La relación entre la Transformación Digital y la Ciberseguridad

Aprovechar las X jornadas STIC CNN-CERT sobre el panorama de la ciberseguridad nacional parece ser una buena ocasión para dedicarle un artículo en www.itthinksite.com a la relación de dos temas candentes en el ecosistema IT de cualquier corporación.

He leído con mucha frecuencia artículos sobre la ciberseguridad y cómo ésta realiza el papel de catalizador para la transformación digital en las organizaciones. Creo que un punto de vista más correcto es que la ciberseguridad ha estado ahí desde la exposición de información sensible al medio digital y en nada cataliza en sí misma ningún proceso. Si hablamos de transformación digital en una organización, si contemplamos realmente la complejidad que aglutina una transformación de este tipo en todos los ámbitos que debiera, la ciberseguridad es una herramienta más, posiblemente la de mayor índice de riesgo por su impredecible impacto, pero un ámbito más dentro de la multidisciplinaridad propia de este tipo de transformaciones empresariales. Es muy posible que el alto impacto influya en la percepción de catalización de la transformación digital, ya que hoy nuestro día a día es eminentemente digital, pero no tiene la relevancia suficiente para que sea el centro en el que convergen el resto de líneas de acción.

Criticidad de la Ciberseguridad en la Transformación Digital

Reflexionemos sobre cualquier plano de la digitalización y pensemos en las consecuencias de desempeñar sin mucho acierto la gestión de nuestra transformación en ese plano. Podremos no vender tanto si no acertamos con nuestra estrategia de promoción, podremos perder presencia o cuota si no adecuamos nuestro I+D a la perspectiva de evolución de nuestro mercado, podremos perder clientes si no entendemos las necesidades de un consumidor digital… ¿Pero qué pasaría si nuestra estrategia de seguridad no cumple con las exigencias de exponer mi dato y mi proceso al medio digital?

El primer paso es establecer nuestros objetivos estratégicos y ya seamos una gran corporación internacional o una PYME local probablemente estén enmarcados en estos cinco principios: seguridad, continuidad, capacitación y mejora

Efectivamente el impacto es demoledor y difícilmente reversible. Obviamente esto tiene una gran trascendencia a la hora de establecer una hoja de ruta para la transformación digital de una compañía, los proyectos que canalizan esta transformación, su seguimiento y las dependencias entre ellos.

Aquí os doy algunas cifras interesantes antes de seguir:

  • Como leía recientemente en este artículo, “El 43% de los responsables de TI considera la seguridad como el principal reto para conseguir encarar la transformación digital con éxito” y conseguir que la ciberseguridad sea un reactivo en vez de un freno es tan complicado como fundamental.
  • Más de la mitad de los directivos cree que en un plazo de tres años sus empresas serán muy distintas a como son hoy en día. Lo significativo de esta cifra es ese paradigmático periodo de tres años. Está tan institucionalizado el ciclo de tres años que me crea bastante desconfianza; no es posible que las circunstancias propias de cada organización, tan heterogéneas entre ellas, tengan el mismo resultado, (pero eso es otro tema diferente y para otro artículo).
  • Según la consultora KPMG “tan solo alrededor de la cuarta parte de las empresas consultadas están “totalmente preparadas” para reaccionar ante incidentes graves de seguridad”.
  • Capgemini nos dice que más del 80% de las organizaciones le dan una gran prioridad a implementar diferentes tipos de gestión de acceso, tales como métodos alternativos de autenticación y logins sociales. Sin embargo, menos del 20% están actualmente preparadas con este tipo de soluciones de autenticación adaptativa.

Si analizamos con más detalle estas y otras cifras, veremos que hay mucha incongruencia entre la criticidad que se le otorga al papel de la ciberseguridad en los procesos de transformación digital empresarial, los medios con los que se les dota y los proyectos o acciones concretas que se llevan a cabo. Y he de puntualizar que es una de las principales razones por las que cuando nos enfrentamos a estos grandes retos estratégicos de cualquier compañía, opto siempre por una mezcla entre prudencia y el realismo. La transformación digital es sin duda la estrategia correcta para aprovechar la oportunidad que nos han facilitado las nuevas formas de relación con clientes, proveedores, partners (y en cierto modo también con la competencia) y dentro de ese contexto las políticas de seguridad digital son una pieza capital.

Proceso de evaluación estratégica y principios de objetivos estratégicos.

