Ciberseguridad

No existe un método universal

Las empresas de tecnología deben adoptar un nuevo enfoque frente al riesgo digital.

Sobresaliendo del firmamento austríaco, emergiendo del bosque alrededor, se encuentra una maravilla medieval – el castillo de Hochosterwitz. Los miles de turistas que llegan allí cada año aprenden pronto un hecho sorprendente: es uno de los pocos castillos en el mundo que nunca han sido invadidos.

Sus habitantes agradecen al Barón George Khevenhüller. Sabía que tener el castillo era estratégicamente importante para la región. Por temor a un ataque de ejércitos merodeadores, ordenó la construcción de una serie de 14 puertas fortificadas sobre su colina más baja, la vía de ataque más probable. Cada una tiene una estructura de defensa única diseñada para desconcertar a los invasores. Funcionó. El conquistador más exitoso llegó solo hasta la cuarta puerta.

Las empresas de tecnología de hoy en día pueden aprender algo de Khevenhüller. Puede que no le teman a los conquistadores, pero  sí enfrentan ataques de actores maliciosos que están enfocados en robar su IP o la información personal que poseen.

Como Khevenhüller, deben identificar los activos más importantes, considerar las vías de ataque más probables y confeccionar una estrategia defensiva en forma acorde.

Por supuesto, una estrategia holística de riesgo digital (la cual debería expandir la ciberseguridad y el riesgo de privacidad de la información a través de la empresa) debe incorporar más que la defensa contra el ataque cibernético. Regulaciones de protección de la información más estrictas que nunca, sin mencionar el aumento de la conciencia del público sobre la privacidad, significa que las empresas de tecnología deben reexaminar regularmente los controles de privacidad. La categorización de los activos de información también es esencial en este proceso.

Las empresas de tecnología son las más vulnerables

Se espera que el costo global anual del cibercrimen llegue a US$6 trillones en 2021, superando los US$3 trillones del 2015. James Arthur, socio y gerente del área de ciber-consultoría en Grant Thornton Reino Unido está de acuerdo. “Las empresas de tecnología están particularmente afectadas.”

“Es importante que las empresas de tecnología desarrollen una estrategia de riesgo digital basada en sus activos de información más importantes,” dice James. “Después de todo, típicamente poseen mucha más información que empresas que no son del rubro y suelen liderar el camino cuando se trata de adoptar nuevas tecnologías, lo que puede crear vulnerabilidades cibernéticas.”

Las empresas de tecnología B2C también almacenan y procesan enormes volúmenes de información sensible y personal. Es por eso que no es sorpresa que TI fue el sector que estuvo más veces en el blanco de los ciberataques en aplicaciones web el año pasado.

Todo esto sumado (y como se reveló en nuestra investigación anterior) significa que las empresas de tecnología son más vulnerables a los ciber ataques y a las filtraciones de información de clientes que nunca. Esto no sólo los expone a duras multas regulatorias, sino también a un daño reputacional en el cual la empresa peligra.

Adelantarse a los reguladores

En los últimos tres años, las empresas de tecnología han hecho grandes esfuerzos para cumplir con las nuevas regulaciones de privacidad y protección de la información, en particular el GDPR (Reglamento General de Protección de Datos). La mayoría de las grandes empresas tecnológicas están cumpliendo, pero deben mantenerse alerta.  Las regulaciones se están volviendo cada vez más estrictas y las penas por no cumplimiento van en aumento. Además, los consumidores se están volviendo cada vez más conscientes de los problemas de privacidad y están listos para castigar a las empresas por no tomar el tema en serio.

Las empresas de tecnología deben responder yendo más allá del mínimo requerido por el regulador. “Las empresas de tecnología hoy en día necesitan ir más allá de lo básico para asegurar conformidad porque estas empresas prestan un servicio a sus clientes en una industria regulada y son en gran parte controladores de información, mientras que sus clientes pueden ser procesadores de información,” confirma Akshay Garkel, socio de consultoría en Grant Thornton India.

“A los proveedores de servicios en la nube se les puede llegar a requerir que mantegan 10 de 20 (por ejemplo) controles de información como cumplimiento mínimo. Pero no deberían detenerse allí. Con el espíritu de querer asegurar seguridad y privacidad podrían ir un poco más allá del mínimo esperado por el regulador porque los clientes lo van a pedir.”

La fina línea entre privacidad y analítica

Sin embargo se debe establecer un balance. Los clientes van a apreciar a la empresa por ir más allá con la privacidad, pero no si eso restringe su habilidad de recibir ofertas personalizadas o el desarrollo de productos hechos a la medida de sus necesidades individuales.

