Retos de la gestión de riesgos en la estrategia digital
El 85% de los empresarios consideran una obligación adoptar una estrategia digital para que su negocio sobreviva en los próximos cinco años, según IDC. Hoy en día la tecnología es más asequible: las opciones de almacenamiento Big Data y de análisis de los datos a través de tecnologías cognitivas están disponibles en la nube. Gracias a ello, se elimina la barrera de inversión en infraestructura de TI, combinando escalabilidad y agilidad. Durante la crisis de la COVID-19, las empresas se han visto obligadas a acelerar su proceso de transformación digital “a la fuerza” para poder garantizar la continuidad del negocio.
Por lo tanto, la digitalización ya no es una opción para las organizaciones. Su potencial es enorme y cambiará nuestras vidas pero, también, están surgiendo nuevos riesgos que debemos conocer y mitigar.
Ciberriesgos
Son los más reconocidos cuando se refiere a soluciones digitales. Se entienden como el grupo ligado a la ciberseguridad, es decir a la falta de seguridad frente a ataques maliciosos de los sistemas, dispositivos móviles, sensores, redes y datos. Sin embargo, cabría extenderlo a aquellas consecuencias adversas debidas a incidentes operativos de seguridad no intencionados: errores de identificación y autentificación, publicación de datos privados de forma involuntaria, borrado de datos, etc.
A pesar de los progresos en esta materia, los incidentes de ciberseguridad están en continuo crecimiento debido al aumento del volumen de datos y nivel de interconexión. No pasa una semana sin que se conozca una nueva brecha de datos, y otros muchos no salen en las noticias simplemente porque la organización no tiene constancia de del ataque. Ante estos retos, la puesta en marcha propia o subcontratada de un SOC (Centro de Operaciones de Seguridad) permite monitorear de forma automatizada y centralizada basándose en una solución integral SIEM (Información de Seguridad y Gestión de Eventos). De todas formas, ya no es suficiente. Cada vez más empresas también migran sus aplicaciones a la nube para garantizar un nivel de seguridad altísimo. Este fenómeno sólo se ha acelerado con la crisis actual de la COVID-19. La respuesta operativa a la crisis pasa claramente por la Nube. Las empresas “Cloud nativas” lo hicieron desde sus inicios y fueron mejor armadas. Para todas las demás, se están enfrentando a la gestión de accesos y datos de usuarios y clientes en un entorno de infraestructura “híbrido” y cambiante. Nuevas tendencias como SECaaS (Security as a Service), CASB (Cloud Access Security Broker) o CWPP (Cloud Workload Protection Platform) son tipos de herramientas que responden de forma agnóstica a estos problemas (se habla de infraestructura “inmutable”). Sin embargo, la resiliencia operativa frente a la crisis y a la competencia conlleva que las empresas sigan siendo capaces de entregar valor a través de nuevas funcionalidades a sus clientes de forma cada vez más rápida y ágil. Al concepto “DevOps” orientado al desarrollo y entrega continua, se está imponiendo “DevSecOps” que integra la seguridad y la gestión del ciberriesgo como cultura de calidad. Por lo tanto, exige un cambio no solo de procesos y tecnologías sino también de mentalidad.
Sin duda, ya se está operando este cambio. El teletrabajado y el uso del comercio electrónico se han adoptado de forma masiva como un recurso generalizado ante la amenaza invisible de la enfermedad. Sin embargo, las empresas, la mayoría de ellas mucho más atentas a la gestión de riesgos, tienen ahora consciencia de que esta nueva normalidad introduce otro tipo de amenaza invisible. La superficie de exposición al ciberriesgo seguirá aumentando con el desarrollo de la digitalización. Se prevén unos 40.000 millones de objetos conectados en el mundo antes del fin del año 2025. La hiperconectividad de las empresas gracias a la llegada del 5G y al desarrollo de las smartcities ya es una realidad y también el principal dolor de cabeza de su departamento de seguridad de la información. ¿Cómo garantizar la seguridad de las empresas y de la economía en tales condiciones? ¿Y con sus proveedores y partners? A nivel técnico, existen estándares simples de autorización como puede ser OAuth 2.0. En el caso de la PSD2, la autenticación mutua entre entidades se realiza mediante el uso de eIDAS, un sistema de reconocimiento europeo de entidades electrónicas. Esas entidades deben además cumplir unos estrictos estándares y controles de seguridad a nivel de arquitectura y de operativa para poder realizar su actividad, un modelo que, sin duda, constituye un ejemplo a seguir para otras industrias.
