Entre el incidente del Banco de Chile en 2018, hasta el más reciente en GTD, la lista de organizaciones de distinto tamaño que han sido víctimas de ciberataques en nuestro país es notable, y las consecuencias en muchos de esos casos han repercutido no sólo a las entidades que fueron blanco de los cibercriminales, sino en sus clientes.
Hasta el momento en que escribo esta columna, muchas organizaciones que dependen de los servicios de GTD siguen padeciendo las consecuencias del ransomware que les afectó. Esas organizaciones ahora están comprendiendo la importancia de la ciberseguridad, incluso más allá de los límites de la propia organización.
En días pasados, varios afectados han recurrido a los tribunales porque no han vuelto a sus operaciones o estas se siguen desarrollando con dificultades, lo que afecta directamente a sus negocios. Tienen, por cierto, todo el derecho de hacerlo. En realidad, están obligados a realizar esa gestión. Yo también lo haría si estuviera en su lugar. Pero lo que no pueden hacer, a la luz de este amargo aprendizaje, es situarse en la posición de víctima y no tener un plan para recuperarse. Es precisamente lo que muchas organizaciones afectadas han mostrado: una limitada capacidad de resiliencia.
La ciberseguridad puede ser perfectamente gestionada con el apoyo de terceros. En muchos casos eso es saludable y hace que el negocio sea viable. Pero siempre, el primer responsable es la organización propietaria de los activos informáticos. Eso obliga a las organizaciones a tener planes de crisis para seguir funcionando mientras encuentran una forma de restablecer las operaciones.
Depositar la gestión de los activos informáticos de los negocios en terceras manos es una decisión que se debe tomar de forma estratégica, y eso implica evaluar el riesgo. La ciberseguridad no se trata de tecnologías, ni tampoco es “un mal necesario” -para quien no lo comprenda- y con el que debemos convivir en medio de la más intensa revolución industrial, la de la digitalización y virtualización de los procesos. Al final del día es un tema cultural, porque las organizaciones dependen de las tecnologías de la información. Esto es válido para todos los negocios, desde los más pequeños hasta los más grandes. Y eso significa que los líderes de las organizaciones, la alta gerencia y los directorios, entiendan la relevancia del tema.
Los líderes no pueden simplemente dejar a un tercero que gestiona los activos del negocio la entera responsabilidad sobre estos. Tengo que ser capaz de exigir que estos cumplan estándares y normativas, que tenga coordinación permanente con la empresa o servicio, y tengo que asegurarme que existan respaldos de esos activos en algún lugar aislado en caso que ocurra un incidente para poder seguir operando. Para bien o para mal, las organizaciones que indirectamente se ven afectadas por un incidente de ciberseguridad que afecta a un proveedor y no tienen un plan de continuidad operativa, también son responsables del incidente.
Si quienes lideran los negocios no comprenden ese punto, la organización está condenada a ser una víctima, y el negocio, está condenado al colapso.
Hace algunas semanas atrás, Mercado Público vivió un incidente similar. Un proveedor fue afectado por un ransomware y esta entidad crítica del Estado no pudo operar con normalidad en varios días. Pero salió adelante porque tenía un plan de continuidad. Hubo daños y costos importantes, pero la organización no colapsó.
A propósito de ello, Hernán Möller, uno de los Co-Fundadores de NIVEL4, destacaba en una columna pasada un dato de Gartner que indicaba que la expectativa que una organización fuera afectada por un incidente de ciberseguridad en la cadena de suministro alcanzaría a un poco menos de la mitad de las organizaciones del mundo en tan solo dos años más.
Pero la reacción, pese a toda la evidencia, parece lenta. Normalmente culpamos a la falta de legislación de todos los problemas, pero en este caso, creo que existe un deber de los directorios por comprender el desafío para cuidar a sus organizaciones. No creo que los altos ejecutivos sean insensibles frente a la ciberseguridad. Mi experiencia, hablando del tema frente a varios directorios en semanas y meses pasados, es que el tema no ha penetrado lo suficiente en las cúpulas de las organizaciones, pero una vez que entienden el significado de los conceptos y el desafío que enfrentan, son bastante receptivos a adoptar cambios necesarios para la continuidad del negocio.
La legislación ayudará mucho al cambio, porque exige el cumplimiento de normas y estándares en el mediano y largo plazo. Pero los cibercriminales están al acecho ahora y las organizaciones necesitan adoptar la ciberseguridad hoy.
Creo que si las organizaciones se sienten forzadas a adoptar la ciberseguridad, harán lo suficiente por cumplir, pero no para cambiar. Y eso puede evitar multas, pero no fomentar la cultura resiliente que necesitan.
No importa el esfuerzo que realicen los expertos y entendidos en el tema, si la gerencia y los directores no adoptan la ciberseguridad, ésta no se va a propagar en la organización.
Es por eso que considero que el compromiso de la ciberseguridad debe venir desde arriba, porque las organizaciones necesitan, como en todos los procesos históricos, de líderes capaces de indicar cual es la dirección correcta esa que en este tema, proteja nuestros sistemas y así asegurar la confidencialidad, integridad y disponibilidad de la información que las organizaciones necesitan para continuar su marcha.