Calidad y ciberseguridad

Artículo de Esther Morales, socia de PiperLab, y Eduvigis Ortiz, Strategic Alliances Leader en SAS.

Esther Morales, socia de PiperLab, y Eduvigis Ortiz, Strategic Alliances Leader en SAS (dcha.).

El creciente impulso que ha tomado la digitalización en todos los ámbitos, de la mano de la innovación, hace que aspectos como la ciberseguridad no pasen desapercibidos.

Desde hace algunos años es clara la tendencia de las empresas en el incrementando del valor que le dan a la seguridad de su información, El modo en que están asumiendo lentamente el valor intrínseco de la ciberseguridad, tiene muchas similitudes con la integración del concepto de calidad en las organizaciones a partir de la segunda mitad del siglo XX.

El paralelismo es obvio si partimos de la base de que ambas disciplinas nacieron en una época donde la industria debía adaptarse a nuevas realidades y, sin embargo, eran observadas de una forma casi conceptual: con el convencimiento de que se trataba de un paso necesario, pero no urgente y, por supuesto, de un gasto más que de una inversión.

El resurgir de Japón tras la II Guerra Mundial gracias a las ideas de Deming sobre el control estadístico de procesos y la calidad demostró los importantes beneficios que conllevaba esta inversión. Y los argumentos de otro de los denominados “padres de la calidad”, Philip B. Crosby, pueden aplicarse perfectamente al actual abordaje de la ciberseguridad: la necesidad de la involucración de la dirección y el coste derivado de no prestarle la atención debida.

Hoy, nadie duda de que el establecimiento de un sistema de gestión de la calidad es esencial para que una empresa pueda desarrollar su actividad con éxito, pero la ciberseguridad se encuentra en un estado mucho más primigenio. Esto es, más justificada por imposiciones normativas y contemplada como un gasto y no como una inversión.

En Estados Unidos, las leyes SOX, Basilea o HIPAA fueron pioneras para el establecimiento de políticas regulatorias que garantizaran una efectiva protección de la información. En nuestro país, el desarrollo de la LORTA y, posteriormente, de la LOPD han sido claves para que las organizaciones abrazaran este compromiso. Pero no es suficiente. La aprobación de la Directiva europea de protección de datos – aplicable a partir de mayo de 2018 y que conllevará multas millonarias- ha motivado un renovado interés por la ciberseguridad ante la posibilidad de que una penalización de gran calibre produzca un impacto tangible en el negocio.

Es, precisamente, la falta de elementos tangibles de la inversión en ciberseguridad lo que ha propiciado que durante tantos años ésta fuera un asunto “de segunda” para los consejos de dirección. Asumir que no solo es un asunto de primer orden, sino inherente al buen desempeño de una organización de nuestro tiempo implica un profundo cambio en la cultura empresarial. Como el que se produjo con la calidad el pasado siglo.

Hoy, la eclosión de tecnologías como el Big Data o el Cloud Computing y la inminente implantación de otras como Internet of Things – sobre cuya securización no existe aún una aproximación común- exige que la ciberseguridad se replantee como un valor fundamental dentro de las organizaciones. Es decir, integrado desde el origen y asumido como imprescindible por parte de la dirección.

La rápida adaptación a las nuevas realidades tecnológicas es, cada vez con más frecuencia, el pasaporte para garantizar que nuestras empresas sigan siendo competitivas a medio y largo plazo. Pero a sus múltiples ventajas y a las nuevas oportunidades de negocio que representan, se suma un incremento de la superficie de riesgo. No en vano, Gartner estimaba que en 2020 el 60% de los negocios digitales sufrirán grandes fallos de seguridad debido a la incapacidad de los equipos de seguridad TI para gestionar el riesgo digital y todavía no se había hecho realidad la pandemia, donde grandes empresas multinacionales han tenido que reaccionar de una manera rápida a la necesidad de responder a su operativa diaria como venían haciendo, tomando decisiones rápidas donde en algunos casos no primaba la seguridad. Es por esto por lo que han sido vulnerados algunos sistemas de seguridad de grandes empresas, incluso gobiernos:  como ejemplo, el proveedor de software de gestión de IT Kaseya vio sus sistemas comprometidos por el ransomware Sodinokibi. Los perpetradores pidieron un rescate de US$ 70 millones; la tarifa de ransomware más grande que haya sido exigida hasta el momento.

Así en 2021 se registró el costo promedio más alto de una violación de datos en 17 años, con un costo que aumentó de US$3.86 millones a US$4.24 millones por año.

La causa más común de filtración de datos es el robo de credenciales de usuario, utilizando la técnica más común conocida como phishing, donde los ciberdelincuentes van modificando sus campañas de phishing en función de lo que es noticia en ese momento.

Este incremento de ciberataques ha hecho que por segundo año consecutivo la brecha de personal dedicado a la ciberseguridad en las organizaciones haya disminuido. Mientras que en 2020 el número de especialistas en ciberseguridad adicionales que las organizaciones necesitaban para defender sus archivos era de 3.12 millones, en 2021 ese número se ha reducido a 2.72 millones. (Estudio sobre la fuerza laboral en ciberseguridad 2021 (ISC)2)

En este contexto, la nueva filosofía empresarial tiene que entender que apostar por la innovación significa apostar por la ciberseguridad, que este nuevo escenario empresarial no es posible si ambas no van de la mano.

TE PUEDE GUSTAR

EVENTOS

RECIBE NUESTRA NEWSLETTER

*Email:

*Nombre:

*Empresa:

Cargo:

Sector:
     

Please don't insert text in the box below!

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio