Ciberseguridad empresarial. Primeras aproximaciones prácticas

Introducción

La evolución acelerada de la tecnología y las comunicaciones en todas las esferas de la vida y particularmente en las empresas, demanda entender ahora una realidad interconectada, donde los productos y servicios se definen en medio de lo que se llama un ecosistema digital.

Las empresas deben comprender que el escenario de operación, ya no es del todo conocido y que se requiere superar la distinción vigente de la seguridad de la información, como ejercicio de práctica interna para proteger la organización de vulnerabilidades y fallas de seguridad y control que puedan comprometer tanto la dinámica de negocio como la de sus terceros, en los cuales la empresa es custodio de sus datos, por una nueva y complementaria que se ha denominado ciberseguridad.

La ciberseguridad, desde el punto de vista empresarial, es una realidad que prepara a la organización para comprender un escenario de amenazas digitales propias del ecosistema donde opera y establece un conjunto de nuevas prácticas de defensa y anticipación antes desconocidas y poco nombradas. La ciberseguridad empresarial no puede ni debe confundirse con el ejercicio que se hace a nivel nacional para proteger y defender las infraestructuras críticas de la nación, como quiera que dicho ejercicio escapa a las disposiciones que un país hace para reconocer su ecosistema digital de gobierno y cómo se mantiene la operación del mismo a pesar de los posibles ataques.

En este sentido, la ciberseguridad se enmarca en el contexto de lo empresarial, más allá de una nueva exigencia de cumplimiento, como una responsabilidad de marca mayor que implica a los miembros de la junta directiva para entender y construir una estrategia corporativa que permita proteger y asegurar la resiliencia de las operaciones y la reputación de la empresa, como quiera que al estar expuesta en su ecosistema, se hace vulnerable a las tendencias y posiciones en las redes sociales y demás expresiones digitales disponibles a la fecha.

Así las cosas, la ciberseguridad juega un papel relevante en las empresas del siglo XXI habida cuenta que los impactos de los posibles ciberataques, bien focalizados sobre la infraestructura tecnológica, o a través de campañas mediáticas de desprestigio, o provocando la pérdida de propiedad intelectual o sanciones legales, establecen una nueva realidad que las empresas modernas deben asumir ahora como la nueva frontera del precio que se debe pagar por estar interconectados y haciendo parte de una red de contactos y conexiones, muchas de ellas compartidas por terceros con los cuales otras industrias igualmente contratan.

Este documento presenta una breve revisión del concepto de ciberseguridad desde la perspectiva de las empresas, como una primera aproximación para ilustrar los conceptos, prácticas y retos que las organizaciones deben asumir por ser parte de un entorno hiperconectado, con relaciones asimétricas, abundancia de propuestas y servicios novedosos, que en cualquier momento tiene la capacidad de cambiar la historia y motivar cambios hasta el momento inimaginados.

La ciberseguridad en la empresa. Algunas precisiones conceptuales

Si bien, es cierto que un ciberataque puede ocurrir en cualquier momento y de cualquier forma, los especialistas en ciberseguridad de las empresas no están para reducir este tipo de riesgo, sino para que las organizaciones tomen riesgos de manera inteligente. Para lo cual se requiere al menos dar respuesta a las siguientes preguntas: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.xvi)

• ¿Cuáles son los riesgos asociados con esta nueva iniciativa tecnológica del negocio? ¿El negocio está informado sobre el incremento del nivel de exposición de la empresa con esta iniciativa?
• ¿Cómo esta iniciativa tecnológica del negocio será diseñada para generar la mejor experiencia en el cliente y el menor riesgo de pérdida de datos por un ciber ataque?
• ¿El negocio conoce con claridad la dinámica y amenazas del ecosistema digital donde se enmarca la iniciativa tecnológica que se quiere desarrollar?

Responder estas preguntas, establece en la empresa un entendimiento extendido de lo que significa operar en un entorno interconectado donde, las empresas no pueden protegerse ellas solas, sino que requieren conectar y desarrollar cooperación interempresarial para construir una distinción de defensa y anticipación completamente distinta a lo que se tiene en el ejercicio interno de seguridad de la información.

En este contexto, el primer ejercicio para movilizar esfuerzos hacia la ciberseguridad empresarial, es reconocer y construir su ecosistema digital, para enumerar sus proveedores de servicios y tecnología, las expectativas de los posibles clientes, las agencias gubernamentales y sus capacidades de acción, la sociedad civil y sus grupos relevantes y los aseguradores con sus propuestas de cobertura frente ciberataques.

