OPORTUNIDADES DE NEGOCIO EN SEGURIDAD
En un mundo más complejo, con más agentes e interacciones, es más probable que ocurran rupturas de la seguridad. En algunos casos, el riesgo de que ocurra algo imprevisto puede derivar de la propia complejidad. Invertir en la prevención de fallos y averías es una de las funciones principales de la ingeniería y gestión actuales. Pero, en otros casos, las acciones son llevadas a cabo por agentes que buscan un resultado concreto al vulnerar los mecanismos de seguridad. Y estos agentes son privados (independientes o por cuenta de una organización) o incluso estatales (la ciberguerra).
Se habla hoy de la seguridad en diferentes dimensiones: informática, sanitaria, alimentaria, biológica, y quienes la rompen son cibercriminales o ciberterroristas, según cual sea su objetivo (monetario o político). Las empresas deben protegerse con nuevos instrumentos de identificación, gestión y resolución de las rupturas de seguridad.
En especial, la digitalización extensiva, construida sobre entornos informáticos abiertos e interconectados, atrae la atención de nuevas formas de crimen, lo que convierte a la seguridad informática en un tema crítico para las personas y las organizaciones (ciberseguridad). La digitalización creciente de la economía lleva a que las personas y organizaciones sean más dependientes de información almacenada de forma digital. Esta dependencia atrae un nuevo tipo de crimen que utiliza la vulnerabilidad de los sistemas como mecanismo para la extorsión y el chantaje.
El riesgo se agravará con el desarrollo de la Internet de las cosas. Miles de millones de objetos conectados, susceptibles de ser hackeados por criminales que busquen plataformas para delinquir. El cibercrimen ya no se centrará en ordenadores, sino en todo tipo de objetos conectados, que, al no estar diseñados como ordenadores, no pueden ser protegidos con antivirus convencionales.
El impacto positivo de la digitalización en la economía global (big data, movilidad, Internet de las cosas, etc.) se calcula que podría ser de diez a veinte billones (europeos) de dólares hasta 2020. Pero si los ataques del cibercrimen siguen prosperando, la necesidad de nuevas medidas regulatorias para la protección y seguridad podría llevar a una desaceleración de la digitalización (cyber backlash), con un impacto económico negativo que se ha estimado en una reducción de tres billones de dólares en ese crecimiento previsto.
La innovación por parte de los cibercriminales avanza más rápidamente que la capacidad de reacción de las organizaciones. Por ejemplo, para el rescate de ordenadores cuyos discos duros han sido encriptados por el criminal (ransomware), se exige ya el pago de bitcoins, en lugar de dinero convencional, por la dificultad (imposibilidad) de trazado de esta moneda digital.
Casi el 80% de los CEO preguntados en un estudio reciente afirmaron que no podían responder eficientemente a la sofisticación creciente de los cibercriminales. Se evidencia la relevancia de una nueva función directiva, el CISO, chief information security officer. Y su objetivo principal será asegurar la ciberresiliencia de su organización.
Las recomendaciones de los expertos resaltan la importancia de que la seguridad informática se convierta en una prioridad de los CEO. No se trata solo de entender el problema, sino de dirigir firmemente los mecanismos para hacerle frente. El liderazgo del CEO es imprescindible porque la estrategia de seguridad implica funciones y unidades de negocio muy diversas a través de toda la organización.
En concreto, los CEO deben entender que la información y/o formación de los empleados de la organización es la mejor solución para anteponerse a la creciente sofisticación de los atacantes, y los peligros del social engineering. Además, deben asegurarse de que su organización cumple con su Corporate Compliance en el ámbito de los servicios internos y externos basados en TIC de las empresas. Con el nuevo cambio del código penal de este año 2015, las empresas heredan los incumplimientos de sus empleados y solo se les exime si han implantado reglas o normas de cumplimiento TIC dentro de su organización.
El establecimiento de nuevas medidas regulatorias y nuevos mecanismos de seguridad informática en las organizaciones exigirá un compromiso entre el control del riesgo y la satisfacción de los clientes. Una seguridad completa, además de requerir muchos recursos, podría llevar a una inoperancia (por ejemplo, mayor lentitud en el servicio) que reduciría la percepción de valor por parte de los usuarios. La necesidad de una mayor seguridad puede, por lo tanto, ralentizar el desarrollo de servicios digitales y, con ello, reducir el impacto de la digitalización en el conjunto de la economía.
Idea procedente del proyecto Now is Next para CEDE