Cuando hablamos de emprender una iniciativa, invariablemente debe tener un propósito específico y objetivo. Cuando hablamos de iniciativas relacionadas con la seguridad de la información, los propósitos deben definirse claramente desde un inicio; en la práctica estos pueden ser de diversa índole: muchas veces relacionados con el cumplimiento regulatorio, otras tantas para solventar posibles riesgos, como brechas de seguridad (explotadas o no) y, en algunos otros casos inclusive, el ofrecer la seguridad de información como un diferenciador de la competencia.

El propósito define los alcances de las iniciativas, y la claridad en estos se relaciona directamente con el éxito de aquellas. Según cifras del PMI (Project Management Institute), los proyectos que no entregaron el valor esperado representan 31% (de 3,234 proyectos evaluados alrededor del orbe), de aquí la relevancia de que los participantes cuenten con claridad respecto del propósito, el alcance y la definición de los objetivos, así como de que este alineamiento sea adoptado por la organización como parte fundamental de su crecimiento y para el logro de sus objetivos.

Resultados de los proyectos evaluados por el PMI en el periodo del estudio; la barra superior se refiere al porcentaje de proyectos exitosos, 69%. (REF. PMI Pulse of the profession, 9th Global Project Management Survey 2017).

Gráfica que muestra las principales problemáticas que inciden en los proyectos, donde se identifican en el recuadro rojo las áreas de oportunidad con mayor incidencia, las cuales están relacionadas con una correcta definición del propósito, alcance y objetivos. (REF. PMI Pulse of the profession, 9th Global Project Management Survey 2017).

Cumplimiento regulatorio

En general, el propósito debe quedar íntimamente relacionado a la visión/misión y, sea cualquiera de los procesos (formales o no) de planeación estratégica, los factores externos deben ser considerados para dar contexto y ubicación a las iniciativas que de ella emanan. En estos factores externos encontramos:

  • Las regulaciones que se aplican de manera general respecto a las garantías individuales de las personas, como aquellas específicas por el giro o mandato en el que se enfoca la organización. En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares es la que se encarga de garantizar el derecho que tienen los individuos a decidir respecto del manejo de su información personal, incluyendo a quién se le concede dicha información, para qué fines puede ser utilizada, cómo se debe resguardar, e inclusive cómo debe ser eliminada en caso de así requerirlo la persona, y los mecanismos para garantizar lo anterior.
  • Las leyes que regulan el uso de la información médica de las personas (Ley General de Salud y su reglamento).
  • Las regulaciones para la trazabilidad y autenticidad de las transacciones financieras emitidas por la CNBV (Comisión Nacional Bancaria y de Valores), Banco de México y algunas relacionadas con las prácticas para formar parte de los sistemas de pagos, como PCI-DSS (Payment Card Industry Data Security Standard).
  • El derecho de los ciudadanos a solicitar información pública, y su delicado balance respecto a la Ley Federal de Transparencia y Acceso a la Información Pública pues podría interpretarse equivocadamente en falta de alguna de las anteriores.

Riesgos externos

Continuando con el análisis del entorno para alinear propósitos y definir alcances, la madurez de las organizaciones respecto a su práctica de gestión de riesgos puede ser un importante diferenciador si se cuenta con un mecanismo maduro de identificación, evaluación, priorización y definición de tratamiento.

A este respecto se puede consultar la visión de analistas nacionales o internacionales: sin lugar a dudas el Foro Económico Mundial (WEF) es una referencia casi obligada. Si bien los resultados pueden ser considerados intuitivos, la profundidad del estudio muestra que los riesgos tecnológicos están al nivel de los considerados por el cambio climático, la afectación por la pérdida de la biodiversidad y los riesgos en los sistemas para la salud humana. Estos riesgos tecnológicos se agruparon para su análisis en los siguientes rubros:

  • Ciberataques
  • Fallas en la infraestructura de comunicaciones
  • Fraude o robo de información
  • Avances tecnológicos adversos

Esta imagen, en la sección superior derecha, muestra los riesgos percibidos como más significativos en términos de probabilidad e impacto (WEF, Global Risk Report 2020, Insight report 15th Ed. In partnership with Marsh & McLennan and Zurich Insurance Group).