Una vez recreado el mapa de actores y relaciones propios del ecosistema digital, la empresa, sabiendo que no puede eliminar de sus análisis la materialización de un ciberataque, debe fundamentar sus acciones para alcanzar lo que la literatura llama resiliencia digital, donde: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.xvii-xviii)

• La empresa comprende los riesgos de los ciberataques y puede tomar decisiones, donde los retornos de las iniciativas tecnológicas planteadas, justifican el incremento del riesgo.
• La empresa tiene la confianza que los riesgos de los ciberataques son manejables, más que los estratégicos – los cuales no ponen en riesgo la posición competitiva de la empresa o su existencia.
• Los clientes y los negocios tienen confianza en la economía en línea – donde los riesgos sobre los activos de información y los fraudes en línea no son freno para el crecimiento del comercio digital.
• El riesgo de ciberataques no limita a las empresas de continuar tomando ventaja de las innovaciones tecnológicas.

El ejercicio de resiliencia digital debe procurar la continuidad de los negocios, fundada en la capacidad de la empresa para gestionar los incidentes de seguridad y asegurar la disponibilidad de los sistemas, basado no solamente en sus posibilidades técnicas y operacionales, sino con el apoyo de sus socios estratégicos en el ecosistema digital donde participa.

La ciberseguridad en la empresa y sus nuevos normales

Las empresas entienden que las prácticas básicas de seguridad de la información, sustentadas en los estándares conocidos (p.e ISO 27002) establecen los elementos que articulan las estrategias que se desarrollen para asegurar la nueva función de ciberseguridad de la organización.

Esto supone que se debe pasar de un enfoque basado en proteger y asegurar, el cual moviliza las actividades al interior de la organización para cultivar un adecuado tratamiento de la información y soportar las exigencias propias del cumplimiento regulatorio, a otro basado en defender y anticipar donde la organización censa y responde de acuerdo con su lectura del ambiente, las tendencias identificadas y los retos de negocio que crean entornos disruptivos que afectan su posición estratégica y competitiva (Cano, 2014).

Lo anterior significa que las prácticas que conocemos de la seguridad de la información asociadas con autenticación, autorización, auditabilidad y no repudio, deben ser complementadas con otras que den cuenta de las exigencias de anticipación que ahora las empresas requieren para mantener ahora su nivel de “ciber-riesgo” (Frapolli, 2015, p.1.3).

Las prácticas complementarias, que podemos llamar propias de la ciberseguridad de las empresas, deben estar fundadas en actividades relacionadas con:

• Análisis de escenarios – Una práctica que establece y proyecta contextos posibles de amenazas y riesgos emergentes, con el fin de motivar reflexiones y acciones que preparen a la organización frente a situaciones imprevistas y eventos no esperados.
• Ciber inteligencia – Una función de monitoreo y valoración de información sobre amenazas, que desarrolla pronósticos sobre vectores de ataques y objetivos que los atacantes pueden materializar en el contexto del ecosistema digital donde opera la organización.
• Juegos de guerra – Se diferencian de las pruebas de vulnerabilidades tradicionales, donde se contratan terceros para identificar fallas en la infraestructura que habilitan una fuga y/o pérdida de información, en cuanto a que en los juegos de guerra se busca comprender la información a proteger, sabiendo las fallas de seguridad que el atacante puede concretar y así poder ver las limitaciones que la empresa tiene para enfrentar un ciberataque, particularmente en la forma de establecer su estrategia de comunicaciones y su proceso de toma de decisiones (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.150)
• Defensa activa – Que implica pasar de una postura pasiva de respuesta frente ataques del exterior, a una reflexión que modela y anticipa los nuevos movimientos de los atacantes, para lo cual: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.134-135)
• Establece los perfiles de actividades que son consideradas normales en la organización, para poder ver los cambios inusuales, y así alertar y actuar en consecuencia.
• Integra los resultados de la ciber-inteligencia para plantear hipótesis de posibles intrusiones peligrosas y emergentes.
• Consulta y afina los resultados del Centro de operaciones de seguridad (en inglés SOC – Security Operation Center), que filtrando los posibles falsos positivos y descifrando los nuevos patrones o vectores de ataque, permite focalizar las acciones que son decisivas para enfrentar y tratar de contener los posibles atacantes. 

La ciberseguridad en la empresa y sus nuevos retos

La ciberseguridad en el contexto empresarial tiene un foco completamente diferente a las connotaciones del concepto en el escenario de la protección de la gobernabilidad de una nación. Mientras a nivel de país, la ciberseguridad adquiere una distinción de práctica transversal que conecta los sistemas de protección de cada una de las entidades que hacen parte del sistema de gobierno nacional para hacer más resiliente la operación gubernamental, a nivel empresarial se revelan las conexiones propias de la corporación y la sensibilidad de las mismas frente a su capacidad de resistencia a ciberataques que comprometen su modelo de operaciones.

