Facebook Linkedin Twitter Instagram Youtube Telegram

Retos de la gestión de riesgos en la estrategia digital

Por Grégory Wurtz, Consultor de negocio en riesgos y ciberseguridad en GFT

La mayoría de los empresarios consideran una obligación adoptar una estrategia digital para que su negocio sobreviva en los próximos cinco años. Hoy la tecnología es más asequible: las opciones de almacenamiento Big Data y de su análisis a través de tecnologías cognitivas están disponibles en la nube. Gracias a ello, se elimina la barrera de inversión en infraestructura de TI, combinando escalabilidad y agilidad. Pero, durante la crisis de la COVID-19, las empresas se han visto obligadas a acelerar su proceso de transformación digital para poder garantizar la continuidad del negocio. Por lo tanto, la digitalización ya no es una opción para las organizaciones. Su potencial es enorme y cambiará nuestras vidas aunque también están surgiendo nuevos riesgos que hay que conocer y mitigar.

Ciberriesgos

Son los más reconocidos respecto a soluciones digitales: aquellos riesgos ligados a la falta de seguridad frente a ataques maliciosos de los sistemas, dispositivos móviles, sensores, redes y datos. Sin embargo, no hay que olvidar aquellas consecuencias adversas debidas a incidentes operativos de seguridad no intencionados: errores de identificación y autentificación, publicación de datos privados de forma involuntaria, borrado de datos, etc. A pesar de los progresos en la materia, estos incidentes están en continuo crecimiento debido al aumento del volumen de datos y del nivel de interconexión. No pasa una semana sin que se conozca una nueva brecha de datos que afecta a una grande empresa. Ante estos retos, muchas ya han respondido con la puesta en marcha propia o subcontratada de un SOC (Centro de Operaciones de Seguridad) que permite monitorear de forma automatizada y centralizada las vulnerabilidades de los sistemas, en general basándose en una solución integral SIEM (Información de Seguridad y Gestión de Eventos).

De todas formas, vemos hoy que estos tipos de soluciones ya no son suficientes y cada vez más empresas también migran sus aplicaciones a la nube para garantizar un nivel de seguridad altísimo. Con la crisis actual de la COVID-19, este fenómeno sólo se ha acelerado. Las empresas nativas cloud lo hicieron desde sus inicios y están mejor armadas. Todas las demás se están enfrentando a la gestión de accesos y datos de usuarios y clientes en un entorno de infraestructura “híbrido” y cambiante. Sin embargo, las nuevas exigencias de resiliencia operativa frente a la crisis y a la competencia conllevan que las empresas sigan siendo capaces de entregar valor continuamente a través de nuevas funcionalidades a sus clientes de forma cada vez más rápida y ágil. Al concepto “DevOps” orientado al desarrollo y entrega continua, se está imponiendo “DevSecOps” que integra la seguridad y la gestión del ciberriesgo como cultura de calidad. Por lo tanto, exige un cambio no solo de procesos y tecnologías sino también de mentalidad.

Sin duda, ya se está produciendo parte de este cambio cultural. El teletrabajo y el uso del comercio electrónico se han adoptado de forma masiva ante la amenaza invisible de la enfermedad.  La mayoría de las empresas están mucho más atentas a la gestión de riesgos y tienen ahora consciencia de que esta nueva normalidad introduce otro tipo de amenaza invisible. La superficie de exposición al ciberriesgo seguirá aumentando con el desarrollo de la digitalización. Según IDC, se prevén unos 40.000 millones de objetos conectados en el mundo antes del fin del año 2025. La hiperconectividad de las empresas gracias a la llegada del 5G y al desarrollo de las smartcities ya es una realidad pero, también el principal dolor de cabeza de su departamento de seguridad. ¿Cómo garantizar la seguridad de las empresas en tales condiciones? ¿Y con sus proveedores y partners? A nivel técnico, existen estándares simples de autorización como puede ser OAuth 2.0. En el caso de la normativa europea de pagos PSD2, la autenticación mutua entre entidades financieras se realiza mediante el uso de eIDAS, un sistema de reconocimiento europeo de entidades electrónicas. Esas entidades deben además cumplir unos estrictos estándares y controles de seguridad a nivel de arquitectura y de operativa para poder realizar su actividad, un modelo que, sin duda, constituye un ejemplo a seguir para otras industrias. 

Amenazas de la IA

Otros riesgos se encuentran sumergidos en los propios algoritmos de IA, los mismos que proliferan en nuestros móviles vehículos, portales de e-commerce, redes sociales, dispositivos médicos, altavoces o cámaras digitales y que almacenan y aprenden de nuestros datos. El riesgo de modelo es muy conocido en el sector financiero ya que estuvo en el origen de varias crisis mundiales, entre ellas la del 2008. Los reguladores tomaron medidas de control del diseño y del uso de los modelos en las entidades financieras para monitorear el riesgo sistémico, aplicables a modelos de IA.

Pero la IA conlleva un reto adicional: la opacidad es inherente a sus modelos de aprendizaje automático, en especial el deep learning. No existe código auditable, ni explicable, sino que la “lógica” está inferida por los datos utilizados para entrenar el modelo. De hecho, el “modelo inherente” no es estático, sino que cambia continuamente con el uso de nuevos datos. Sin embargo, la explicabilidad de los resultados del modelo es imprescindible para poder medir su robustez y evaluar su nivel de riesgo. La confianza en el modelo es crítica para su adopción. Ante este reto, los esfuerzos de investigación en materia de “explicabilidad” han realizado grandes avances estos dos últimos años, a veces a coste de añadir más capas de modelos y, por tanto, más complejidad y más riesgo. Parece que hay un trade-off de momento irresoluble entre “explicabilidad” y eficiencia de modelo.

En definitiva, durante la última década los riesgos de la digitalización han puesto de manifiesto la necesidad para las empresas de adoptar un marco integral de gestión del riesgo cibernético para prevenir, mitigar y gestionar los fallos de ciberseguridad y las incertidumbres ligados al desarrollo de la IA que acompañe el crecimiento de su negocio. Dichos riesgos no representan retos puramente tecnológicos, sino que, ante todo humanos. La UE ya está trabajando activamente en un nuevo marco legislativo. Los consumidores que tienen alguna interacción con las tecnologías de toma de decisiones automatizada (ADM) deberían estar debidamente informados sobre su funcionamiento. Por su parte, las empresas se confrontarán a más regulación digital. Deberán involucrar a toda la organización y a su ecosistema de proveedores en las medidas de mitigación contra los ciberiesgos. Además, la crisis del COVID-19 significará una ruptura y afectará a las prácticas de seguridad y de riesgo de todas las organizaciones. La propia tecnología será parte de la solución en la prevención, modelización y medición del riesgo. Los obstáculos más comunes para la adopción digital a escala seguirán siendo las dificultades para articular el business case, el talento, las competencias, el modelo de gobernanza y la cultura.

Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio