Desde el agua que bebemos hasta las carreteras por las que conducimos y la información que consumimos, la tecnología está entrelazada en el tejido de la sociedad. Casi todos los aspectos de nuestras vidas dependen de la tecnología. Sin embargo, la convergencia de amenazas digitales y riesgos físicos se ha vuelto cada vez más evidente. Un solo ciberataque o una interrupción tecnológica puede llevar a la quiebra a una empresa o poner en riesgo vidas humanas.
Esto plantea una pregunta crucial: ¿Las organizaciones priorizan realmente los riesgos digitales? La respuesta puede ser desalentadora. Investigaciones muestran que solo un tres por ciento de las empresas han desarrollado una verdadera resiliencia contra las amenazas cibernéticas. Aquí hay algunas razones clave que explican esta disparidad:
1. Dependencia Excesiva en la Tecnología, Falta de Énfasis en la Resiliencia
Muchas organizaciones utilizan la tecnología para impulsar el crecimiento empresarial sin considerar las posibles consecuencias de las fallas en los sistemas. Pensemos en los carreteras inteligentes en el Reino Unido, que en teoría eran seguras y libres de preocupaciones. Hoy sabemos que no lo son. La pregunta es: ¿Estaba el gobierno operando bajo la suposición errónea de que la tecnología sería perfecta y resolvería todos los problemas? Recordemos el incidente global con CrowdStrike. ¿Estaban las instituciones financieras, los hoteles, los aeropuertos y los hospitales preparados con planes de contingencia para abordar una interrupción total de sus operaciones?
2. Falta de Compromiso desde la Alta Dirección
No cabe duda de que las empresas se preocupan por la ciberseguridad y la protección de la información. Sin embargo, tienen dificultades para asignar equitativamente los recursos —decidir si invertir en características del producto, nuevos mercados o mejorar la experiencia del cliente. Cuando las organizaciones buscan reducir costos, la seguridad suele ser el objetivo. Esto se debe a que la seguridad no fácilmente se presta a métricas de retorno sobre la inversión (ROI) convenientes.
3. Falta de Transparencia en las Relaciones con Terceros y la Cadena de Suministro
En el último año, más de la mitad de las organizaciones (54%) sufrieron un ataque a la cadena de suministro de software, con un promedio de 235 días antes de ser detectado. El ecosistema de una organización ya no se limita a sus cuatro paredes, sino que se extiende a través de múltiples capas y jerarquías. El desafío radica en comprender realmente las estrategias más efectivas para gestionar el riesgo en múltiples niveles.
4. Negligencia del Factor Humano
Muchas organizaciones consideran que la ciberseguridad es un problema tecnológico que solo puede abordarse por medios tecnológicos, pasando por alto el importante papel de las personas. Este enfoque tiene riesgos inherentes porque las personas son a menudo la principal causa de violaciones de la ciberseguridad. Por otro lado, la versatilidad y creatividad de las personas, junto con su capacidad para detectar anomalías e identificar esquemas de ingeniería social, serán con el tiempo las que ayuden a la organización a resolver y recuperarse de ataques cibernéticos.
## ¿Cómo pueden las organizaciones fomentar la resiliencia y mejorar la gobernanza?
Las organizaciones deben evolucionar y avanzar, pero también deben tener en cuenta que nada es infalible. Los cibercriminales son empresas bien entrenadas y bien financiadas, con acceso a herramientas sofisticadas de última generación. A continuación, se presentan algunas mejores prácticas para fomentar la resiliencia y la gobernanza en ciberseguridad:
1. Conservar Habilidades Básicas
Mientras que es beneficioso capacitar a los empleados para depender de la tecnología, también es importante equipar al personal con habilidades básicas para situaciones de emergencia donde los dispositivos y ordenadores fallan o no están accesibles.
2. Responsabilizar a las Personas y Organizaciones
Los gobiernos, legisladores, juntas directivas y otros interesados necesitan pasar de una actitud pasiva de “sucede” a una en la que se responsabilice a las entidades por sus decisiones. ¿Evaluaron adecuadamente el riesgo? ¿Planificaron una contingencia preparando un curso de acción alternativo? ¿Prevén eventos inesperados como un ciberataque?
3. Confiar en las Personas para Encontrar Soluciones
En grandes violaciones de datos, muchas veces fue la intervención humana, no la tecnología, la que ayudó a las empresas a recuperarse. Las organizaciones no pueden permitirse excluir a los usuarios del diseño de soluciones, o marginar a las personas en favor de soluciones tecnológicas.
4. Mejorar la Gobernanza dentro de la Cadena de Suministro
Priorizar y clasificar a los proveedores en función de su exposición a riesgos digitales. Implementar un proceso de aseguramiento continuo y tener un proceso de reporte y monitoreo para rastrear cambios en los riesgos del proveedor. Integrar las evaluaciones de riesgo del proveedor en todo el ciclo de vida de la cadena de suministro.
5. Personalizar Estrategias de Mitigación de Riesgos
No existe una estrategia universal para la mitigación de riesgos. Evaluar la postura de riesgo única de la organización, su dirección empresarial, su preparación en seguridad y su disposición a invertir en controles de ciberseguridad. Enfocar la mitigación de riesgos de una manera simplificada. Utilizar marcos estándar de ciberseguridad como ISF SOGP, NIST SP 800-53B o ISO/IEC 27002:2022 para guiar los esfuerzos de mitigación de riesgos.
Los riesgos tecnológicos no son insignificantes y no existen soluciones rápidas. Desde un punto de vista de liderazgo empresarial, una estrategia de gestión de riesgos y gobernanza debe adoptarse para obtener beneficios. Las organizaciones no necesitan enfrentar esto solas, pero pueden confiar en asociarse con expertos en ciberseguridad y cumplimiento. La decisión de abordar seriamente los riesgos identificados es una inversión empresarial crítica.