Las dos interrogantes que titulan este artículo son ciertas y deberían aplicarse decididamente en las empresas que avanzan rápidamente en sus procesos de transformación digital. A continuación, se analiza cómo ambas permiten incrementar el nivel de madurez en ciberseguridad.
Eficiencia Operacional “con” ciberseguridad
Imagine una empresa, por ejemplo, que ha decidido diferenciarse y centrar sus ventajas competitivas en la disminución de los tiempos asociados a sus procesos de negocio, por medio de la robotización automática de los mismos (RPA). Es evidente que un ciberataque exitoso que afecte dichos sistemas tendrá un impacto relevante en el negocio, así de simple.
Puede extrapolarse lo anterior a cualquier empresa cuya optimización de procesos operacionales y reducción de costos se base en el empleo de sistemas de información, digitalización, aplicación de Inteligencia Artificial, remotización, comercio electrónico, etc.; es decir, prácticamente todas las que se encuentran insertas en el medioambiente moderno de negocios.
La verdad es que es muy común hoy en día encontrar empresas cuyas iniciativas para optimizar niveles de atención a clientes, mejorar sus productos o reducir pérdidas, entre otros, se basan precisamente en algún sistema que puede ser afectado por alguna forma de ciberataque.
Es cierto que el énfasis en las medidas de ciberseguridad estará determinado por la dependencia que las medidas de mejora operacional tengan de tales sistemas; sin embargo, un problema serio en muchas empresas es que no siempre tienen a la vista esa situación o, peor aún, teniendo conciencia de eso, no ven que para mantener en el tiempo la eficiencia esperada con los cambios, la ciberseguridad corporativa es relevante.
Eficiencia Operacional “en” ciberseguridad
Este punto es más complejo, en primer lugar, porque es difícil analizar la efectividad y eficiencia de la ciberseguridad, pero también porque cuesta establecer las mejoras necesarias para optimizar los procesos asociados a la ciberseguridad.
Imagine una empresa que ha invertido mucho presupuesto en tecnologías, medidas y procesos, para reforzar su ciberseguridad; el hecho de que en la organización no se haya detectado ningún ciberataque, ¿es un indicador de una ciberseguridad efectiva o eficiente?; es más, ¿sería eso un indicador que no se haya producido ningún ciberataque? Al respecto, tal vez algunos de los lectores que son responsables de la ciberseguridad de sus empresas, se hayan encontrado con la necesidad de tener que decir que han sufrido muchos ciberataques para fundamentar la solicitud de presupuesto e, incluso, algunos otros también habrán enfrentado la pregunta: ¿Cuántos ciberataques han sido exitosos para justificar nuevas inversiones o mejoras?
Otro aspecto interesante de abordar es que muchas veces existe la tendencia, y tentación, de creer que la ciberseguridad es más eficiente y efectiva en la medida en que en la empresa se implementan más y más equipos de seguridad. No hay que engañarse: la tecnología es imprescindible en este esfuerzo, sin embargo, lo que se plantea es que existen medidas que mejoran la eficiencia de la ciberseguridad que no necesariamente involucran adquisición de tecnologías. Un buen ejemplo de esas medidas es el entrenamiento, y para ejemplificarlo me permitiré utilizar el concepto de excelencia operacional que se aplica en los buques de la Armada de Chile, que también aplicábamos en las unidades de ciberdefensa (las cuales tuve el privilegio de dirigir por varios años en la Marina).
El concepto detrás de la excelencia operacional es el de sacar el máximo provecho al material disponible, no siempre el más moderno, por medio de personas altamente preparadas para reaccionar a las situaciones que podían enfrentar en el desempeño de sus funciones. Si bien las competencias y la formación profesional son relevantes para lograr este efecto, lo que realmente generaba la excelencia operacional y la mejora continua era un entrenamiento serio, incremental, constante y realista.
En base a planes de entrenamiento anuales que consideran múltiples ejercicios, que simulan situaciones cada vez más complejas, las personas son capaces de reconocer y analizar rápidamente los problemas para solucionarlos y, sobre todo, sacándole el máximo potencial a las tecnologías que emplean. No pocas veces este proceso genera un involucramiento que permite, incluso, encontrar funcionalidades o alternativas de empleo creativas.
Por cierto, hay otras medidas de Eficiencia Operacional en ciberseguridad; así, por ejemplo, la externalización de algunas funciones en servicios provistos por socios tecnológicos es una alternativa importante para, por ejemplo, minimizar costos. Proveedores de ciberinteligencia táctica y estratégica, por otra parte, contribuyen a tomar conciencia de las amenazas presentes y futuras mejorando la respuesta a las amenazas, las primeras, y optimizando la toma de decisiones, las segundas.
Si Hamlet hubiere sido CISO…
Si Hamlet hubiera sido CISO, no habría tenido la duda existencial planteada en el título.
Por un lado, porque la Eficiencia Operacional de las empresas en el medioambiente de negocios contemporáneo, seguramente tendrá algún grado de dependencia de sistemas susceptibles de sufrir ciberataques; por lo mismo, y no hay que dudarlo, la ciberseguridad constituye hoy un elemento clave en los esfuerzos de las compañías para reducir costos, mejorar sus procesos y ser más competitivas.
Pero la ciberseguridad en sí también puede mejorarse y ser más eficiente. Mientras que la conciencia respecto de la dependencia que tiene el negocio de los sistemas permite a cada empresa dimensionar su adecuado esfuerzo de ciberseguridad; el entrenamiento serio y constante, por otro lado, constituye un elemento potenciador de las capacidades humanas y materiales dedicadas a tal función haciéndola más eficiente y efectiva.
