Sin duda, la volatilidad, la incertidumbre, la complejidad y la ambigüedad son factores que representan de forma indiscutible el marco actual en el que operan las empresas. La pandemia ha exacerbado este tipo de entornos (VUCA, por sus siglas en inglés), a la vez que ha servido como acelerador de un proceso de transformación digital que, aunque ya formaba parte de las agendas de las compañías, estaba previsto que se produjera de forma más gradual; en cuestión de meses hemos experimentado un avance equivalente al pronosticado en años.
De esta forma, la incorporación repentina de miles de millones de personas al teletrabajo evidenció aún más la brecha ya existente entre empresas, brindando mayores ventajas competitivas a las que presentaban un proceso de maduración más avanzado en este ámbito y mermando las posibilidades de aquellas que se encontraban en un estado más incipiente. Esta sobreexposición improvisada produjo un incremento del 350 por ciento de ciberataques durante la pandemia, dejando a las empresas en una situación de vulnerabilidad sin precedentes.
Consecuencias
Son varias las formas en las que un ataque de estas características puede poner en jaque a una compañía: desde la interrupción del proceso de negocio hasta la repercusión en los precios de sus acciones o la utilización de información confidencial con fines maliciosos. En muchas ocasiones, la dimensión y las implicaciones del ataque no son tan obvias; pueden sufrir ramificaciones, llegando a afectar a su imagen pública y reputación en los medios de comunicación, así como a alcanzar diferentes puntos de su cadena de valor desde los proveedores hasta el mercado o sector donde opera.
Es imperativo que los directivos de las empresas conozcan las implicaciones que tienen actualmente los delitos de ciberseguridad
Desde S21sec hemos vivido este proceso de transformación acelerada acompañando y asesorando con nuestro expertise a compañías que, en muchos casos, no disponían de las infraestructuras necesarias para poder garantizar la continuidad de su negocio. Ante estos nuevos retos, donde muchos clientes han tenido que reinventarse, hemos intentado adelantarnos a las tendencias del cibercrimen monitorizando los ataques registrados en diferentes puntos del globo para así poder prevenir y solventar los posibles incidentes de seguridad. En este sentido, nuestra inversión en I+D se ha mantenido al mismo nivel, nuestros servicios no dejan de adaptarse a los cambios del mercado y nuestro personal se encuentra en un proceso de formación constante para poder certificarse en las tecnologías más punteras.
Llegados a este punto, hablar de digitalización es hablar de ciberseguridad. Son elementos intrínsecos que, hoy por hoy, conforman una necesidad dentro de las compañías. Pero, ¿hasta qué punto tienen los directivos de las empresas interiorizada esta realidad? En este sentido, el informe Risk in Focus 2021, realizado por el Instituto de Auditores Internos de España junto a sus homólogos europeos, sitúa la ciberseguridad y la protección de datos como el principal desafío al que las empresas se enfrentan a tres años vista. La amenaza del cibercrimen, acrecentada tras la irrupción de la pandemia, ha trazado un nuevo escenario generando necesidades diferentes y obligándonos a evolucionar más rápido que nuestros enemigos.
Tareas pendientes en ciberseguridad
Se han producido grandes avances a este respecto donde, tanto clientes como expertos, hemos salido fortalecidos gracias a los retos enfrentados de forma conjunta. Aun así, hay varias cuestiones que deberían ser abordadas desde el ámbito de la ciberseguridad y por parte de las empresas para hacer frente a los riesgos que los entornos VUCA encarnan.
Desde el punto de vista de la ciberseguridad, es fundamental pasar de la estrategia defensiva a la ofensiva. Los riesgos a los que nos enfrentamos no son estáticos, y hay que ser capaces de adelantarse a las nuevas técnicas y tácticas que los cibercriminales desarrollan para así poder readaptar la ciberseguridad a las exigencias que requiere el escenario actual. Y es que los ciberdelincuentes están constantemente perfeccionando sus herramientas de automatización, consiguiendo un alcance cada vez más masivo.
Por ello, en S21sec apostamos por una actualización continua de nuestras capacidades de inteligencia con el objetivo de entender su comportamiento y la forma en la que operan y de actuar en consecuencia, ofreciendo un mayor aseguramiento a nuestros clientes.
Implicación
Por otro lado, es imperativo que los directivos de las empresas conozcan las implicaciones que tienen actualmente los delitos de ciberseguridad tanto normativos como por malas prácticas, así como la importancia del cumplimiento legal del Reglamento General de Protección de Datos.
Además, vemos necesario un cambio en la mentalidad que, aunque hay organizaciones que ya lo han incorporado, sigue siendo residual. Desde S21sec velamos, en este sentido, por la puesta en marcha de un enfoque proactivo: adaptar la ciberseguridad a la realidad del entorno donde se mueven las empresas y concebirla como parte de la estrategia de negocio, no como una inversión puntual. Para ello es imprescindible tener un mapa de riesgos y un plan de contingencia actualizado y ajustado a la propia naturaleza de la organización.
Asimismo, debido a que el factor humano es el eslabón más débil en cuanto a ciberseguridad –en torno al 95 por ciento de las brechas de seguridad están relacionadas con errores producidos por trabajadores–, la concienciación transversal de la plantilla debe ser de obligado cumplimiento para evitar riesgos por malas prácticas. Por tanto, la formación de todos y cada uno de los empleados ha de estar integrada en la filosofía de la empresa para poder apelar a la responsabilidad individual como escudo de primera línea ante los ataques de ingeniería social como el phishing o la suplantación de identidad, además del malware o los de tipo ransomware.
Por último, desde S21sec consideramos esencial un cambio de paradigma en la colaboración público-privada para poder aprovechar sinergias. Actualmente, hay varias dotaciones para fomentar la transformación digital en las empresas e incluso subvenciones públicas destinadas a ayudar a los países a desarrollarse en este ámbito de una forma segura, pero no existe una estrategia común. Es necesario tender puentes y generar diálogos internos entre corporaciones, sectores e incluso países para abandonar la posición meramente defensiva e individualista en situaciones convulsas e inciertas como en la que nos encontramos.
Como sociedad, tenemos el deber de crear protocolos de confianza y metodologías que incentiven a las compañías e instituciones a crear un consenso, llenando los vacíos regulatorios en los que la ciberseguridad se desenvuelve y agregando valor para que haya una respuesta cohesionada y, sobre todo, un propósito superior.