La primera tendencia que claramente se instala es el uso extendido de la nube (conocida como cloud) y, como regla más general, el uso de servicios tecnológicos provistos por terceros, utilizando Internet como plataforma de conectividad y acceso (para no entrar en distinciones más técnicas como IaaS, PaaS y SaaS). Desde un punto de vista del tomador de decisiones de negocios, la nube pasa en 2020 a ser una opción real para el uso o provisión de servicios de este tipo. Pero no solo eso. En muchos casos, es la alternativa primaria para la provisión de servicios de infraestructura o aplicaciones críticas de negocio, en diversas empresas, siendo la plataforma fundamental de sus operaciones.
Una segunda tendencia que claramente se consolidó en 2020 es lo que veníamos discutiendo desde hace muchos años, en cuanto a que los temas de ciberseguridad no se resuelven solo con inversiones en los aspectos tecnológicos (componentes de software o de hardware), sino que mediante un enfoque coherente e integral.
Una aproximación efectiva a la ciberseguridad se basa en un equilibrio armonioso entre tres elementos principales que forman el triángulo virtuoso: personas, procesos y tecnología. En particular, los ciberataques que sufrimos durante la pandemia tuvieron como vector principal aprovechar el eslabón más débil: las personas. Por ello podemos concluir que el año pasado muchos tomadores de decisión de negocio y responsables de tecnología lograron comprender (a veces en forma muy dura) que no basta con realizar las inversiones necesarias en la infraestructura, si es que no se adecuan los procesos y, principalmente, se realiza la capacitación pertinente a las personas de la organización.
Por último, una tercera tendencia consolidada es la instalación del comercio electrónico en sus distintos aspectos y cadenas de valor, como uno de los elementos fundamentales de la vida diaria de las empresas y de las personas. Una tendencia que venía creciendo en forma rápida, pero que la pandemia definitivamente impone, modificando mercados, roles y empresas.
Los cambios que impulsan estas tendencias
Estas tres tendencias modifican el modelo de gestión y el establishment tradicional que hemos tenido por años en las empresas y el estado respecto de los modelos de gobernanza, las definiciones estratégicas y la operación relacionada con la tecnología.
Por ejemplo, la irrupción de los servicios basados en la nube hace que el control respecto de las plataformas tecnológicas de una organización, tradicionalmente privilegio de los departamentos de tecnología, pase a ser ahora un modelo de gestión compartido entre distintas áreas de la organización. Respecto de la gestión de ciberseguridad, también las áreas de tecnología pierden el control absoluto, manteniendo la supervisión de sus componentes. Pero, como ya vimos, la gestión integral de ciberseguridad debe contemplar ámbitos de procesos y gestión de personas, lo cual hace que se establezcan órganos colegiados de gestión de ciberseguridad, responsables y decisores de una mirada global que cubre a toda la organización. En relación al comercio electrónico, ahora las definiciones van mucho más allá que un dominio completo de las áreas comerciales en cuanto a la estrategia de los canales virtuales. También las áreas de tecnología, de marketing y de operaciones son responsables y participan en la definición de las estrategias y los modelos de operación asociados al comercio electrónico.
Podemos concluir, por tanto, que estas tendencias obligan a las organizaciones a tener una mirada más integral de las distintas áreas respecto a la gestión de las tecnologías conectadas con el negocio. Lamentablemente no en todas las organizaciones hemos visto flexibilidad para adaptarse a estos cambios, y modelos tradicionales de gestión de organizaciones muy conservadoras se han confrontado con la realidad que estas tendencias imponen, motivo por el cual muchas aún no han logrado entender el por qué han dejado de ser competitivas, han perdido posiciones de mercado o incluso han tenido serios problemas de ejecución en estos nuevos escenarios.
Ciberseguridad y el uso de servicios cloud
Muchas organizaciones ya conocen los beneficios de aprovechar las ventajas de infraestructura y servicios disponibles a través de Internet en la nube, pero eso no significa que esas mismas organizaciones deban descuidar el diseño, ejecución y el control de sus políticas de ciberseguridad, en todos los ámbitos ya mencionados, por el hecho de que utilizan servicios de terceros.
Por ejemplo, aquellas organizaciones que implementan sus soluciones de comercio electrónico, aprovechando proveedores de cloud, no pueden residir exclusivamente en ese hecho para protección y aseguramiento de la ciberseguridad. El utilizar un proveedor no significa que la organización descuide incluso aspectos de seguridad tecnológica, por ejemplo, sus aplicaciones de venta, los programas de infraestructura, sus bases de datos, etc. Los proveedores de infraestructura resuelven algunos componentes muy específicos de seguridad, pero no la mirada integral y, por cierto, menos resolverán aspectos de procesos o capital humano.
Al igual que en el ejemplo específico del uso de servicio de comercio electrónico en la nube, la relación entre ciberseguridad y la utilización de cloud considera múltiples aspectos. En primer lugar, cómo logró identificar los activos de información de la organización y el personal con los niveles de acceso adecuados, dónde residen esos activos de información, cuáles son los mecanismos de acceso. ¿Se requieren enlaces de comunicación seguros para poder acceder a esos activos de información? ¿Cuáles son los riesgos? ¿El proveedor de servicios cloud genera confianza desde un punto de vista técnico, operacional y jurídico respecto a esos activos de información?
En relación con el mismo punto respecto a la propiedad de los activos de información de la compañía (incluyendo el cumplimiento de regulaciones muy estrictas sobre el uso de datos personales, como GDPR y similares), muchas organizaciones han optado por utilizar servicios gratuitos en la nube. Pero al igual que el viejo aforismo que muchas veces usamos en entornos de negocios “There’s no free lunch” (no hay almuerzos gratis), lo mismo ocurre con los servicios cloud.
En muchas organizaciones, han optado por el uso de servicios gratuitos, pero a cambio y por no realizar un análisis exhaustivo, el costo considera la cesión de derechos de uso sobre la información propia, lo cual indudablemente es un riesgo de ciberseguridad enorme.
Como resumen final, las tendencias ya están consolidadas. El uso de servicios en el cloud es un hecho frecuente en los ambientes de negocios y la gestión de ciberseguridad es una mirada integral con gobernanza compartida que cubre todos los niveles de la organización. En ese entorno, hoy la gestión supone una mirada estratégica de la tecnología, considerando ambos elementos en forma complementaria como pilares de la operación de las organizaciones en el escenario actual de negocios.
