El Economista - El Economista Tecnologia
La nueva realidad de la ciberseguridad en la era postcovid
El mundo ha cambiado dramáticamente y muchísimo más de lo que nos hubiésemos podido imaginar en 2020. Los negocios ya estaban cambiando, y se estaban transformando, pero es indudable que el Covid-19 ha activado los instintos de supervivencia de las empresas y ha acelerado sus procesos de digitalización para adaptarse a la nueva realidad.
Los datos ya empiezan a ser la sangre que fluye por todas las organizaciones y la gasolina que éstas utilizan para diseñar nuevos modelos de negocio, mejorar la experiencia de sus clientes y obtener eficiencias para hacer frente a la crisis que ha creado la pandemia. El futuro se está creando a partir de nuevos modelos de negocio, nuevas tecnologías y nuevas alianzas.
Y es, en este mundo cambiante e hiperconectado, donde las ciberamenazas están creciendo exponencialmente, por lo que las empresas tienen que volver a analizar cómo se protegen y cómo diseñan nuevos modelos de control para conseguir ser más seguros y resilientes. Además, los profesionales de la ciberseguridad tienen que demostrar que pueden proteger las organizaciones con la agilidad que los nuevos modelos operativos de los cibercriminales vienen exigiéndoles.
Por ello, y para ayudar a las compañías a tomar una posición proactiva frente a las principales amenazas, hemos identificado las cinco principales consideraciones para enfocar la ciberseguridad en esta nueva realidad.
En primer lugar, es imprescindible abordar el déficit de ciberseguridad sufrido en los últimos meses por muchas organizaciones. La pandemia ha sido un terremoto para muchas empresas, las cuales se han visto obligadas a acelerar sus planes de digitalización. Por ello, muchos de los controles habituales y necesarios de ciberseguridad no se han podido realizar y se han obviado, primando la funcionalidad.
Un ejemplo muy claro ha sido el despliegue de soluciones que permitiesen el teletrabajo, sin considerar en exceso los nuevos riesgos que esto suponía. Pero tam
bién cambios como el trabajar con nuevos proveedores, mover ciertos procesos a la nube o abrir nuevos canales de venta online. Por ello, ahora es el momento más oportuno que podemos vivir para revisar con calma los niveles de control existentes y asegurar que el nivel de riesgo está controlado y en línea con el apetito de la organización.
Por otro lado, es necesario generar confianza digital y facilitar la autenticación de clientes. Hemos detectado que los consumidores han acabado visitando aquellos portales donde la interacción es más fácil y donde se sienten más seguros operando.
Además, todos aquellos sitios que siguen requiriendo autenticación por medio de cuentas de usuario y contraseñas -que frecuentemente se olvidansuponen un punto de fricción muy importante para los potenciales clientes. La clave está en evolucionar rápidamente hacia métodos de autenticación basados en características biométricas e interactuar más con los clientes utilizando métodos de inteligencia artificial y machine learning para facilitar la adecuación de la oferta a la demanda.
En tercer lugar, es importante estar atentos a la llegada de la próxima ola de regulación. Cuando hablamos de riesgo tecnológico nos referimos a la tecnología, pero cuando hablamos de ciberriesgos la responsabilidad de su gestión no recae en el departamento de IT.
Por ello, las nuevas regulaciones están poniendo un foco mayor en la involucración del Consejo en el gobierno de la ciberseguridad y en el establecimiento bien definido de las tres líneas de defensa. También es destacable la tendencia hacia un enfoque más holístico para asegurar la resiliencia de las empresas y, en ese aspecto, la ciberseguridad juega un papel muy relevante.
No nos podemos olvidar de la migración a la nube. Cuando movemos nuestros procesos a la nube, la clave ya no está en proteger la infraestructura, que es lo que hemos hecho toda la vida y sabemos hacer, sino en proteger la información.
ύ No nos queda otra opción que revisar nuestros planes de ciberseguridad para actualizarlos a las nuevas necesidades ύ
Y para ello es necesario incluir la ciberseguridad en la fase del diseño de la solución, con perfiles distintos que saben cómo se desarrolla con metodologías ágiles y múltiples interacciones, los cuales muchas veces colisionan con los profesionales de la ciberseguridad “tradicionales”. Por este motivo, el cambio cultural en cualquier tipo de empresa u organización es una obligación.
Por último, nos debemos plantear cómo ser más resilientes. Las organizaciones tienen que repensar cómo han definido los escenarios de riesgo en sus planes de continuidad de negocio. ¿Se ha incluido una pandemia en los escenarios? ¿Y un ciberataque dirigido que comprometa los sistemas o la información? ¿Se han identificado todos los proveedores críticos y se han establecido alternativas? Estas son algunas de las preguntas que hay que hacerse si queremos asegurar que estaremos preparados para responder y recuperar el negocio cuando suframos un incidente relevante.
En conclusión, estemos donde estemos en nuestro nivel de madurez en ciberseguridad, no nos queda otra opción que revisitar nuestros planes directores para asegurar que están alineados con las nuevas necesidades del negocio al que intentan proteger, que han tenido en cuenta las nuevas amenazas que nos están impactando en nuestro día a día y que se alinean con las nuevas regulaciones que, independientemente del sector en el que operemos, nos van a afectar en el muy corto plazo.