INCIBE publica la guía “La ciberseguridad al alcance de todos”
22 noviembre, 2021
Del mismo modo en que al sentirnos más débiles acudimos a suplementos vitamínicos, las organizaciones deben considerar a la ciberseguridad como su vitamina C para transformarse digitalmente de forma correcta.
Por Rodolfo Herrera B., Abogado asociado de Legaltrust, consultor y académico especializado en ciberseguridad y protección de datos.
Hoy, el sentirse resfriado es motivo de una preocupación especial. En mi caso, cuando siento los primeros síntomas leves inmediatamente pienso: “¿me estaré resfriando? ¿Será COVID! ¿Ojalá solo sea alergia?”. Pero antes de esta sensata preocupación, frente a un estornudo bastaba con una limonada caliente o tomar jugo de naranja más seguido. Buscábamos vitamina C.
Parece lógico que en los momentos en que nuestro cuerpo está más débil, más vulnerable frente a las enfermedades, recurramos a las vitaminas, a esas sustancias necesarias para el correcto funcionamiento celular, el crecimiento y el desarrollo fisiológico. De hecho, si hay deficiencia grave de ellas y, en particular de la vitamina C, podemos contraer escorbuto, gengivitis, hemorragias, anemia, entre otros síntomas.
La falta de vitamina C no solo puede afectar a nuestro cuerpo, sino también, es clave en momentos de transformación digital en las organizaciones, sean públicas o privadas. Bueno, en ese caso la vitamina C tiene otro sentido, pero igualmente es fundamental para el correcto funcionamiento de una organización que se transforma digitalmente. Me refiero a una vitamina C, con C de Ciberseguridad.
Más que seguirla como una moda o declararse partidario de ella para no verse rezagado, la transformación digital es un proceso disruptivo y, por qué no decirlo, traumático en ocasiones, para cualquier organización que la asuma con seriedad. Es disruptiva porque nos permite dejar de realizar actividades de la manera en que estamos acostumbrados (lo que puede ser sinónimo de inmovilidad e ineficiencia) y nos invita a intentar caminos no recorridos aún.
Sin embargo, transformación digital no es sinónimo de automatizar, porque esto último podría solo estar digitalizando la burocracia, la ineficiencia o la entropía que ya puede existir en una organización. No se logra mágicamente con externalizar servicios en la nube o con incluir canales en redes sociales para comunicarse con los clientes. Transformar digitalmente a una organización implica cambiarla, dejar de ser lo que era para evolucionar en algo distinto y cosechar frutos de ello, en materia de organización, costos, fidelización de clientes, calidad de servicio, cobertura, competitividad, entre otras ventajas.
Un proceso de transformación digital demanda reconvertir puestos de trabajo, invertir en nuevas tecnologías, desarrollar nuevas estrategias comerciales y comunicacionales, incorporar nuevos modelos de gestión más eficientes, innovar en los servicios que se prestan y, muy probablemente, posicionar una nueva cultura organizacional.
En ese contexto, cuando una organización asume un proyecto hacia su transformación digital implica realizar cambios importantes, sea cual fuere la gradualidad con la que se plantea avanzar. Esos cambios exponen a la organización a nuevas vulnerabilidades por lo que, aunque sea un proyecto bien planteado, igualmente enfrenta riesgos que antes no tenía. Por ejemplo, es más vulnerable cuando comienza a incorporar tecnologías disruptivas como blockchain, cloud computing, big data, inteligencia artificial; al permitir modalidades de teletrabajo; y, por supuesto, al tener que enfrentar la natural resistencia al cambio de quienes integran la organización.
A modo de ejemplo, cuando se migra a la nube el principal riesgo de incidentes que afectan la disponibilidad de estos nuevos servicios, más que venir de ataques externos, provienen de fallas por errores al configurar los servicios. También pueden sumarse problemas por falta de adopción de nuevos procedimientos internos, no necesariamente conocidos o comprendidos por el personal.
Por lo tanto, la transformación digital y los cambios que conlleva, en un primer momento vuelven más débil a la organización, más vulnerable frente a lo nuevo y su riesgo aumenta.
