Las organizaciones son como organismos vivos: crecen, se fusionan, se dividen, modifican sus procesos o adquieren nuevas tecnologías. Y se mueven en un contexto también dinámico, en el que los riesgos, las regulaciones y las amenazas cambian, se multiplican o se hacen más sofisticadas. ¿Cómo mantener a las organizaciones protegidas? Toda estrategia de ciberseguridad debería girar en torno a la gestión de riesgos: conocerlos bien, medirlos, saber de dónde vienen y desarrollar la capacidad de minimizarlos.
En la medida en que la digitalización se consolida como el camino irrefrenable hacia el futuro para empresas de todos los tamaños y de todos los sectores, emergen tendencias vinculadas a la ciberseguridad para capitalizar esas oportunidades manteniendo, precisamente, los riesgos bajo control. Por ejemplo, todo parece indicar que seguirá profundizándose en la adopción del modelo conocido como zero trust o confianza cero, que propone protección por capas y que se basa en la filosofía de que ninguna persona o dispositivo dentro o fuera de la red de una empresa debe tener acceso para conectarse a sistemas o servicios de TI hasta que se autentique, además de que la identidad debe ser comprobada de forma constante.
Otra tendencia se vincula con el hecho de que algunos sectores industriales tomaron históricamente decisiones de seguridad bajo la premisa de que sus operaciones iban a estar siempre desconectadas. Hoy esa realidad cambió y las organizaciones del sector necesitan reforzarse y, particularmente, invertir en ciberseguridad ligada a internet de las cosas (IoT) y a la tecnología operacional (OT), que incluyen desafíos y necesidades diferentes a la seguridad de IT tradicional.
Desafíos y recomendaciones
El primer paso para toda organización es entender en qué nivel de madurez se encuentra la protección de sus activos digitales principales. Hay 5 niveles de madurez: el inicial (cuando aparecen los primeros procesos pero no hay una estrategia estructurada), el repetible (prácticas básicas de gestión de proyectos), el definido (aparecen los estándares organizacionales y cierta proactividad), el gestionado (los proyectos se planifican y ejecutan contemplando la seguridad) y el optimizado (mejora continua de dichos procesos).
Una vez hecho el diagnóstico, hay que establecer un nivel de madurez objetivo y una hoja de ruta de crecimiento a ese nivel de madurez en un período determinado. Un punto importante: la madurez no se trata de una variable en ascenso permanente. Si una compañía adopta una nueva tecnología, si no lo hace pensando en la seguridad desde el momento cero del proyecto, su madurez puede bajar de nivel. Por otra parte, hay que asegurarse de que las inversiones que se realicen estén en línea con ese objetivo.
Por otra parte, avanzan las regulaciones ligadas a la seguridad y privacidad en el mundo de la inteligencia artificial (IA). La Unión Europea ya tiene su proyecto listo y los diferentes países están trabajando en iniciativas similares. Para las organizaciones será clave entender estos marcos normativos, como aplican a su sector en especial y, por supuesto, disponer de los mecanismos para cumplir con todas las exigencias.
La base para la resiliencia
En el camino, es fundamental contar con el talento adecuado. Para eso, se vuelve esencial la formación de profesionales y el acompañamiento de socios de negocios que dispongan de equipos con estas habilidades. Por último, es importante que el CISO tenga un rol más relevante dentro del organigrama, incluso a la par del CIO.
Nunca se debe perder de vista que un incidente de seguridad puede generar serios daños en una organización. De hecho ya se viene hablando, y seguro se va a reforzar el año próximo, de que la ciberseguridad y una buena estrategia de protección son claves para la resiliencia organizacional y la sostenibilidad del negocio.
Las nuevas tecnologías están generando beneficios para el negocio como nunca antes en la historia. Una adopción segura es lo que permite a las organizaciones disfrutar de todas las oportunidades y minimizar todos los riesgos.