Retos de la gestión de riesgos en la estrategia digital

15 junio, 2020
6 Compartido 1,454 Visualizaciones

Por Grégory Wurtz, Consultor de negocio en riesgos y ciberseguridad en GFT

La mayoría de los empresarios consideran una obligación adoptar una estrategia digital para que su negocio sobreviva en los próximos cinco años. Hoy la tecnología es más asequible: las opciones de almacenamiento Big Data y de su análisis a través de tecnologías cognitivas están disponibles en la nube. Gracias a ello, se elimina la barrera de inversión en infraestructura de TI, combinando escalabilidad y agilidad. Pero, durante la crisis de la COVID-19, las empresas se han visto obligadas a acelerar su proceso de transformación digital para poder garantizar la continuidad del negocio. Por lo tanto, la digitalización ya no es una opción para las organizaciones. Su potencial es enorme y cambiará nuestras vidas aunque también están surgiendo nuevos riesgos que hay que conocer y mitigar.

Ciberriesgos

Son los más reconocidos respecto a soluciones digitales: aquellos riesgos ligados a la falta de seguridad frente a ataques maliciosos de los sistemas, dispositivos móviles, sensores, redes y datos. Sin embargo, no hay que olvidar aquellas consecuencias adversas debidas a incidentes operativos de seguridad no intencionados: errores de identificación y autentificación, publicación de datos privados de forma involuntaria, borrado de datos, etc. A pesar de los progresos en la materia, estos incidentes están en continuo crecimiento debido al aumento del volumen de datos y del nivel de interconexión. No pasa una semana sin que se conozca una nueva brecha de datos que afecta a una grande empresa. Ante estos retos, muchas ya han respondido con la puesta en marcha propia o subcontratada de un SOC (Centro de Operaciones de Seguridad) que permite monitorear de forma automatizada y centralizada las vulnerabilidades de los sistemas, en general basándose en una solución integral SIEM (Información de Seguridad y Gestión de Eventos).

De todas formas, vemos hoy que estos tipos de soluciones ya no son suficientes y cada vez más empresas también migran sus aplicaciones a la nube para garantizar un nivel de seguridad altísimo. Con la crisis actual de la COVID-19, este fenómeno sólo se ha acelerado. Las empresas nativas cloud lo hicieron desde sus inicios y están mejor armadas. Todas las demás se están enfrentando a la gestión de accesos y datos de usuarios y clientes en un entorno de infraestructura “híbrido” y cambiante. Sin embargo, las nuevas exigencias de resiliencia operativa frente a la crisis y a la competencia conllevan que las empresas sigan siendo capaces de entregar valor continuamente a través de nuevas funcionalidades a sus clientes de forma cada vez más rápida y ágil. Al concepto “DevOps” orientado al desarrollo y entrega continua, se está imponiendo “DevSecOps” que integra la seguridad y la gestión del ciberriesgo como cultura de calidad. Por lo tanto, exige un cambio no solo de procesos y tecnologías sino también de mentalidad.

Sin duda, ya se está produciendo parte de este cambio cultural. El teletrabajo y el uso del comercio electrónico se han adoptado de forma masiva ante la amenaza invisible de la enfermedad.  La mayoría de las empresas están mucho más atentas a la gestión de riesgos y tienen ahora consciencia de que esta nueva normalidad introduce otro tipo de amenaza invisible. La superficie de exposición al ciberriesgo seguirá aumentando con el desarrollo de la digitalización. Según IDC, se prevén unos 40.000 millones de objetos conectados en el mundo antes del fin del año 2025. La hiperconectividad de las empresas gracias a la llegada del 5G y al desarrollo de las smartcities ya es una realidad pero, también el principal dolor de cabeza de su departamento de seguridad. ¿Cómo garantizar la seguridad de las empresas en tales condiciones? ¿Y con sus proveedores y partners? A nivel técnico, existen estándares simples de autorización como puede ser OAuth 2.0. En el caso de la normativa europea de pagos PSD2, la autenticación mutua entre entidades financieras se realiza mediante el uso de eIDAS, un sistema de reconocimiento europeo de entidades electrónicas. Esas entidades deben además cumplir unos estrictos estándares y controles de seguridad a nivel de arquitectura y de operativa para poder realizar su actividad, un modelo que, sin duda, constituye un ejemplo a seguir para otras industrias. 