En razón a lo anterior, se requiere formular una nueva función de protección del modelo de negocio, basado en la lectura del ecosistema digital, que incorpore nuevas habilidades y capacidades para defender y anticipar nuevos escenarios de ciberataques, las cuales deben responder a retos empresariales como: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.163)

• Priorizar los activos de información basado en los riesgos de negocio.
• Integrar las prácticas complementarias previamente enunciadas en el entorno de la tecnología de información empresarial.
• Incorporar el concepto de ciber-riesgo dentro del sistema de riesgos empresariales y los procesos de gobierno corporativo.
• Establecer estrategias de protección diferenciadas de acuerdo con en el nivel de sensibilidad de los activos identificados.
• Mantener y sostener la capacidad de respuesta a incidentes, que permita incorporar y asegurar las lecciones aprendidas y aumentar la resiliencia corporativa.

Estos retos se deben traducir en planes de acción y estrategias concretas que permitan asegurar la incorporación de los “nuevos normales” y así cambiar, no solamente la estrategia de participación de la empresa en su entorno digital, sino activar un nuevo conjunto de habilidades y recursos que construyan un nivel de resiliencia mayor dentro de su ecosistema digital para lo cual es clave tener en cuenta: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.191)

• Las definiciones de política pública nacional e internacional vigente.
• Los aportes de la sociedad civil, las comunidades académicas y de investigación.
• La dinámica de los mercados y cambios en internet, que hablen de acciones coordinadas para estabilizar y normalizar operaciones comprometidas.

Finalmente y no menos importante, se hace necesario incorporar dentro de la agenda empresarial a nivel de junta directiva (Rai, 2014), la lectura de algunos deberes claves de los miembros del directorio, como práctica de gobierno corporativo que reconoce las amenazas externas y las volatilidades propias del ecosistema digital donde se encuentra la organización.

En este escenario, los miembros de junta deben asegurar que sus actuaciones son consistentes con esta realidad y dar cuenta de sus acciones respecto de estos eventos, para movilizar y asegurar su debido cuidado y diligencia frente a los intereses de la empresa y el cuidado de la imagen corporativa. Por tanto, cada miembro de junta debe asegurar el cumplimiento de al menos cinco deberes (Frappolli, 2015, p. 3.16 - 3.17) frente a la dinámica de las tensiones que provoca un ciberataque y las exigencias que la ciber seguridad demanda tanto para la organización como para sus ejecutivos de primer nivel.

Deber de cuidado - Cada miembro de junta debe mantenerse informado de los eventos y noticias relevantes sobre ciber seguridad y/o ciber ataques con el fin de asegurar un tono adecuado de las discusiones en el contexto de los objetivos y estrategias de la organización.

Deber de lealtad - Cada miembro de junta no debe tener o participar en negocios que compitan con la organización para cual sirve, y más aún, comunicar situaciones adversas de las cuales tenga conocimiento que afecten las condiciones de seguridad y control que tenga la empresa de la cual es miembro en su directorio ejecutivo.

Deber de divulgación - Los miembros de junta están obligados a revelar los hechos que son relevantes para los grupos de interés de la empresa para cual trabajan. En particular, establecen el mecanismo y la estrategia que permite dar cuenta de eventos desafortunados de seguridad de la información con impactos en alguno de sus grupos de interés.

Deber de obediencia - Los miembros de junta deben ceñir sus actuaciones a la Constitución y la ley, así como frente a los fundamentos del gobierno corporativo. Esto es, asegurar las prácticas y estándares requeridos para aumentar la resistencia de la empresa frente a ataques informáticos, así como motivar y apoyar comportamientos adecuados en el tratamiento de la información de la empresa.

Deber de verificación - Los miembros de junta deben contar con mecanismos para validar las acciones que sobre el tema de seguridad de la información se adelantan en la empresa, motivar los planes de mejora que sean del caso y asegurar los recursos necesarios para incorporar las buenas prácticas tanto en personas, procesos y tecnología.

Reflexiones finales

Si bien a lo largo de este documento se han enunciado algunas ideas sobre la ciberseguridad en el contexto empresarial, es importante anotar algunos de los retos legales propios de la tensión existente entre el uso abierto y libre del ciberespacio y la protección del mismo como espacio de estrategias competitivas e innovación: (García, 2013, p.87-90)

• La neutralidad de la red.
• La regulación del ciberespacio.
• Las amenazas para derechos y garantías individuales.
• Las responsabilidad de los proveedores de los servicios.
• Los problemas de la jurisdicción sobre los alcances de las conductas punibles en internet.
• Las tecnologías emergentes estructurales como computación en la nube, computación móvil, las redes sociales, los grandes datos y su analítica y el internet de las cosas.

