Es de justicia reconocer que las empresas se toman cada día más en serio todo lo que tiene que ver con la ciberseguridad. Quizás porque han sufrido en primera persona algún incidente desagradable o porque hayan visto pasar de cerca las balas del cibercrimen; lo cierto es que el modelo de seguridad de algunas compañías, especialmente las de mayor tamaño, comienza a tener un grado de madurez que les está permitiendo, de manera exitosa, minimizar los riesgos y reducir la superficie de exposición alineando esta estrategia con el negocio.
Por otro lado, también resulta admirable el esfuerzo que desde la Administración se está realizando para concienciar y sensibilizar a la sociedad de los riesgos que implica subirse al tren de la digitalización sin incorporar un mínimo de medidas de seguridad que eviten sobresaltos innecesarios.
El INCIBE (Instituto Nacional de Ciberseguridad) habilitó en febrero de 2018 el servicio “Tu Ayuda en Ciberseguridad”, conocido popularmente como 017. Un servicio gratuito y confidencial dirigido a la población en general para resolver sus problemas de ciberseguridad. En sus primeros tres años de funcionamiento, el 017 atendió más de 100.000 consultas, lo que lo convierte en el servicio de ciberseguridad más utilizado de España.
Así las cosas, podremos convenir que la situación en materia de ciberseguridad ha mejorado sustancialmente en los últimos años; aunque quizás no lo suficiente si la comparamos con la presión de un entorno cada vez más hostil.
Pero intentemos ver el vaso medio lleno y busquemos argumentos que sostengan esta hipótesis tan optimista en medio de una guerra sin cuartel que se libra en el ciberespacio. Los mejores indicadores que reafirman nuestra teoría los encontramos en la evolución del análisis de riesgos de las compañías. En este punto se ha producido una mejora sustancial que refuerza nuestra idea.
Y es que, hasta ayer, las preocupaciones de las empresas se centraban en la seguridad de sus equipos y en la seguridad de sus oficinas; lo que en el sector se conoce como la seguridad del puesto de trabajo y la seguridad perimetral. Con este modelo tan básico de defensa, fueron llegando herramientas y soluciones a las compañías, en forma de antivirus y firewall, que atajaban estas brechas de seguridad y reducían los riesgos. Lógicamente, todo esto es mucho más complejo, pero permítanme simplificarlo al máximo para no perder el hilo de la idea.
Siguiendo esta evolución del modelo de seguridad, actualmente encontramos muchas compañías que están haciendo muy bien sus deberes y que, incluso, cuentan con un Plan Director de Ciberseguridad y certificaciones que avalan su buen hacer.
Y es en este punto donde cabe preguntarse qué les preocupa hoy a las empresas y dónde localizan su mayor riesgo. La respuesta es contundente: el mayor riesgo que identifican las compañías en su sistema de seguridad es el que viene derivado de su relación con terceros.
La verdad es que suena demoledor porque esto nos viene a decir que de nada ha servido que nos hayamos gastado un dineral en la ciberseguridad de nuestra empresa porque, al final, somos tan frágiles como el peor de nuestros colaboradores.
Pongamos un ejemplo para entender mejor la gravedad del problema. Supongamos que trabajamos en el Departamento de Recursos Humanos, sin lugar a dudas, una de las áreas de la empresa que maneja información más sensible. Conscientes de ello, habremos tomado todas las medidas preventivas necesarias para evitar un incidente que comprometa la Confidencialidad, la Integridad y la Disponibilidad de los datos con los que trabajamos.
Ahora bien, sucede que las nóminas de la empresa las tenemos externalizadas con una pequeña gestoría que lleva trabajando para la compañía toda una vida. Si un ciberdelincuente quisiera hacerse con la información de nuestros empleados, ¿a quién crees que atacaría? Solo de pensarlo saltan todas las alarmas.
Pero la realidad se impone y lo cierto es que siempre necesitaremos de terceros para poder llevar a cabo nuestra actividad porque de lo contrario, probablemente, nuestro modelo de negocio dejaría de ser viable.
La situación es tremendamente compleja porque casi podríamos pensar que estamos otra vez en la casilla de salida, o incluso peor, porque en este modelo de outsourcing poco podemos hacer ya que resulta imposible meternos en casa de nuestros colaboradores para imponer una medidas de seguridad que, probablemente, serán incapaces de asumir.
Parece que no nos queda otra que resignarnos y asumir que nuestros datos terminarán vendiéndose en la darkweb, no porque nos los hayan robado a nosotros directamente desde nuestros sistemas, sino porque algunos de nuestros colaboradores habrá sido víctima de un ciberataque.
“El mayor riesgo que identifican las compañías en su sistema de seguridad es el que viene derivado de su relación con terceros”
Es tal la magnitud del problema que muchas empresas están obligando a realizar un análisis de riesgos a sus colaboradores, que en muchos casos es excluyente para poder firmar el contrato de servicio, porque las consecuencias de un ataque podrían ser traumáticas. En la práctica esto se traduce en:“si no eres ciberseguro, no pienso trabajar contigo”.
Estaremos de acuerdo en que este escenario es del todo insostenible porque, normalmente, lo que de verdad valoramos de nuestros colaboradores es la calidad de sus servicios -laborales, jurídicos, fiscales…- y es por eso por lo que los elegimos y no tanto por su ciberseguridad. Si nos pasamos de frenada, podría darse el caso de terminar trabajando con colaboradores super seguros, pero que no son los más adecuados para nuestro negocio.
Lógicamente, procede evolucionar la estrategia y mover ficha. La nueva propuesta sonaría más o menos así: “quiero trabajar contigo, pero ambos sabemos que no tienes el nivel de ciberseguridad suficiente como para evitar las consecuencias de un incidente que con total seguridad va a llegar. ¿Me dejas que te ayude a solucionar el problema y poder seguir juntos adelante?”
Este modelo de trabajo no es nuevo y se hizo muy popular de la mano de José Ignacio López de Arriortúa, el ingeniero español que trabajó en Volkswagen, más conocido como Superlópez. López de Arriortúa tuvo claro que si quería mejorar la cadena de producción de su fábrica necesitaba ayudar a sus proveedores que, lógicamente, eran empresas más pequeñas, para poder optimizar el proceso de producción de su compañía.
El modelo colaborativo es la única forma de mejorar la ciberseguridad del tejido empresarial porque no olvidemos que la cadena siempre se rompe por el eslabón más débil. He tenido la suerte de poder comprobar de cerca la eficacia de esta estrategia colaborativa cuando se hace con honestidad y respeto entre ambas partes. El resultado es espectacular.
Así que, ayudemos a nuestros colaboradores a mejorar su ciberseguridad, siendo conscientes que la tecnología debe ser transparente al negocio, pero nunca se puede convertir en un problema en la relación que tengamos con nuestros colaboradores.
Subamos el nivel de madurez de nuestro modelo de seguridad, compartamos el conocimiento, incluso facilitemos soluciones… En definitiva, ayudemos al eslabón más débil porque es el único camino para mejorar la seguridad de nuestra empresa. Y si no, tiempo al tiempo.