Del mismo modo en que al sentirnos más débiles acudimos a suplementos vitamínicos, las organizaciones deben considerar a la ciberseguridad como su vitamina C para transformarse digitalmente de forma correcta. Eso sí, no debe ser un tratamiento ex post, ya con los síntomas. No es correcto abordar las consideraciones de ciberseguridad una vez implementada la nueva tecnología en la organización.
La ciberseguridad debe ser considerada desde el diseño del proyecto de transformación digital, de lo contrario, se duplican esfuerzos en un proceso de suyo complejo y los costos pueden ser mayores si hay que intervenir con medidas de ciberseguridad en plataformas ya operativas, por ejemplo, si se requieren integraciones y desarrollos especiales. Además, la fase de inicio de un proyecto de transformación digital es un período de alta vulnerabilidad de la organización, ya que recién se está adaptando a los cambios, de modo que si carece de medidas de seguridad apropiadas, la transformación digital puede abrir flancos sin las defensas instaladas y operativas contra ataques.
Frente a esa recomendación de incluir a la ciberseguridad desde el diseño de cualquier proyecto de transformación digital, existen algunas preguntas que deben ser analizadas, por su importancia en la construcción de una estrategia. Solo por mencionar algunas relevantes -ya que cada organización debe hacerse sus propias preguntas, cuando decide iniciar un proceso de transformación digital seguro-, destaco las siguientes:
1. ¿Debo externalizar?
Si opto por externalizar servicios, procesos o actividades, por ejemplo, acudiendo a la nube, ¿qué nuevos riesgos aparecen?, ¿disminuyen mis vulnerabilidades en ciberseguridad? Si el proveedor cloud cuenta con una organización más robusta y preparada que la mía frente a ciberataques, puede ser una buena estrategia externalizar. No obstante, mientras más crítica es la información o el proceso que dejo de cargo de ese proveedor, no basta con lo declarado por él, sino que es importante verificar su cumplimiento, por ejemplo, a través de certificaciones actualizadas, auditorías o controles due diligence previos a contratar sus servicios.
2. ¿Cuál es el alcance del proyecto de transformación digital?
Un proyecto de transformación digital podría tener como enfoque el realizar cambios en la forma de trabajar, por ejemplo, adoptando teletrabajo o permitiendo la utilización de equipos tecnológicos más potentes que los que tiene la organización, pero que son de propiedad del trabajador. En este punto, la ciberseguridad debe, necesariamente, extenderse más allá de las oficinas y cubrir, por ejemplo, medidas a implementar en la casa del trabajador o en sus dispositivos personales. Sin embargo, como entramos en un espacio que no le pertenece a la empresa y en donde no puede imponer obligaciones, deberán ser incluidas a nivel contractual, es decir, aceptadas por el trabajador como nuevas condiciones. De lo contrario, la organización deberá proporcionar el equipamiento y no admitir dispositivos personales, o, en el caso del teletrabajo, admitirlo en telecentros especialmente habilitados para ello, no en el hogar del trabajador.
Además, si estamos fuera de la organización y tal vez con servicios externalizados, hay que ser precavidos con los niveles de servicios exigidos, por ejemplo, para la detección oportuna de incidentes, sobre todo, si la asistencia es remota. Personalmente, he visto cómo algunas empresas que abren canales exclusivos de comercio electrónico sacrifican la calidad de la asistencia a sus clientes, eliminando canales de atención de reclamos, quitando datos de contacto como teléfonos, correos electrónicos o formularios, abriendo únicamente páginas de preguntas frecuentes muy generales o dejando todo a cargo de un asistente virtual de inteligencia artificial, a ratos molesto, a ratos inútil para solucionar problemas.
En fin, acá hay más de una estrategia, pero lo relevante es no olvidar que si la información de la empresa sale del entorno de seguridad dispuesto, debe considerar medidas específicas para enfrentar nuevos riesgos, situación que muchas organizaciones olvidan.
3. ¿Qué estrategia de ciberseguridad apoya la alta dirección de la organización?
El diseño de la estrategia de transformación digital no es responsabilidad de las áreas de tecnología, a pesar de que ellas la implementan. Como son procesos de negocio que cambian a la organización, la estrategia le corresponde a sus altos directivos, asesorados por las áreas tecnológicas.
