Mucho se habla últimamente de la seguridad integral y, como suele pasar en estas situaciones, el alcance depende del interlocutor y del contexto, con lo que empezaré por definir qué entiendo por seguridad integral; en esencia se trata de llevar el pensamiento basado en análisis de riesgos a todas las disciplinas de la seguridad, bien sean físicas o lógicas y contemplarlo como un todo inseparable.
Tradicionalmente, los mundos de la seguridad física y lógica han vivido distantes, con profesionales de perfiles claramente diferenciados, con objetivos diferentes y con lagunas de conocimiento entre medias que complicaban el entendimiento mutuo. Ambos mundos han ido evolucionando y sufriendo transformaciones, pero el más relevante ha sido el de la ciberseguridad, que inició un viaje desde la seguridad lógica, dándole una entidad y cometidos mucho más amplios y un gran peso dentro de las organizaciones, en parte por la innegable necesidad de proteger los activos lógicos de la compañía, en parte por los lamentables sucesos que hemos vivido en los últimos tiempos (pirateo de sistemas informáticos, robo de información, encriptación y ataques masivos, etc.)
La ciberseguridad, en contra de lo que algunos mantienen, no es una moda que pasará debido a la situación que vivimos y que, en algunos casos, hace que el temor a lo que pueda pasar dé alas a sus profesionales y presupuestos infinitos dentro de las organizaciones. La realidad es que, frente a la seguridad física que puede controlar el patrimonio y los bienes bajo una supervisión de manera presencial o mediante los sentidos, la ciberseguridad ha de establecerse bajo unos estrictos marcos de gobierno, políticas, normas y procedimientos que garanticen una supervisión y monitorización continua y ordenada, a menudo acompañadas de cierta abstracción, pero siempre con la incertidumbre de que el riesgo es constante y cada vez mayor, así como de que los ataques pueden producirse en cualquier momento, desde cualquier parte del mundo y, lo peor, sin que seamos conscientes de ello.
Transformación digital
Todo esto se enmarca dentro de la transformación digital que se está viviendo en todas las organizaciones y en la sociedad en general, tratándose realmente de una transformación cultural en la que la tecnología y los cambios que esta produce a velocidad vertiginosa en la manera que trabajamos, interactuamos y nos relacionamos es crucial; la sociedad está cambiando, nuestros hábitos también, y las empresas han de girar hacia esta demanda social para no quedarse sin el talento de las nuevas generaciones.
Esta transformación cada vez requiere de más tecnología, de complicados sistemas informáticos dentro de las propias instalaciones de las empresas o en la nube, o incluso en infraestructura de terceros, con empleados trabajando desde cualquier parte del mundo empleando dispositivos de distinta naturaleza a cualquier momento del día. Este nuevo escenario requiere de un complejo diseño de ciberseguridad, que imponga las mejores medidas técnicas en los sistemas propios y en los de los proveedores, pero que también conciencie de manera intensa a los usuarios. Todo ello, dentro del imprescindible marco de gobierno bien definido, y aprobado por los más altos niveles de la Dirección.
Convergencia
La transformación digital está evolucionando los diferentes entornos tecnológicos de las compañías. Concretamente los actuales sistemas de seguridad física (control de accesos, circuito cerrado de televisión, detección de intrusión, etc., que pueden considerarse entornos TO), históricamente alejados de los departamentos TI, son ahora plataformas de gestión de la seguridad que se apoyan sobre complejas arquitecturas TI, haciendo posible pensar en la convergencia de los entornos TI y TO bajo un diseño y administración de sistemas común, como merece la pena plantear para el resto de entornos TO de las organizaciones que están bajo el control de los diferentes negocios.
No conviene olvidar el mundo hiperconectado que estamos viviendo, donde a la amalgama de siglas *T, como IT y OT, se añade la de IoT (Internet de las Cosas o Internet of Things, en inglés). Este conjunto agrupa todos los dispositivos que se están conectando a las redes de datos diariamente, no solo los teléfonos y televisores, también los coches, neveras, cerraduras inteligentes, sensores, alarmas y un largo etcétera de elementos que requieren de un elevado nivel de ciberseguridad para minimizar la posibilidad de pirateo y riesgos derivados, y por tanto garantizar su funcionamiento, tanto a nivel particular como empresarial. En Accenture somos especialistas en este tipo de entornos industriales donde confluyen productos digitales y operaciones digitalizadas de modo que, aprovechando la frenética inercia del cambio, conseguimos desarrollar diferentes soluciones tecnológicas específicas para que productos, procesos y plataformas generen negocios más rentables y sostenibles.
Si esta convergencia se hace realidad estamos ante un paso importante hacia la seguridad integral en la que CISO (Chief Information Security Officer o responsable de ciberseguridad) y CSO (Chief Security Officer o responsable de seguridad) están condenados a entenderse. Tan importante es aplicar la ciberseguridad a los entornos de seguridad física cada vez más tecnológicos como enriquecer con la experiencia de la gestión de riesgos, no solo tecnológicos, de la seguridad física a la ciberseguridad. Se trata de una simbiosis que aporta conocimiento y experiencia a ambos actores y que, sin duda, mejora la seguridad sin apellidos de la organización y minimiza los riesgos, que es lo que todos perseguimos cuando hablamos de seguridad.
Normativa y seguridad integral
Estas ideas se apuntalan por las propuestas de regulación que vienen desde la Comisión Europea: NIS, NIS2, DORA, etc., y que tendrán efecto en los países de la Unión en un breve plazo de tiempo. El error consiste en pensar que estas regulaciones son sectoriales y de aplicación muy exclusiva, pues por ejemplo, solamente leyendo el listado de las entidades afectadas por DORA, podríamos entender que la regulación, en general, no solo converge a la seguridad integral, sino también a la mayor cantidad de sectores y tipología de empresas. Es de esperar que a medio plazo contemos con una regulación única de seguridad integral que avance desde la imperiosa necesidad de mejorar la ciberseguridad pero cada vez abarcando más y más sectores, resultado de la convergencia de todas las directivas que se están preparando actualmente.
Podemos converger la seguridad y caminar hacia la seguridad integral de forma voluntaria anticipándonos a la legislación, o tendremos que hacerlo por imposición cuando estas regulaciones estén completamente aterrizadas. Cuanto antes empecemos a pensar de esta manera, antes seremos capaces de plantear una estrategia global a largo plazo donde la seguridad se aplique desde el diseño a fin de tener más éxito en la implantación y posterior seguimiento, y antes estaremos preparados para cumplir con los requisitos legales, por supuesto obteniendo innumerables beneficios para nosotros, nuestras empresas y para la sociedad.
En Accenture, con nuestra clara orientación al cliente y visión de negocio, podemos afirmar que ya hemos iniciado este camino. Nos posicionamos como un referente, tanto a nivel de consultoría estratégica, como compañeros de viaje en la transformación de todos los clientes y partners que apuesten por adelantarse a los acontecimientos que, sin duda, van a cambiar el panorama de la seguridad.