En materia de protección de datos, más allá de apuntar a un Delegado de Protección de Datos, las empresas deben definir un marco de gobernanza de datos adecuado, incluyendo una política de acceso a datos asegurando los derechos ARCO a sus clientes (Acceso, Rectificación, Cancelación y Oposición), con auditoría interna continua. Por último, cabe adoptar además una perspectiva global y continua de gestión de los ciberriesgos que incluya cualquier ecosistema de socios, vendedores y afiliados.
Amenazas de la IA
Otros riesgos menos obvios pero cuyos impactos no son menos importantes se encuentran sumergidos en los propios algoritmos de IA, los mismos que proliferan en nuestros móviles vehículos, portales de e-commerce, redes sociales, dispositivos médicos, altavoces o cámaras digitales y que almacenan y aprenden de nuestros datos. El riesgo de modelo es muy conocido en el sector financiero ya que estuvo al origen de varias crisis mundiales, entre ellas la del 2008. Los reguladores tomaron medidas de control del diseño y del uso de los modelos en las entidades financieras para monitorear el riesgo sistémico, aplicables a modelos de IA.
Pero la IA conlleva un reto adicional: la opacidad es inherente a sus modelos de aprendizaje automático, en especial el deep learning. No existe código auditable, ni explicable, sino que la “lógica” está inferida por los datos utilizados para entrenar el modelo. De hecho, el “modelo inherente” no es estático, sino que cambia continuamente con el uso de nuevos datos (auto aprende de los cambios de su entorno). Sin embargo, la “explicabilidad” o interpretabilidad de los resultados del modelo es imprescindible para poder medir la robustez del modelo y evaluar su nivel de riesgo. La confianza en el modelo es crítica para la adopción por parte de sus usuarios, sean empleados o clientes.
Ante este reto, los esfuerzos de investigación en materia de “explicabilidad” del ML han realizado grandes avances estos dos últimos años, a veces a coste de añadir más capas de modelos y por lo tanto más complejidad y más riesgo. Parece que hay un trade-off de momento irresoluble entre “explicabilidad” y eficiencia de modelo.
En definitiva, durante la última década los riesgos de la digitalización han puesto de manifiesto la necesidad para las empresas de adoptar un marco integral de gestión del riesgo cibernético para prevenir, mitigar y gestionar los fallos de ciberseguridad y las incertidumbres ligados al desarrollo de la IA que acompañe el crecimiento de su negocio. Dichos riesgos no representan retos puramente tecnológicos, sino que, ante todo humanos. Aunque parezca paradójico, la digitalización pone la ética y las humanidades al centro del debate para la definición de nuevos estándares de diseño (Secure/Ethical as a Design) y nuevas regulaciones necesarias para garantizar la confianza y la protección de los consumidores. La UE ya está trabajando activamente en un nuevo marco legislativo. Los consumidores que tienen alguna interacción con las tecnologías de toma de decisiones automatizada (ADM) deberían estar debidamente informados sobre su funcionamiento. Por su parte, las empresas se confrontarán sin duda a más regulación digital. Deberán involucrar a toda la organización y a su ecosistema de proveedores y terceros en las medidas de mitigación contra los ciberiesgos. Ahora en fase de estabilización, pero con unas perspectivas económicas inciertas y en rápido deterioro, la crisis del COVID-19 significará una ruptura y afectará a las prácticas de seguridad y de riesgo de todas las organizaciones. La propia tecnología será parte de la solución en la prevención, modelización y medición del riesgo. Los obstáculos más comunes para la adopción digital a escala seguirán siendo las dificultades para articular el business case, el talento, las competencias, el modelo de gobernanza y la cultura.
Este artículo se publicó originariamente en Cybersecurity News
