Tres preguntas que debe hacerse sobre su ciberseguridad

El año pasado hubo revelaciones casi constantes de instituciones grandes y respetadas que sufrieron ciberataques. Sin embargo, los ataques más dañinos a menudo nunca llegan a los medios de comunicación. Sí, los hacktivistas políticos se jactan de que las páginas web están desfiguradas y de que la información de los clientes se publica en Internet, pero las empresas rara vez revelan los ataques que provocan la pérdida de valiosa propiedad intelectual: planes de negocios, tecnologías patentadas o pagos fraudulentos. Estos ataques pueden ser devastadores. Algunas empresas han visto cómo las tecnologías de fabricación de «apueste a la empresa» se replican en el extranjero pocos días o semanas después de ponerlas en producción.

El número de estos ataques aumenta, a pesar de que las empresas aumentan sus inversiones en tecnologías de seguridad, mejoran sus capacidades y endurecen las políticas. ¿Por qué? En parte, la continua migración del valor empresarial a Internet ha atraído a actores malévolos más capaces, como hacktivistas que buscan ganar puntos políticos, agencias nacionales de inteligencia que buscan ventajas económicas y ciberdelincuentes que buscan realizar transacciones fraudulentas.

A pesar de estos riesgos, los entornos tecnológicos de las empresas están más abiertos y conectados que nunca. Venden a los clientes en línea, interconectan sus sistemas con los de los socios comerciales y permiten a sus empleados colaborar mediante aplicaciones móviles. Esto significa que la ciberseguridad no puede considerarse una función empresarial independiente. Está entretejido en todos los procesos empresariales más importantes, ya se trate de la apertura de cuentas en los servicios financieros o de la presentación de los resultados de las pruebas de los pacientes en el sector de la salud. Y los usuarios de esos procesos (sus propios clientes y empleados) son su mayor vulnerabilidad. Comparten contraseñas, hacen clic en los correos electrónicos infectados y reenvían datos confidenciales a los destinatarios incorrectos.

Si bien las tecnologías de seguridad, como la protección contra la pérdida de datos, pueden ayudar, reducir sustancialmente el riesgo de perder información valiosa requiere cambiar el comportamiento de los usuarios. Puede hacer que los clientes proporcionen una autenticación más rigurosa antes de realizar una transacción o hacer que los gerentes limiten la distribución de los planes confidenciales. Sin embargo, lamentablemente, es muy fácil paralizar su negocio con políticas de seguridad doctrinarias. Como dijo un director de seguridad de la información de un banco global: «Si hiciéramos todos los controles de seguridad que nos gustaría antes de ponernos en contacto con nuevos clientes de fondos de cobertura, simplemente llevarían sus negocios al otro lado de la calle».

Hemos descubierto que puede lograr un mejor equilibrio haciendo estas tres preguntas sobre la ciberseguridad:

1. ¿Cómo podemos lograr el equilibrio adecuado entre las transacciones en línea seguras y una excelente experiencia de cliente en línea?

Existe una tensión inherente entre un inicio de sesión más riguroso, como el envío de un código de un solo uso al teléfono móvil del cliente, y la comodidad del cliente. Algunas empresas han dejado de dar por sentado que las políticas de seguridad más estrictas son inaceptables y han empezado a tomar decisiones de seguridad basándose en estudios de clientes realizados en grupos focales y laboratorios de usuarios. De ahora en adelante, creemos que más empresas ofrecerán opciones, que exigirán un nivel básico de protección para todos, pero que también permitirán a los propios clientes hacer concesiones entre la comodidad y la seguridad de sus datos. Ofrecer la autenticación multifactorial como opción a los clientes preocupados por la seguridad es una posibilidad, o exigirla a los clientes con un alto patrimonio neto, que pueden ser un objetivo particular de los ciberdelincuentes.

2. ¿Cómo protegemos la propiedad intelectual y otra información empresarial confidencial y, al mismo tiempo, fomentamos la colaboración en los procesos de desarrollo de productos?

La propiedad intelectual y otro tipo de información confidencial representan algunos de los desafíos de ciberseguridad más importantes. La pérdida de información sobre un proceso de producción propio a manos de un competidor extranjero podría reducir las ganancias en cientos de millones de dólares al año. Al mismo tiempo, el libre intercambio de información, la polinización cruzada de ideas entre las funciones empresariales y la cooperación con socios externos dificultan el control de la información confidencial o la búsqueda del origen de una infracción cuando se produce una. Muchas empresas han empezado a organizar sus esfuerzos de desarrollo de productos, haciendo distinciones en cuanto al alcance del intercambio de información permitido en función del grado en que un competidor podría explotar la información confidencial. Para sus proyectos más delicados, ofrecen formación especializada en seguridad de la información y, a veces, invierten en tecnologías como la gestión de derechos digitales, de modo que solo el personal autorizado pueda ver un plan de producto, sin importar a dónde se envíe.

3. ¿Cómo nos aseguramos de que los socios protejan nuestros datos y, al mismo tiempo, sigan optimizando nuestra cadena de suministro?

Casi todas las empresas tienen que compartir datos confidenciales con los proveedores y socios de canal para gestionar las cadenas de suministro modernas sin problemas. Los socios de fabricación tienen que entender las previsiones de volumen y las promociones suelen depender de la información propia de los clientes, por ejemplo. Las empresas están adoptando diversas técnicas para que compartir sea más seguro y eficaz:

• Segmentar la información para que no tengan que tomar una decisión de todo o nada sobre si subcontratar una función en particular. Por ejemplo, algunas empresas están pensando en trasladar los entornos de desarrollo y pruebas a ofertas de nube pública, a pesar de que, por motivos de seguridad, tienen que alojar las aplicaciones de producción internamente.
• Incorporar requisitos de seguridad a los procesos de contratación, de modo que comuniquen las expectativas y entiendan las capacidades de los proveedores antes de firmar un acuerdo.
• «Ampliar» los procesos para realizar revisiones de seguridad antes de que se conecten con las redes de clientes, de modo que evalúen los posibles riesgos sin retrasar la incorporación de los clientes. No es menos seguridad, es la misma cantidad de seguridad implementada mediante un proceso más limpio.
• Incorporar vendedores y otros socios comerciales a los juegos de guerra internos que pongan a prueba la capacidad de la organización para responder a un ciberataque.

A medida que el negocio digital se generalice cada vez más, la gestión del ciberriesgo pasará a ser para la mayoría de las empresas lo que la gestión del riesgo financiero es para los bancos: una parte fundamental de todos los procesos empresariales importantes que requiere la participación de los altos directivos en las compensaciones que implica.