Estos retos completan el escenario volátil, incierto, complejo y ambiguo (Johansen, 2009) que configura la realidad de las organizaciones modernas enmarcadas dentro de un ecosistema digital en permanente movimiento y evolución. Así las cosas, la ciberseguridad empresarial debe prepararse para las nuevas amenazas digitales derivadas ahora de su relacionamiento con cada uno de los actores del ecosistema donde participa:

• Las agencias de regulación
• Los proveedores de servicios y productos
• Los vendedores de tecnologías de información y comunicaciones
• Las asociaciones industriales
• Los clientes corporativos y los consumidores
• El gobierno y sus agencias de seguridad y control
• Los atacantes
• La sociedad civil

Lo anterior implica entender con claridad qué significa ser una empresa digital (Dörner y Edelman, 2015) o con maestría digital (Westerman, Bonnet y McAfee, 2014), esto es:

• Lectura y análisis de los comportamientos y expectativas de los clientes que se desarrollan dentro y fuera del contexto de negocio, así como fuera de su sector, para identificar las tendencias que pueden entregar o destruir valor.
• Uso de nuevas capacidades para mejorar la forma como se atiende a los clientes y se mejora su experiencia como usuario.

en pocas palabras los procesos tecnológicos y organizacionales que permiten que una empresa sea ágil y rápida para responder y anticipar los cambios disruptivos del entorno y capitalizar las oportunidades que se derivan de los mismos (Dörner y Edelman, 2015).

Por tanto, la ciberseguridad empresarial debe apoyar y movilizar a la organización para establecer su nivel de exposición al ciber-riesgo, entendiendo sobre que parte de la cadena de valor tendrá control y cuanto desea invertir en conocer sus clientes finales (Weill y Woerner, 2015). Esto significa que deberá desarrollar escenarios de análisis, donde se desconecten los puntos de la realidad conocida, se incorporen los resultados de la ciber inteligencia realizada, para nuevamente conectarlos (De Jong, 2015) y así expandir el entendimiento de su ecosistema y revelar aspectos ocultos de futuros inciertos o riesgos inesperados (Roxburgh, 2009).

La ciberseguridad empresarial por tanto, es una nueva práctica corporativa que demanda explorar por debajo de la superficie institucional y en medio de la vorágine de propuestas emergentes, aspectos novedosos de la realidad que motiven y descubran agentes de riesgo inéditos o renovados, que puedan comprometer la dinámica de los negocios y establecer condiciones adversas que limiten su participación en las oportunidad de su sector.

Si lo anterior es correcto, la ciberseguridad empresarial se convierte en un nuevo estándar de las operaciones de las empresas con presencia global, que reconocen que no existen límites geográficos para que un atacante, o actor no identificado, pueda concretar un ciberataque y crear un escenario de inestabilidad e incertidumbre que comprometa sus virtudes corporativas y alianzas estratégicas.

Referencias

Cano, J. (2014) Transformando la función de la seguridad de la información. Anticipando el futuro, entendiendo el presente. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2014/11/transformando-la-funcion-de-la.html

De Jong, R. (2015) Anticipate. The art of leading by looking ahead. New York, NJ. USA: Amacon.

Dörner, K. y Edelman, D. (2015) What ‘digital’ really means. Mckinsey Digital. Recuperado de: http://www.mckinsey.com/insights/high_tech_telecoms_internet/what_digital_really_means

Frappolli, M. (2015) Managing cyber risk. Malvern, Pennsylvania.USA: American Institute for Chartered Property Casualty Underwriters.

García, P. (2013) El derecho de internet. En Segura, A. y Gordo, F. (coords) (2013) Ciberseguridad global. Oportunidades y compromisos en el uso del ciberespacio. Granada, España: Editorial Universidad de Granada. 69-90

Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.

Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.

Rai, S. (2014) Cybersecurity: What the Board of Directors Needs to Ask. ISACA-IIA. Recuperado de: http://www.theiia.org/bookstore/downloads/freetoall/5036.dl_GRC%20Cyber%20

Roxburgh, C. (2009) The use and abuse of scenarios. Mckinsey Quarterly. Noviembre.

Weill, P. y Woerner, S. (2015) Thriving in an increasingly digital ecosystem. Sloan Management Review. 56, 4. 27-34

Westerman, G., Bonnet, D. y McAfee, A. (2014) Leading digital. Turning technology into business transformation. Boston, MA. USA: Harvard Business Review Press.