y la cuantificación y priorización de los riesgos junto a las medidas para mitigarlos.
4. El desarrollo y la prueba del proceso de gestión de incidentes.
A pesar de las medidas que tome una organización es factible que un incidente de ciberseguridad ocurra. La gestión eficaz de incidentes se apoya en actividades diseñadas para reconocer y responder ante incidentes, minimizar sus impactos, reunir las evidencias y, una vez resueltos, aprender de los hechos ocurridos para mejorar el proceso, siendo las más reconocidas de la industria:
- ISO/IEC 27035 (Tecnología de la información, técnicas de seguridad y gestión de incidentes de seguridad de la información). Presenta los conceptos básicos y las fases de gestión de incidentes y los combina con principios en un enfoque estructurado para detectar, informar, evaluar y responder a los incidentes y aplicar las lecciones aprendidas.
- NIST: Guía de manejo de incidentes de seguridad informática SP 800-61. Esta publicación busca ayudar a las organizaciones a mitigar los riesgos de los incidentes proporcionando directrices prácticas sobre cómo responder a los incidentes de manera eficaz y eficiente. Incluye directrices para establecer un programa eficaz de respuesta a incidentes, pero el enfoque principal del documento es detectar, analizar, priorizar y manejar incidentes.
El primer paso para la protección es entender que invertir solamente en herramientas de seguridad no evitará un ciberataque
Enfoque estratégico
La proliferación de incidentes de ciberseguridad y la demanda por parte de los clientes de mayor privacidad y control sobre su información han llevado a los gobiernos a adoptar nuevas regulaciones, como el Reglamento General de Protección de Datos (RGPD) en Europa, la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés) en EEUU o la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) en México.
Por ello, cada vez es más frecuente que se les exija a las organizaciones mejorar y adaptar los bienes y servicios que proveen a sus clientes, a través de sus canales digitales, con el objetivo de cumplir con los requerimientos regulatorios, satisfacer las expectativas de los clientes –protegiendo su información– y garantizar la seguridad y resiliencia de la organización frente a los ciberataques.
No hacer nada no es una opción. El primer paso para la protección es entender que invertir solamente en herramientas de seguridad no evitará un ataque. Pero una sólida educación y conciencia del usuario puede ayudar a detectar oportunamente y lidiar rápidamente con un evento de ciberseguridad en caso de que ocurra alguno.
Cuanto más equipadas estén las organizaciones para contener un posible evento de ciberseguridad, menos se verán afectadas, ya sea de forma reputacional o financiera. Los controles para prevenir, detectar, contener y generar confianza pueden ser la diferencia entre un pequeño impacto y un escándalo público con pérdidas financieras significativas.
No es extraño ver que muchas organizaciones estén adoptando nuevas tecnologías, reconociendo su importancia y su rol a futuro. Cualquier negocio que busque crecimiento, longevidad y una ventaja competitiva está implementando iniciativas de transformación digital en múltiples áreas de negocio para impulsar eficientemente los ingresos y las ventas. Pero la clave del éxito es tener un enfoque estratégico. La gestión de los ciberriesgos, la ciberseguridad y la buena gestión de proyectos de cualquier inversión en transformación digital deben tomarse en cuenta si se quiere alcanzar las metas.