La relevancia de estos riesgos radica en el nivel de conectividad requerido hoy en día para la vida cotidiana de las personas y organizaciones, pues nos hace estar naturalmente expuestos a las fallas masivas en los sistemas de comunicaciones y al robo de datos o fraude. Si bien los ciberataques dependerán de la superficie de ataque que está expuesta en redes de comunicaciones (ya sea personales o de las organizaciones), el volumen, complejidad y diversidad de medios con que hoy en día se perpetran ataques ocasionan que la probabilidad de ser víctima sea cada vez más preocupante.

Mas allá de estos riesgos percibidos, el reporte toma conceptos en evolución tan importantes como:

  1. La 4ª Revolución Industrial (4IR, por sus siglas en inglés).
  2. Los problemas geopolíticos derivados de que estas comunicaciones se manejen por estándares abiertos y autorregulados en los que no existen leyes o normas aplicables a todos los participantes.
  3. La tendencia a una posible fragmentación digital, entendiendo esta fragmentación como un intento de proteger a ciertos grupos de usuarios mediante redes de comunicación diferenciadas, definidas a nivel internacional por grupos de interés particulares.
  4. Las implicaciones sociales de la segregación cada vez más notoria entre los participantes del espacio cibernético y de aquellos que por situaciones sociodemográficas se encuentran aislados.

En esta gráfica se recogen los intereses económicos que empujan a que estos riesgos sigan latentes y en continuo crecimiento. (WEF, Global Risk Report 2020, Insight report 15th Ed. In partnership with Marsh & McLennan and Zurich Insurance Group).

 

Ventajas competitivas

Si bien contar con una estrategia basada en iniciativas de ciberseguridad atiende los riesgos y la normativa, también es importante considerar que puede ser un diferenciador para los ciudadanos o consumidores. Hoy nadie debería ser ajeno a sus vulnerabilidades por desconocimiento o falta de medios, pero el que las organizaciones tomen un rol de protección genera fidelidad y tranquilidad para los usuarios; esto ha sido muy claro en las entidades financieras que han tomado este enfoque, pero evidentemente no es el único sector que puede tomar provecho de este planteamiento.

Utilizar la ciberseguridad como una ventaja de la oferta de las organizaciones implica que la estrategia e iniciativas estén bien establecidas, ejecutadas y que sean consistentes con lo que se propone y lo que el cliente percibe que se hace. La comunicación con el cliente es clave en este tipo de iniciativas, por la concientización, por su participación durante todo el ciclo del killchain durante un evento o ataque, y por las consecuencias o reparación de los daños a la que pudiera tener derecho.

 

Las razones para implementar una estrategia de ciberseguridad pueden ser de muchas índoles, pero las más comunes son: enfoque de cumplimiento normativo, enfoque de riesgos tecnológicos y enfoque de ventaja competitiva. Es indispensable que se encuentre bien informado en cómo estos aspectos afectan y orientan su vida personal y la de su organización para mantenerla vigente en sus objetivos. Para conseguirlo, un buen consejo sería iniciar con la revisión del reporte de riesgos globales que actualiza anualmente el Foro Económico Mundial. (https://www.weforum.org/reports/the-global-risks-report-2020 ).

Si usted a nivel personal u organizacional no cuenta con una clara iniciativa de ciberseguridad, o bien cuenta con una, pero busca garantizar su correcto alineamiento, el presente artículo puede ayudarle a argumentar la urgencia y a aportar la relevancia suficiente, así como información apropiada para el planteamiento de sus propósitos que pueden guiar su estrategia o la evolución de ella.

 

[email protected]

 

Referencias:

  1. PMI Pulse of the profession, 9th Global Project Management Survey 2017).
  2. PMI Pulse of the profession, 9th Global Project Management Survey 2017).
  3. WEF Global Risk Report 2020, Insight report 15th Ed. in partnership with Marsh & McLennan and Zurich Insurance Group.
  4. https://www.weforum.org/reports/the-global-risks-report-2020