En una reciente reunión de la junta directiva, el director de TI de una importante corporación global lideró una amplia discusión sobre las herramientas y prácticas necesarias para fortalecer los datos y sistemas de la compañía contra las violaciones. La Junta Directiva animó a aumentar la inversión y vigilancia, luego pasó a su siguiente punto de la agenda, una presentación del comité financiero que llevó a una votación de la junta directiva sobre la adquisición de acciones para consolidar la propiedad en una empresa en la que la compañía tenía una participación minoritaria. Para sorpresa del director de TI, que aún estaba en la sala, no hubo discusión sobre la ciberseguridad, aunque el adquirente estaba operando en una región donde las violaciones cibernéticas y el hacking criminal eran endémicos. Felizmente, la presencia fortuita del director de TI permitió una discusión adecuada del impacto de la decisión en el perfil de riesgo cibernético de la compañía, y un cambio en el enfoque de adquisición con el objetivo de llevar al adquirente más plenamente a la infraestructura operativa y de TI de la corporación.
La Junta Directiva no había conectado los puntos entre los dos puntos de la agenda porque su visión de la ciberseguridad, así como la del CEO, estaba más centrada en los paneles de control de riesgos y la vigilancia que en las implicaciones de seguridad de las decisiones empresariales. Proponemos que los líderes que se toman en serio la ciberseguridad tengan que traducir la simplicidad y la reducción de la complejidad en prioridades empresariales que entren en el diálogo estratégico de la Junta, el director general y el resto del cuerpo directivo.
Hace más o menos una década, las operaciones técnicas, los sistemas y las huellas de muchas grandes compañías se habían vuelto extremadamente costosas y complejas. La digitalización vertiginosa en la era de los teléfonos inteligentes ha exacerbado las cosas, ya que las compañías han creado cada vez más ecosistemas con una variedad de nuevos socios para ayudar a ampliar su alcance y captar un crecimiento nuevo y rentable. Aún más recientemente, los desafíos empresariales de la pandemia de COVID-19 han estimulado una adopción más rápida de soluciones digitales que dependen de datos, redes digitales y dispositivos que suelen ser operados por compañías fuera de las fronteras de la organización. La arquitectura tecnológica de muchas organizaciones representa una dimensión de complejidad en constante expansión. Las estructuras heredadas a menudo están plagadas de costuras abiertas y conexiones suaves que pueden ser explotadas por los atacantes cuya capacidad para infiltrarse en sistemas en expansión ha crecido.
“En la revolución tecnológica actual en que vive la humanidad a partir del surgimiento de internet y donde las compañías compiten en sus iniciativas estratégicas por ganar participación de mercado a partir de los análisis de datos a gran escala, se generan condiciones de interacción e interdependencia donde la información fluye de múltiples fuentes a múltiples destinos en ciclos interminables de interacciones. En este contexto uno de los retos de los responsables por la protección de datos está en interpretar los constantes y cada vez más frecuentes cambios para adaptar el modelo de seguridad pertinente al entorno de alta incertidumbre”
Las presiones sobre estas estructuras heredadas se han intensificado a medida que las compañías han empujado su TI actual para seguir el ritmo de los nativos digitales. Las fusiones a menudo multiplican los riesgos al conectar redes de sistemas ya complejas, lo que las hace exponencialmente más complejas. Como resultado, la complejidad ha llevado los riesgos y costos cibernéticos a nuevas y peligrosas alturas. El número de ataques cibernéticos significativos a nivel mundial está aumentando e incluye ataques criminales potencialmente devastadores de “ransomware”.
A medida que los líderes sénior repasan sus estrategias de crecimiento a raíz de la pandemia, es un buen momento para evaluar dónde se encuentran en el espectro del riesgo cibernético y cuán importantes se han convertido los costos de la complejidad. Aunque estos variarán según las unidades de negocio, las industrias y las geografías, los líderes necesitan buenos modelos mentales para autoevaluar la complejidad de los acuerdos comerciales, las operaciones y TI.
Un marco conceptual para pensar en la complejidad y el espectro del riesgo cibernético es el Teorema de Coase, formulado por el ganador del Premio Nobel Ronald Coase. Él planteó que las compañías deberían utilizar contratistas externos para suministrar bienes y servicios hasta que los costos de transacción superen los costos de coordinación de realizar el trabajo internamente. Una dinámica similar puede estar en juego en la evaluación de riesgos cibernéticos.
