El CIO de una multinacional exponía ante el Consejo de Administración de la empresa la necesidad de que la compañía invirtiera más en herramientas y nuevas prácticas para proteger sus datos y sus sistemas frente a posibles ciberataques. Tras la presentación, el Consejo aprobó la inversión, y pasó a analizar el siguiente tema en la agenda. Se trataba de una presentación del comité financiero de la compañía, que quería someter a votación la posibilidad de aumentar la participación que la compañía tenía en otra empresa. Para sorpresa del CIO, que seguía en el Consejo, al valorar los pros y los contras, la ciberseguridad ni siquiera salió en el debate, a pesar de que la empresa target operaba en una región en la que las ciberamenazas y el hacking eran endémicas.

Por suerte, su presencia casi fortuita  en la sala dio a pie a una discusión en condiciones sobre el perfil de ciberriesgo de la compañía en cuestión, y a un cambio en el enfoque de compra, que pasaba por integrar la empresa en el sistema IT de la multinacional.

El Consejo no se había dado cuenta de los ciberriesgos de la operación porque su visión de la ciberseguridad, al igual que la que tienen los CEOs, estaba más enfocada en la vigilancia y al control de riesgos, que en las implicaciones que tienen las decisiones comerciales y de negocio.

Los directivos que estén realmente preocupados por la ciberseguridad deberían hacer de la reducción de la complejidad una prioridad de negocio

Dicho de otra forma, muchos directivos ven la ciberseguridad como un conjunto de iniciativas técnicas que debería impulsar el CIO, o el CISO, dependiendo de la organización. Pero, al hacer esto, subestiman los peligros que conlleva la complejidad de las empresas -y el poder de lo simple- en el incremento de los ciberriesgos. Por ello, proponemos que aquellos directivos que estén realmente preocupados por la ciberseguridad, hagan de la reducción de la complejidad una prioridad de negocio que se discuta de forma estratégica en el Consejo, con el consejero delegado y el resto de consejeros.

Para plantear esta conversación, se puede echar mano de preguntas como estas:

  • ¿Tener la foto completa de los ciberriesgos que pueden afectar a nuestra empresa haría más atractivo nuestro modelo de negocio?
  • ¿Realmente tenemos el detalle de las ciberamenazas a las que nos exponen nuestras alianzas con proveedores externos? ¿Cuáles son los pros y los contras de simplificar nuestro ecosistema de proveedores?
  • ¿Hasta qué punto implican riesgos nuestros procesos de TI?,¿Cómo y cuánto deberíamos invertir para protegerlos, simplificarlos y transformarlos y, así, lograr una ventaja competitiva?

Los equipos directivos que se enfrentan a preguntas como éstas y toman  la simplicidad como bandera ven crecer exponencialmente las posibilidades de conseguir que su empresa sea segura.

Ciberseguridad: una complejidad que asusta

Hace ya una década que los sistemas técnicos y de operaciones se convirtieron en algo muy costoso y complejo. La digitalización vertiginosa en la era de los smartphones ha agravado la situación, ya que las empresas han ido engrosando en sus filas más y más alianzas para ampliar su alcance y seguir siendo rentables. Intrincados ecosistemas que abarcan desde la cadena de suministro (incluidos los servicios de TI) hasta las áreas de datos, distribución, marketing e innovación. Y recientemente, los retos que ha planteado la pandemia han impulsado la adopción acelerada de soluciones digitales basadas en datos, redes digitales y dispositivos que, en muchos casos, operan desde fuera de la organización, haciendo aún peor el problema.

La arquitectura tecnológica de las grandes organizaciones, muchas veces compuesta por capas y capas de sistemas heredados y muy constreñidos, tiene una complejidad cada vez mayor. Frente a estas, las empresas nativas digitales tienen una gran ventaja por su simplicidad. Al haber sido creadas digitalmente, desde cero, utilizan sistemas de IT mucho más recientes, con estándares y técnicas destinadas a facilitar una mayor interoperabilidad.

Las estructuras heredadas suelen estar plagadas de rotos, costuras abiertas y conexiones que encajan mal  y pueden ser explotadas por los ciberatacantes, cuya capacidad para infiltrarse ha aumentado. La presión que sobre estas estructuras ejercen las empresas para seguirle el ritmo a los nativos digitales no hace más que crecer. Y, por otra parte, las fusiones suelen multiplicar los riesgos, al conectar entre sí redes ya muy complejas, lo que las hace exponencialmente más intrincadas (y vulnerables).

Es así como la complejidad y las ciberamenazas se unen en un peligroso tándem, que ha llevado a los ciberriesgos a nuevas cotas. El número de ataques está aumentando en todo el mundo, e incluye los temidos ransomware, de muy alto impacto. Cada incidente expone a miles de usuarios (tanto de empresas como de organismos públicos), y puede pasar desapercibido durante meses.

Pensar en las ventajas

Ahora que muchos directivos revisan sus estrategias de crecimiento tras la pandemia, es un buen momento para evaluar el espectro de ciberriesgos al que están expuestas sus empresas y cómo de elevados son los costes asociados a su complejidad. Aunque éstos varían por unidades de negocio, sectores y zonas geográficas, los directivos necesitan modelos o referencias para evaluarlos.