Amenazas de la IA

Otros riesgos se encuentran sumergidos en los propios algoritmos de IA, los mismos que proliferan en nuestros móviles vehículos, portales de e-commerce, redes sociales, dispositivos médicos, altavoces o cámaras digitales y que almacenan y aprenden de nuestros datos. El riesgo de modelo es muy conocido en el sector financiero ya que estuvo en el origen de varias crisis mundiales, entre ellas la del 2008. Los reguladores tomaron medidas de control del diseño y del uso de los modelos en las entidades financieras para monitorear el riesgo sistémico, aplicables a modelos de IA.

Pero la IA conlleva un reto adicional: la opacidad es inherente a sus modelos de aprendizaje automático, en especial el deep learning. No existe código auditable, ni explicable, sino que la “lógica” está inferida por los datos utilizados para entrenar el modelo. De hecho, el “modelo inherente” no es estático, sino que cambia continuamente con el uso de nuevos datos. Sin embargo, la explicabilidad de los resultados del modelo es imprescindible para poder medir su robustez y evaluar su nivel de riesgo. La confianza en el modelo es crítica para su adopción. Ante este reto, los esfuerzos de investigación en materia de “explicabilidad” han realizado grandes avances estos dos últimos años, a veces a coste de añadir más capas de modelos y, por tanto, más complejidad y más riesgo. Parece que hay un trade-off de momento irresoluble entre “explicabilidad” y eficiencia de modelo.

En definitiva, durante la última década los riesgos de la digitalización han puesto de manifiesto la necesidad para las empresas de adoptar un marco integral de gestión del riesgo cibernético para prevenir, mitigar y gestionar los fallos de ciberseguridad y las incertidumbres ligados al desarrollo de la IA que acompañe el crecimiento de su negocio. Dichos riesgos no representan retos puramente tecnológicos, sino que, ante todo humanos. La UE ya está trabajando activamente en un nuevo marco legislativo. Los consumidores que tienen alguna interacción con las tecnologías de toma de decisiones automatizada (ADM) deberían estar debidamente informados sobre su funcionamiento. Por su parte, las empresas se confrontarán a más regulación digital. Deberán involucrar a toda la organización y a su ecosistema de proveedores en las medidas de mitigación contra los ciberiesgos. Además, la crisis del COVID-19 significará una ruptura y afectará a las prácticas de seguridad y de riesgo de todas las organizaciones. La propia tecnología será parte de la solución en la prevención, modelización y medición del riesgo. Los obstáculos más comunes para la adopción digital a escala seguirán siendo las dificultades para articular el business case, el talento, las competencias, el modelo de gobernanza y la cultura.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

8 claves para comprender cómo evolucionan las generaciones de ciberataques
Actualidad
12 compartido2,157 visualizaciones
Actualidad
12 compartido2,157 visualizaciones

8 claves para comprender cómo evolucionan las generaciones de ciberataques

Vicente Ramírez - 4 junio, 2018

Los ciberataques hoy día son mucho más sofisticados y complicados de detectar y solucionar. Cada vez, se encuentran más brechas…

INCIBE habilitará el 017 para consultas de ciberseguridad
Actualidad
13 compartido1,904 visualizaciones
Actualidad
13 compartido1,904 visualizaciones

INCIBE habilitará el 017 para consultas de ciberseguridad

Alicia Burrueco - 17 octubre, 2019

INCIBE pondrá a disposición de los usuarios de manera gratuita, el número 017 para resolver dudas de ciberseguridad. El Director…

Dassault Systèmes refuerza sus sistemas de ingeniería física cibernética para lograr un mundo más seguro, más inteligente y conectado
Soluciones Seguridad
18 compartido2,530 visualizaciones
Soluciones Seguridad
18 compartido2,530 visualizaciones

Dassault Systèmes refuerza sus sistemas de ingeniería física cibernética para lograr un mundo más seguro, más inteligente y conectado

Mónica Gallego - 3 abril, 2019

Dassault Systèmes adquiere la startup Argosim para aprovechar la tecnología de inteligencia artificial como columna vertebral de los sistemas de ingeniería…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.