El riesgo cibernético es una especie de costo “externo” que ha aumentado a medida que los atacantes cibernéticos mejoran y se vuelven más dominantes. Al mismo tiempo, los costos de “transacción” dentro de la empresa establecen múltiples nodos de asociaciones (donde los riesgos están ocultos) y que han disminuido gracias a la ubicuidad y el menor costo de las interacciones digitales. El resultado: un nuevo entorno en el que los costos del fracaso han aumentado notablemente, mientras que los costos de crear complejidad han bajado.
Los líderes que buscan lograr un mejor equilibrio pueden comenzar con algunos principios básicos. El primero es asegurar que las medidas estratégicas no aumenten el riesgo de complejidad y empeoren la situación actual. El segundo es entender que la simplificación de la TI de la empresa puede requerir algo más que un pequeño recableado de los sistemas y, en cambio, puede exigir una modificación más fundamental, y a menudo a más largo plazo, de las estructuras de TI, para que sean adecuadas para el crecimiento.
En nuestra experiencia, los desafíos y oportunidades se clasifican en tres áreas:
Hemos visto que las compañías a menudo responden a las averías de la ciberseguridad con un guiño a su gravedad, pero toman acciones que se centran estrictamente y que, en última instancia, son parches en un proceso roto. La nueva intensidad de las amenazas, sin embargo, a menudo requiere repensar a un nivel más alto: enfrentarse a problemas y riesgos enredados con modelos de negocio. En una compañía que conocemos, había altos niveles de autonomía en la mayoría de las cosas digitales. Los líderes regionales y de las unidades de negocio tenían casi una mano libre en la elección de socios digitales, decidiendo sobre sistemas y redes para clientes, proveedores y demás. Después de un pequeño ataque cibernético en una región, los líderes de TI intentaron proporcionar a todas las áreas geográficas directrices y mejores prácticas para reducir los riesgos. Sin embargo, encontraron que los mandatos propuestos estaban más allá del alcance de la TI. El nuevo enfoque exigía que el CEO modificara lo que, en efecto, era un elemento del modelo de negocio de la compañía: la libertad otorgada a los ejecutivos de las unidades de negocio que tenía enormes implicaciones para la complejidad digital y la ciberseguridad.
2. Socios externos
Más típicos son los desafíos que involucran a los ecosistemas y las cadenas de suministro cuya complejidad opaca ha superado los esfuerzos para manejarlos de manera segura. Cuando una nueva directora de operaciones se hizo cargo de la función en una organización minorista global, se alarmó al encontrar datos de clientes potencialmente en riesgo y manifestó “un acuerdo caótico con los proveedores”. En un caso, su predecesora había contratado a seis proveedores diferentes para gestionar los contactos a medida que la combinación de clientes y líneas de productos de la compañía cambiaba con el tiempo y entraba en nuevos mercados. Dos de los proveedores tenían historias de violaciones de datos, por lo que el director de operaciones consideró que era necesario actuar. Con la contribución del CEO y la Junta Directiva, redujo el número de vendedores a dos de los actores más capaces e innovadores de la industria, permitiendo así tanto la diversidad como la resiliencia que creó confianza. La reducción de la complejidad permitió una mayor transparencia lo que permitió a todas las partes comprender mejor su papel individual en la protección de sus cadenas de suministro frente a las interrupciones cibernéticas.
3. Sistemas internos
Es probable que los procesos y sistemas internos requieran una inspección minuciosa de la complejidad y los riesgos que albergan.Tradicionalmente, estos procesos se han estructurado para cerrar transacciones a lo largo de un ciclo de pago de varios días. A medida que las empresas han pasado a una demanda de finalización de transacciones en tiempo real, se han tenido que crear soluciones temporales cada vez más complejas en los sistemas heredados con una tecnología que encaja el pago “instantáneo” en el proceso de varios días. Esta complejidad ha llevado a una mayor probabilidad de que se produzcan fallos importantes y pequeñas averías que se deriven de importantes incidentes. Reemplazar estos sistemas requiere decisiones empresariales difíciles, inversiones considerables y la voluntad de superar una actitud de “si no se rompe, no se arregla”. El aumento de los costos de la complejidad puede cambiar el equilibrio.
Aunque los beneficios de la simplificación son grandes, se extienden mucho más allá de la ciberseguridad, no nos hacemos ilusiones de que sean fáciles de realizar. Reducir la complejidad al tiempo que se establece un marco para la gobernanza y la responsabilidad compartida exige una acción deliberada a largo y corto plazo. Los líderes que estén listos para dar un paso adelante y establecer el tono crearán un mejor plan para una empresa asegurable.
Si quieres saber más del tema, visita nuestra página web y contacta a nuestros expertos aquí.