La transformación digital está llevando a las organizaciones a un proceso de rediseño de los modelos de negocio, sometiéndolas a profundos cambios tecnológicos para poder competir en un nuevo entorno y adaptarse a las nuevas expectativas de los clientes e incluso a los nuevos comportamientos de sus propios empleados.
En este proceso de profundo cambio tecnológico y cultural, la ciberseguridad se convierte en una prioridad estratégica para la transformación digital.
Si tenemos en cuenta la creciente integración en los procesos de negocio de Internet de las Cosas, el análisis de “big data”, el uso de servicios en la nube, o las demandas de movilidad, entre otros, vemos como la seguridad se convierte en una necesidad, mientras que su foco cambia de los perímetros de las redes corporativas hacia la protección de los datos que fluyen por diferentes aplicaciones, dispositivos o por la Nube.
La automatización de virtualmente todos los procesos de negocio y la creciente interconexión digital de toda la cadena de valor crea una respuesta ágil ante el cliente pero también aumenta los riesgos y los niveles de amenaza. La economía digital tiene una característica general nunca vista hasta ahora: la exposición del negocio ante un entorno de carácter global.
Visto todo lo anterior, la transformación digital está creando cambios fundamentales en las estrategias de seguridad de las organizaciones, haciendo que prime la anticipación y la observación de los riesgos con el fin de prevenir las amenazas, muchas de ellas en forma de ataques cada vez más sofisticados, rápidos y dañinos a las infraestructuras que soportan el negocio.
En este contexto, la velocidad y la agilidad son claves, por lo que pensamos que el énfasis se debería de poner en el descubrimiento de las vulnerabilidades, que pueda tener cada organización frente a las amenazas a las que esta se enfrenta, y en la generación de la capacidad de reacción en tiempo real que permita la vuelta a los niveles normales de operación y servicios (resiliencia).
En esta línea, un programa de ciberseguridad debería de consistir en una combinación de defensa, resiliencia y evaluación de riesgos que permita hacer frente a las crecientes amenazas a los niveles de seguridad, el cumplimiento y la protección de datos. Un error en las inversiones en ciberseguridad podría llevar a la organización a enfrentarse a riesgos que afecten a su competitividad en el largo plazo.
Pero si queremos que la evaluación de riesgos sea una herramienta útil en este escenario, debería de tener en cuenta los cambios que se están dando en el contexto de las organizaciones. La identificación de los riesgos pasa por poner especial atención en los riesgos no conocidos o en las actividades no planificadas, que determinarán las medidas a incorporar a la planificación de las capacidades de respuesta ante incidentes.
Lo impredecible cada vez cobra más fuerza en el nuevo entorno digital y nos lleva a tener que trabajar con diferentes asunciones de materialización de las amenazas de ciberseguridad.
De ahí, que la evaluación de riesgos de la información tenga que ser un instrumento para una toma de decisiones ágil, especialmente enfocada a detectar las vulnerabilidades que tiene la organización, a priorizar las decisiones de tratamiento de esas vulnerabilidades y a evaluar donde se debe generar la capacidad de resiliencia de la organización ante amenazas de alto impacto en el negocio.
La evaluación de riesgos tiene que ser un compañero en el viaje de la transformación digital de las organizaciones para que estas puedan alcanzar los objetivos de seguridad y cumplimiento que se les exigen en la economía digital.
Juan José Jiménez
Cybersecurity Lead Expert
Equipo Tecnofor. 05 de Septiembre de 2017.