En los últimos años, el estado del arte de muchas tecnologías ha avanzado de manera inexorable y exponencial. Sobre todo a nivel social si nos fijamos, por ejemplo, en los smartphones y las apps que nos permiten llevar a cabo tareas inimaginables hace escasamente cinco años, optimizando nuestro tiempo mediante técnicas, tácticas y procesos de digitalización y automatización. Esto me hace pensar que esta explosión tecnológica que ha derivado en soluciones innovadoras ha llegado para quedarse; nos toca aceptarlo y aprovecharlo para mejorar como sociedad. En paralelo, este gran impulso tecnológico ha conseguido que las personas tengamos que transformarnos de manera natural y asumir que esta cuarta revolución industrial en la que estamos inmersos ha llegado para que mejoremos como seres humanos en todos los aspectos.
Si nos centramos en el aspecto más profesional, la pregunta que nos debemos hacer es: ¿estamos al mismo nivel en el ámbito empresarial? Voy a ir respondiendo esta cuestión a lo largo de este artículo.
Poniendo foco en el sector de la seguridad, y en concreto en la seguridad corporativa, nuestra percepción es que, en general, el nivel de transformación digital es inferior al de otros sectores, cuya aportación al Producto Interior Bruto del país es claramente superior. La seguridad corporativa es una pieza más, pero aún no está considerada el eje central de los negocios.
Lógicamente, esta transformación de la tecnología y los seres humanos ha ocasionado que hayan surgido nuevas amenazas y vulnerabilidades sobre las personas, los bienes, la información y la reputación de industrias y territorios que anteriormente no se contemplaban, tanto a nivel físico como digital. Esto ha derivado en la aparición de nuevas estrategias de seguridad que han ido consolidándose en Europa y España, respectivamente, con la aplicación de nuevas regulaciones de seguridad (como las leyes PIC o NIS) que afectan a las infraestructuras críticas, que aportan servicios esenciales a la sociedad y que en ningún caso pueden dejar de operar.
Básicamente, estas normas se estructuran en documentos obligatorios, como son:
- Planes de Seguridad del Operador (PSO).
- Planes de Protección Específicos a activos designados (PPE).
- Planes de Apoyo Operativo (PAO).
Objetivo
Su objetivo principal es mitigar todos los riesgos físicos y cibernéticos capaces de comprometer la prestación de servicios esenciales a la sociedad.
Evidentemente, los gobiernos están avanzando en el cumplimiento de esta premisa mediante la aplicación de las legislaciones mencionadas, consiguiendo sobre todo documentos que detallan y explican a los operadores críticos:
- Cuál es su política de seguridad.
- Cómo se deben de organizar.
- Qué metodologías de análisis de riesgos deben aplicar.
- De qué medios deben disponer para actuar en caso de incidente y su posterior recuperación.
- Cómo deben articular e integrar unos planes con otros.
Es decir, hemos conseguido documentar todas las exigencias legislativas, y a la vez llenar nuestros escritorios y estanterías de carpetas que los contienen. En algunos casos, llegamos incluso a disponer de ficheros estructurados en nuestro disco duro o en la nube corporativa. Sin duda se ha avanzado mucho en estos últimos 10 años, pero la pregunta que últimamente nos hacemos es: ¿cómo pueden los directores de seguridad o los CISO, junto con sus equipos y terceras partes, operar de manera ágil y resiliente toda esa maquinaria que gestiona la gran cantidad de datos y procesos escritos o almacenados en esos documentos?
A ciencia cierta, la gran mayoría de operadores llevará a cabo planes de información, concienciación y simulación ante incidentes de manera tradicional. No hay duda de que hay profesionalidad y empeño en hacerlo bien, pero, ¿estamos aplicando esas tecnologías innovadoras de las que hablábamos al principio? ¿Estamos transformado las culturas empresariales y las formas de hacer respecto a la Seguridad? ¿Estamos aprovechando el estado del arte?
Tecnología, resiliencia y seguridad corporativa
El mercado ya nos facilita herramientas que nos van a permitir ser más ágiles y resilientes en la operación. Ante incidentes y situaciones de crisis, los operadores y responsables de seguridad tienen serios problemas para gestionar toda la información que les llega por diferentes medios (y mucho menos con el nivel de digitalización que viviremos en los próximos años). Si a esto le añadimos que los procesos no están ni digitalizados ni automatizados, nos encontramos con lo que denominamos «efecto de la carpeta en la balda»; es decir, que todo lo necesario para simular y lanzar un plan en caso de necesidad, se encuentra en carpetas o, a lo sumo, en ficheros digitales muy complejos de orquestar.
Las nuevas tecnologías habilitadoras (cloud computing, IoT, RPA, Inteligencia Artificial y Visual Analytics) nos están brindado la posibilidad de disponer de herramientas centralizadas para el intercambio de información en tiempo real, que permiten digitalizar activos ciber-físicos, y que automatizan los procesos en base a:
- Analizar los riesgos en tiempo real.
- Predecir los posibles incidentes.
- Planificar los recursos: personas y tecnología.
- Ser capaces de dar una respuesta inmediata.
- Permitir recuperarse y dar una continuidad al negocio.
- Analizar los ocurrido y obtener conclusiones que nos mejoren los procesos.
Y todo ello en el día a día (sin esperar a que ocurran incidentes o tengamos que simularlos), de manera que se introduce en nuestro gobierno de la seguridad corporativa para: formar, concienciar, medir y responder de manera eficiente, simple y resiliente.
Debemos buscar soluciones que nos permitan gestionar las amenazas y vulnerabilidades ciber-físicas de infraestructuras críticas para:
- Evitar errores humanos en el uso y despliegue de planes.
- Mejorar los tiempos de respuesta ante incidentes.
- Retornar la Inversión (ROI) en nuevas técnicas, tácticas y procesos innovadores.
- Conseguir herramientas que podamos operar en el día a día: mantenimiento, formación, concienciación, actualizaciones y mejoras.