Un marco de referencia para pensar sobre complejidad y ciberriesgos es ‘La ley de Coase‘ formulado por el premio Nobel Ronald Coase. Él afirmó que las empresas deberían recurrir a proveedores externos para suministrar bienes y servicios sólo si los costes asociados a esos acuerdos no superaban los de hacer el trabajo internamente.

Una dinámica similar puede entrar en juego en la evaluación del ciberriesgo. Tanto si se genera a través de una relación con un proveedor, un cliente, o internamente, es una especie de coste “sobrevenido”, que crece a medida que los ciberatacantes mejoran y se vuelven más omnipresentes. Al mismo tiempo, los costes en los que incurre la empresa a la hora de establecer nodos de relación con proveedores y partners (con los consiguientes nuevos riesgos) ha disminuido, gracias a la ubicuidad y el menor coste de las interacciones digitales.

El resultado: un nuevo entorno en el que los costes de fracasar han aumentado notablemente, mientras que los costes de rebajar la complejidad han bajado mucho.

Tres áreas para acabar con la complejidad

Según nuestra experiencia, los retos y las oportunidades se dividen en tres áreas:

Modelos de negocio

Tras un ciberataque, es frecuente que las empresas respondan con acciones algo estrechas de miras, o que acaban siendo solo un pequeño parche para un problema mucho mayor. Pero la intensidad de las nuevas ciberamenazas requiere de enfoques más amplios, y de enfrentarse a problemas y riesgos que, a menudo, están enraizados en los modelos de negocio. Un ejemplo.

En cierta empresa, todo lo relacionado con la digitalización gozaba de un alto grado de autonomía. Los directivos regionales y los responsables de las distintas unidades de negocio tenían mucho margen de maniobra a la hora de elegir partners que, a su vez, pasaban a tener un gran poder de decisión en cuestiones relacionadas con los sistemas, las redes de clientes y demás.

Después de un ciberataque, los líderes de IT en la compañía intentaron proveer con unas guías y unas best practices a los directivos para reducir riesgos, incluyendo instrucciones para elegir a estos socios. Sin embargo, pronto se dieron cuenta de que dar estas pautas significaba sobrepasar sus competencias; hacía falta que el CEO fuera quien modificara lo que, en realidad, era una parte importante del modelo de negocio de la empresa: el nivel de libertad que tenían los directivos, que tenía enormes implicaciones para la complejidad digital de la compañía, y para la ciberseguridad.

Proveedores externos

lomo hemos visto en el ejemplo anterior, los ecosistemas y las cadenas de suministro suponen un reto, especialmente en los casos en los que la opacidad ha hecho inútiles los esfuerzos para gestionarlos de forma segura. Cuando la nueva directora de operaciones de una multinacional de retail se estrenó en el cargo, se llevó un buen susto al ver datos de clientes potencialmente expuestos en lo que ella denominó como “una organización caótica de los proveedores”. Su predecesor había acabado trabajando con seis proveedores distintos para gestionar los contactos de los clientes a medida que estos, y los productos, cambiaban con el tiempo y entraban en nuevos mercados.

Dos de esos proveedores tenían antecedentes en filtraciones de datos, así que esta directiva pasó a tomar cartas en el asunto. Con el apoyo del Consejo y el CEO redujo el número de socios a dos de los players más competentes e innovadores del mercado. Esta reducción en la complejidad permitió una mayor transparencia, que hacía que todos los implicados tuvieran más claro su papel a la hora de proteger la cadena de disrupciones.

Los directivos firmaron un sistema de respaldo para todos los datos de los clientes, así como nuevas barreras de seguridad para acceder a la información. En última instancia, el ecosistema de datos se volvió más seguro, y la empresa pasó a tener una mejor demarcación de las responsabilidades individuales y de los proveedores, y nuevas tecnologías para incrementar la monitorización.

Sistemas internos

Los procesos y sistemas in-house deben ser examinados con detenimiento por la complejidad y los riesgos que acarrean. En este caso, el ejemplo podemos encontrarlo en muchas entidades financieras. En estas compañías, los sistemas de pago han sido construidos durante muchos años, combinando aplicaciones recientes, con otras heredadas. Las caídas de estos sistemas, que a veces dejan a los clientes sin poder hacer transferencias u otras operaciones durante días, suelen estar ligados a las viejas tecnologías que están en el núcleo de estos sistemas.

Típicamente, esta tecnología, y una serie de procesos asociados a ella, se estructuraban para cerrar transacciones en ciclos de muchos días. Como la demanda ahora es que esto se haga a tiempo real, se integran soluciones alternativas en los sistemas antiguos. Esto lleva a un incremento de las probabilidades de que sucedan errores o pequeñas caídas que pueden ser puerta de entrada a incidentes de más relevancia. Pero reemplazar estos sistemas exige adoptar decisiones de negocio de peso, de inversiones importantes, y de superar la mentalidad de “si funciona, no lo toques”.

Aunque los beneficios de la simplificación son grandes y van más allá de la ciberseguridad, el camino a recorrer no es sencillo. Reducir el nivel de complejidad, al tiempo que se fija un marco para la gobernanza y la responsabilidad compartida exige una acción deliberada, a largo y corto plazo. Desde luego, también necesita de la atención y la energía de directivos y Consejos. Los líderes que estén listos para dar un paso adelante y marcar el camino, crearán un mejor plan para una empresa más fiable y resiliente.