Una cadena es tan fuerte como el más débil de sus eslabones. Lo hemos aprendido durante la actual pandemia. En sistemas complejos, todos sus elementos deben cooperar para que ninguno afecte al resto negativamente. Cuando tratamos de ciberseguridad, tener esto en cuenta es importante para poder ser capaces de diseñar un sistema IT ágil y flexible, que permita el correcto funcionamiento de la empresa y la operatividad de las unidades de negocio, pero sin comprometer su robustez.
En las últimas semanas, estamos viendo que los negocios reabren y los transportes se normalizan –eso sí, aún gestionando la saturación causada por la alta demanda de los canales de venta digitales–. Como se está escuchando en los últimos días, la crisis del coronavirus ha sido un catalizador para la transformación digital en muchos mercados, entre ellos, España. Muchas compañías se han volcado en ella, en ocasiones, viéndola como un parche temporal para mantener la productividad durante la fase de confinamiento y hacer frente a las restricciones impuestas al sector productivo.
Sin embargo, más allá de parches temporales, las empresas deben entender que las medidas que han adoptado en los últimos meses han llegado para quedarse. Aquellas que deban adaptar su cadena de suministro, por ejemplo, tienen que asegurar en adelante su trazabilidad y seguridad para seguir siendo competitivas.
Amenazas
Las ciberamenazas son más sofisticadas que nunca. Más allá de soluciones temporales, el CISO debe asegurar que la infraestructura IT es segura y ser el impulsor y catalizador de una cultura proclive a garantizarlo. En este sentido, no solo debe entender las amenazas que afronta su organización, sino poseer una visión integral de las operaciones y del uso que le está dando a sus infraestructuras ICT. Todo ello, dado que los procesos de negocio son cada vez más dependientes de la aplicación y las infraestructuras tecnológicas sobre las que se sustenta.
Además, hay que tener en cuenta que cada vez tiene más protagonismo la nube híbrida, con los retos asociados que esto conlleva. Su potencial es enorme y las ventajas, numerosas; pero su despliegue debe llevarse a cabo con garantías para evitar puntos vulnerables. La infraestructura IT es, cada vez más, una parte mayor del núcleo de la empresa, y cada vez tiene que estar mejor protegida. La superficie de exposición es mayor que nunca y, como los CISO saben, la ciberseguridad absoluta no existe: para ellos, es imposible fallar tan siquiera en una sola ocasión, pero para los cibercriminales, basta con acertar una vez.
Salvaguardar la seguridad y la eficacia de la cadena de suministro es una labor necesaria, a la vez que compleja, en la que intervienen mecanismos legales, culturales y tecnológicos
Por eso mismo, salvaguardar la seguridad y eficacia de la cadena de suministro es una labor necesaria, a la vez que compleja, en la que intervienen mecanismos legales, culturales y tecnológicos. Por tanto, el enfoque debe ser integral. Hoy más que nunca, en el mundo empresarial colaboran perfiles muy diversos entre las áreas de IT y negocio. Por ello, es especialmente relevante recurrir a un modelo de gobernanza IT robusto, pero flexible. La crisis nos ha enseñado que, en tiempos difíciles, hay que colaborar y estar más juntos tanto internamente como con nuestros proveedores y partners. Ante el desafío de asegurar la cadena de suministro, el CISO tiene una ocasión sin igual para ser el eje vertebrador de dicha colaboración en su organización.
Previsión y cultura organizativa
Las crisis son una oportunidad de oro para los cibercriminales. Es triste, pero en los últimos meses se ha cumplido a rajatabla aquello de que «a río revuelto, ganancia de pescadores».
Hemos visto cómo, en un momento tan delicado como la gestión de la crisis del coronavirus, se han multiplicado exponencialmente los casos de ciberataques, concretamente, algunas técnicas como el phishing. Este tipo de técnica ataca al eslabón más débil de la cadena de una empresa, que es el usuario final.
Mediante engaños y fake news, muchas personas han recibido en los últimos meses correos de supuestas organizaciones gubernamentales y centros de salud con la intención de introducir malware en los sistemas. Ante este panorama, se debe tener en cuenta que la ciberseguridad absoluta no existe y que es un concepto complejo en el que intervienen numerosos factores legales, técnicos y humanos. La empresa, como responsable de las acciones de sus empleados, debe asegurar que cuenta con un software de seguridad de última generación, ya que las ciberamenazas cada vez son más sofisticadas y más dirigidas.
Anticipación
Pero no solo se deben establecer los mecanismos tecnológicos apropiados, sino que tenemos que cuestionarnos sobre qué debemos pedirle al usuario como tal y anticiparnos a cómo pensamos que va a actuar. En este sentido, la cultura empresarial es clave: sentar unas pautas y buenas prácticas, formar a los empleados, hacer seguimiento de dichas medidas, ciberejercicios… No todo es tecnología, por lo que los proveedores y fabricantes de soluciones de ciberseguridad deben apoyarse en partners que pongan el foco en el desarrollo de soluciones basadas en la consultoría y que entiendan las preocupaciones del cliente y su modelo de negocio.
Este modelo, el del desarrollo de soluciones basadas en consultoría, se está convirtiendo en un paradigma en el sector de la Ciberseguridad. Lejos han quedado los tiempos en los que todo se confiaba ciegamente a la tecnología. Ahora, los proveedores deben ponerse en los zapatos de sus clientes y del usuario final, proporcionando un enfoque que solo puede ofrecer un equipo multidisciplinar, con perfiles técnicos y expertos en otras ramas del saber, como la criminología. Ante un panorama en el que los ciberdelincuentes no dejan de innovar y aproximarse a sus objetivos de distintas maneras –muchas de ellas enormemente ingeniosas–, las empresas deben ir a la par, permanecer alerta y aunar tecnología de vanguardia y cultura organizativa para poder garantizar sin dudar la ciberseguridad en su cadena de suministro.