Dejando de lado a las empresas individuales, leyes de privacidad demasiado controladoras previenen el uso de datos para liderar resultados sociales positivos, ya sea relacionados con salud, monitoreo de enfermedades o reducción de accidentes de tráfico. Entonces los gobiernos y entidades reguladores deben ser cuidadosos también de no promulgar leyes de privacidad tan restrictivas.

“El balance entre la protección de la información y el uso de la misma para el bien público es un debate clave para la sociedad,” dice Nick Watson, socio y líder del sector tecnológico en Grant Thornton Reino Unido. “Alemania tiene leyes de privacidad muy fuertes pero como resultado la información sobre accidentes de tránsito no fue recolectada en ciertos tramos. De esta forma, no fueron capaces de recolectar información que podría haber detectado un punto de incidentes de tránsito frecuentes. Se puede llevar la privacidad de la información a un nivel donde ni la información impersonal se recolecta en forma anónima. En este caso, la sociedad sale perdiendo.”

El intermediario de la vigilancia

Evaluar cuán lejos ir con la privacidad se ha vuelto más complejo debido a que, nos guste o no, muchas empresas de tecnología ahora son intermediarios de vigilancia. Ya sean mensajes en redes sociales, grabaciones de dispositivos Echo o datos de localización guardados en teléfonos celulares, las empresas de tecnología poseen información que es útil para combatir el crimen.

No cabe duda de que deben cumplir con la ley sobre solicitudes de información pero tienen criterio sobre cuán rápido responder y cuánta información proveer.

Muchos ahora se preguntan si las solicitudes de información por parte de la policía deberían ser procesadas sí o sí, o examinadas en profundidad con el fin de preservar la privacidad.

En el pasado, algunas empresas de tecnología se resistían a la ley más que cooperar con ella. Pero a medida que van acumulando más y más evidencia vital en forma inconsciente, existe controversia en algunos mercados sobre qué información se comparte y con qué propósito.

Después de todo, ser visto como poco colaborador con las fuerzas anti-terroristas es mucho más dañino que no adherirse a los estándares de privacidad más estrictos.

Reforzar la protección de los activos digitales

¿Cómo deberían responder las empresas tecnológicas al creciente riesgo digital? Primero y principal, deben clasificar, categorizar y planear sus activos digitales para entender los riesgos específicos y el valor asociados con ellos.

Equipados con estos conocimientos, deben desarrollar e implementar una estrategia de riesgo digital más matizada y enfocada en el riesgo que fortifique las joyas de la corona digitales – aquellas consideradas como las más críticas para los negocios y sus clientes.

Por supuesto, la información más valiosa para una empresa puede ser  completamente trivial para otra. Por ejemplo, las empresas de tecnología financiera valoran la información financiera de sus clientes, las empresas de tecnología del entretenimiento le dan más importancia a los datos de preferencia de los consumidores y las empresas de alta tecnología atesoran su IP.

Este enfoque suena sensible. Pero un número sorprendentemente grande de empresas no lo hacen, y en vez de eso confían en un método universal pasado de moda de ciberseguridad y privacidad de la información basado en seguridad perimetral.

Orus Dearman, director de los servicios de consultoría de riesgo en Grant Thornton EEUU, explica como este proceso de clasificación puede llevar a un cambio práctico que reduce la vulnerabilidad.

“Asistimos a una empresa de tecnología a realizar un proceso de categorización de la información para permitirles identificar en forma eficiente la información sensible y personal en sus bases de datos y redes como parte de un inventario de información general. Esto les permitió desplegar recursos de protección de la información donde se necesitaban y donde tuvieran el mayor impacto,” dice. “Ahora, si alguien quisiera cambiar algo relacionado con esta información o estos sistemas, el equipo de privacidad es involucrado en el proceso como parte del flujo de trabajo.”

Información sin uso

En contraste, la información que se revele como inservible para el negocio y no requerida con fines regulatorios debería ser eliminada o anonimizada apropiadamente. Esto reduce el riesgo de que se vea comprometida.

Naturalmente, las empresas de tecnología pueden resistirse a eliminar información por si acaso la necesitaran para una auditoría o si llegara a ser esencial para algo de lo que no están al tanto. El planeamiento de la información ayuda a detectar interdependencias, que puede ayudar a la hora de eliminar información.

Pero la categorización de la información no sólo reduce el riesgo. También crea valor. Este ejercicio puede identificar un conjunto de datos o combinación de conjuntos que pueden ser usados para mejorar la eficiencia de las operaciones internas o conocer más sobre preferencias de los consumidores.

Cuando cambia la estrategia, debe cambiar la categorización

Las empresas de tecnología deben recordar dos cosas cuando describen sus activos de información. Primero, no es un ejercicio único. Deben planear constantemente sus activos ya que la naturaleza de la amenaza cambia y las prioridades del negocio evolucionan.