Para llegar a adoptar modelos como Zerotrust, Defense in Depth u otros, o para hacerse cargo de los riesgos del teletrabajo, del cloud computing, de tecnologías disruptivas y de situaciones shadow IT, por mencionar algunos ejemplos, las decisiones necesitan alinearse con los objetivos de la organización, por técnicas que parezcan, lo que exige la mirada y decisión de la alta gerencia.
4. ¿A quién va a impactar la transformación digital de mi organización?
Al referirme al impacto, lo hago tanto en sentido positivo (a quién beneficiará y cómo, por ejemplo, contará con mayor control de autenticación para evitar que lo suplanten en entornos digitales) y también negativo (qué y quién puede verse perjudicado o enfrentará nuevas amenazas de seguridad). Cambiar la forma de trabajar, de organizarme, de prestar mis servicios o proporcionar mis productos requiere una revisión de los sistemas que serán intervenidos, los procesos que serán modificados, los datos que estarán involucrados, especialmente si tienen regulaciones particulares para su tratamiento, como ocurre con los datos de carácter personal. Y, por supuesto, identificar a las personas afectadas, sean clientes que proporcionan sus datos personales y que requieren garantías frente a incidentes que vulneran la autenticación en línea, o de trabajadores que necesitarán reconvertirse, adoptar nuevos procedimientos o, lamentablemente, sean reemplazados. Esta última es una realidad que hay que afrontar y de la cual hay que hacerse cargo, desde la propia organización y, especialmente, desde políticas públicas de protección a esos trabajadores.
Ahora bien, no solo basta con identificar a quién o qué va a impactar la transformación digital desde el punto de vista de la ciberseguridad, sino también cuáles podrían ser las causas de tales incidentes (por ejemplo, errores de configuración, fallas de dispositivos, ataques internos o externos, como ramsonware, ingeniería social, phishing y denegación de servicio). Y, finalmente, proyectar las posibles consecuencias que provocaría un incidente de ciberseguridad en el proyecto de transformación digital, especialmente cuando se trate de una vulnerabilidad de día cero, para la cual aún no existan medidas de control, como parches para el software.
La estrategia de ciberseguridad, desde el diseño de un proyecto de transformación digital, tiene que estar alineada con los objetivos de la organización, por lo que no corresponde una receta genérica, del mismo modo en que las personas tampoco requieren las mismas dosis de vitaminas.
Por eso, a modo de cierre, les dejo 3 acciones que es recomendable tener presente, con la salvedad que recién señalé, de modo que en una organización pueden aparecer otras tanto o más importantes. Sin embargo, son acciones frecuentes que me ha tocado sugerir al asesorar a clientes:
1.- Hay que sensibilizar a todo el personal de la organización sobre la importancia y los nuevos riesgos de ciberseguridad derivados con los cambios que trae la transformación digital en la empresa, utilizando para ello situaciones que les sean familiares. Además, es esencial capacitar a los responsables del nuevo proceso, porque la ciberseguridad, los riesgos y las medidas a implementar para mitigarlos suelen no estar dentro de su radar.
2.- Hay que fortalecer los controles de autenticación, especialmente si ahora las actuaciones que se realizaban presencialmente, se harán por vías remotas digitales. No en vano, en ciberseguridad son muy recurrentes los ataques contra ese atributo de la información, a través de la suplantación de personas.
3.- Hay que conocer la información que maneja la organización y dónde se encuentra. Para ello es útil -aunque no sencillo- comenzar por clasificar las bases de datos y el tipo de datos y documentación que tienen. En especial, debe identificar qué información es estratégica para el negocio y, por tanto, tendrá que mantenerse reservada, con medidas de control eficaces y dónde tienen almacenados los datos personales de terceros. Esto último cada vez es más relevante, por las obligaciones de cuidado que se imponen al recolectar, almacenar, procesar y conservar los datos personales, tanto por la legislación nacional (en Chile es la ley N°19.628, sobre Protección de la Vida Privada, próxima a ser modificada para aumentar sus exigencias), como también por la incidencia del Reglamento Europeo de Protección de Datos Personales (GDPR) incluso en organizaciones ubicadas fuera de Europa.
Entonces, ya saben, a no descuidar la vitamina C, de ciberseguridad, para la transformación digital.
Copyright © 2021 CISO Convergence | Política de Privacidad | Términos y Condiciones