Como toda estrategia empresarial, aquella referida a la ciberseguridad tiene que estar basada en un proceso sólido de análisis y toma de decisiones, donde establezcamos y formulemos nuestras opciones de estrategia corporativa y competitiva y evaluemos la viabilidad de las mismas. No sirve con sabernos en la obligatoriedad de afrontar un plan de adecuación de nuestras capacidades en ciberseguridad enmarcado en mi Transformación Digital, sino que tenemos que realizar un proceso estratégico completo.

Proceso estratégico

El primer paso es establecer nuestros objetivos estratégicos y ya seamos una gran corporación internacional o una PYME local probablemente estén enmarcados en estos cinco principios:

  1. Garantizar que nuestros sistemas de información tienen el nivel adecuado de seguridad y resiliencia
  2. Promover e impulsar los niveles necesarios de seguridad en el resto de actores en mi cadena de valor (Clientes, proveedores y partners, principalmente)
  3. Garantizar la capacidad y continuidad operativa frente a amenazas mediante mecanismos de prevención, identificación, respuesta y políticas de continuidad del negocio.
  4. Institucionalizar la adecuación y capacitación de los interesados en los riesgos asociados a las nuevas formas de comunicación en el ciberespacio
  5. Monitorizar, controlar y mejorar nuestros sistemas de ciberseguridad

Para establecer las líneas de acción posibles (fase de formulación) necesitamos enmarcarlas en nuestro ámbito específico, y aquí ya si se marcan las obvias diferencias entre las grandes corporaciones y las PYMES más modestas. Tanto el análisis del entorno como el análisis corporativo me marcarán las distintas caracterizaciones de mis oportunidades y amenazas (externo), así como de mis fortalezas y mis debilidades (interno), pero no perdamos la oportunidad de empezar todo por un DAFO tradicional y simple. Muchas veces nos complicamos en exceso y nos olvidamos de la navaja de Ockham y la simplicidad de las soluciones.

La ciberseguridad ha estado ahí desde la exposición de información sensible al medio digital

Pretender valorar como una línea de actuación realista un cambio de estrategia para la incorporación de un servicio IDaaS (IDentity as a Service) residente en una de las Cloud platforms del mercado dependerá de la dimensión de mi sistema, o valorar si las directrices de Catherine Ashton respecto a las normas y principios de la seguridad y su adaptación al medio digital influyen en mis políticas transparencia de la información y las medidas de seguridad que debo afrontar dependerá también de factores políticos, legislación, acuerdos intergubernamentales, etc. No es lo mismo ser una empresa de desarrollo de sistemas de navegación para misiles, una entidad financiera internacional o una pequeña gestoría de administración de sociedades. Lo que sí es seguro es que todo pasa por analizar bien los objetivos estratégicos de la compañía y ajustarlos (internamente) a qué puedo hacer en materia de seguridad y amoldar también (contexto externo) a qué obligaciones y restriccioines me plantéa mi entorno. Seguro que, con un ejercicio riguroso de análisis estratégico en el ámbito de la ciberseguridad, encontramos nuestras líneas de actuación dentro de los cinco principios principales: seguridad, continuidad, capacitación y mejora. El no olvidarnos de ninguno y cumplir con los pasos de evaluar su adecuación, factibilidad y aceptabilidad ya depende de nosotros.

A partir de aquí todo es tecnología, arquitectura, soluciones en comunicaciones, seguridad perimetral, capacitación, topologías… Cada solución adaptada a las líneas de actuación y enmarcadas dentro de mi estrategia de transformación para garantizar los cuatro parámetros que definen los ámbitos de la seguridad:

Integridad: La información tan solo es susceptible de ser modificada por personas  o sistemas previamente autorizadas y de la forma autorizada.
Confidencialidad: La información (y otros activos informáticos que persisten o transforman la información) son accedidos solo por las personas o sistemas previamente autorizados para hacerlo.
Disponibilidad: Los activos están accesibles por las personas autorizadas en el momento requerido.
Irrefutabilidad (O no repudio): El uso y/o modificación de la información es auditado y registrado de forma fehaciente de manera que sea irrefutable (no se puede negar dicha acción)

Por tanto la relación entre la transformación digital y la ciberseguridad es en cierta manera de supeditación de la segunda a la primera, la cual marcará las necesidades estratégicas de digitalización en la organización y qué actuaciones en materia de seguridad son necesarias para no comprometer los principios es estrategia en ciberseguridad.

Gracias una vez más por haber tenido el interés y la paciencia para llegar hasta el final de este artículo y no olvides compartirlo.