Segundo, esta tarea no se le puede dejar al oficial de seguridad de la información o jefe de TI. Es una decisión crítica que debe estar alineada a los objetivos del negocio. Los líderes senior deben estar involucrados en el proceso.

Impulse la ventaja competitiva a través de la confianza

Hay una verdadera oportunidad para las empresas de tecnología B2B para posicionarse alrededor de la confianza digital. Aquellos que demuestren disposición para responder a una ciber amenaza, que manejen la información de los clientes en forma responsable y le den poder a los clientes de regular los controles de privacidad tienen la oportunidad de ganar una ventaja competitiva.

Para empezar a construir confianza, las empresas de tecnología deben ofrecer soluciones de ciber seguridad con valor agregado como filtros de malware y ransomware que promocione los puntos débiles como parte de su oferta principal. Los clientes también estarán impresionados con proveedores que conduzcan auditorias de ciberseguridad comprensivas y que elaboren reportes independientes de garantía.

“Los reportes que demuestran capacidad, seguridad y un compromiso serio con el manejo de riesgo (tales como SOC2 o ISAE3402) son sin duda una forma de que las empresas de tecnología se diferencien de la competencia,” dice Matthew Green, socio de consultoría de tecnología en Grant Thornton Australia. “Los clientes más astutos están empezando a preguntar por la validación y la confirmación constante de que la organización está manteniendo un nivel apropiado de seguridad de la información y están solicitando estos reportes como una forma de demostrarlo.”

Existe un número de estándares de seguridad que las empresas de tecnología pueden usar para demostrar buenas prácticas de resiliencia digital. Pero como cada empresa es diferente, estos meramente proveen un punto de partida. Las empresas de tecnología deben evaluar lo que sus clientes quieren en términos de privacidad y seguridad y priorizarlo.

Los clientes valoran el control

No está claro todavía si la tecnología B2B puede diferenciarse a través de la confianza digital. De todas formas, no es malo hacerles la tarea fácil a los consumidores de identificar y eliminar información que se almacena sobre ellos y administrar la configuración de privacidad.

Las empresas de tecnología B2C también deben hacer sus políticas de privacidad tan claras como el agua. Hoy en día, la mayoría de ellas está exhibida en letras diminutas a través de múltiples páginas, haciéndolas imposibles de descifrar.

“La privacidad debería facilitar y no entorpecer la innovación. Las empresas que han adoptado buenas prácticas de privacidad deberían usar eso como plataforma de branding en el mercado,” confirma Orus.

“Comunicar las políticas de privacidad en forma transparente es esencial. La tendencia general para empresas de tecnología es desarrollar un centro de usuarios que les permita ver qué información es retenida y les permite suscribirse y desuscribirse de varias cosas.”

“Regulaciones de privacidad tales como el GDPR y la próxima Acta de Privacidad del Consumidor de California (CCPA) requieren  avisos de privacidad claros y concisos para las áreas aplicables. Sin embargo, para aquellos de nosotros que no nos vemos afectados por el GDPR o la CCPA, muchos acuerdos de uso son de más de cien páginas, así que todavía pueden hacerse más amigables para el usuario.”

Nuestras cinco recomendaciones

Las empresas de tecnología deberían implementar las siguientes recomendaciones para construir y mantener la confianza digital:

  1. Categorizar los activos de información de acuerdo a su importancia estratégica. Aquellos que puedan alterar el negocio o la experiencia del cliente o causar daño a la reputación si se ven comprometidos deben ser considerablemente protegidos.
  2. Revisar la categorización en forma regular en colaboración con los líderes senior. Esta categorización debe estar alineada con los objetivos del negocio, lo cual puede cambiar con el tiempo.
  3. No piense sólo en el mínimo requerido por la regulación al implementar controles de protección de la información. En su lugar, considere cómo puede que se vean las regulaciones en el futuro.
  4. Colabore de lleno con solicitudes de información válidas y sepa hasta qué punto debe proveer la información.
  5. Demuestre su compromiso con la protección de la información haciendo que sus prácticas de riesgo cibernéticas sean testeadas por un tercero independiente. Esto ayudará a construir confianza.

Cuando se trata de proteger su negocio para volverse inmune a un ciberataque o filtración, no existe un método universal. De todas formas, las empresas de tecnología pueden dar apoyo a su resistencia aplicando alguna o todas estas recomendaciones, siempre que adecúen sus acciones para que coincidan con su posición única y la de sus clientes.

Averigüe mas sobre el manejo del riesgo digital poniéndose en contacto con uno de nuestros consultores.