El 31 de diciembre de 2019, la Organización Mundial de la Salud recibió los primeros reportes de una enfermedad respiratoria. Nadie, por aquella época, se iba a imaginar que esto iba a marcar un punto de inflexión en la vida de todos los ciudadanos del mundo, y que estaban ante la primera gran pandemia de la posmodernidad.

El 26 de febrero de 2020, Brasil confirmó el primer infectado de Latinoamérica. El resto es historia: contagios, colapso sanitario, cuarentena y desazón. Los tratamientos no fueron (ni son) efectivos, la vacuna, única aparente esperanza, se demora más de lo previsto y el confinamiento se alarga transformando las semanas en meses.

Sin duda, la adaptación es algo inherente a la naturaleza humana, por lo que como antes y como siempre, nos adaptamos a la nueva realidad. Y la tecnología fue la punta de lanza de todos estos cambios. Hubo un boom de lo digital: las compras, los trámites, los turnos, los pedidos y el dinero. La gente que antes trabajaba en la oficina siguió laborando, pero desde la casa. Las reuniones se reemplazaron por «meetings«, y así, lentamente, la maquinaria volvió a trabajar. En este artículo, realizaremos una reflexión respecto a cómo este contexto cambió, aceleró y transformó la seguridad informática para actualizarse en este nuevo orden mundial, con foco en los procesos de gobierno, riesgo y cumplimiento.

La pandemia obligó a acelerar la adopción de tecnologías para el teletrabajo o trabajo remoto. Salvo contadas excepciones, lo que se priorizó fue la continuidad del negocio en lugar de la seguridad de los procesos. Esto dio lugar a un aumento de los ataques a entidades de gobierno y grandes empresas, que se hicieron públicos, lo que puso en evidencia la necesidad de mejorar la seguridad y, en muchos casos, de desarrollar procesos seguros donde antes no los había. Si no se contaba con un área o persona encargada de ello, hubo que definirla.

Creemos que estos aprendizajes, obtenidos de los golpes, van a quedar. Muchas empresas vieron que se puede seguir operando sin tener que obligar a las personas a que se trasladen a las oficinas, salvo los casos de quienes necesitan estar físicamente presentes por sus tareas específicas. Los procesos que se digitalizaron y aseguraron, como la facturación y los pagos electrónicos, no necesitan volver a su antiguo proceder.

Vemos necesario aumentar la concientización de los empleados en cuestiones de seguridad de la información y capacitarlos en las nuevas herramientas de trabajo. En cuanto a los gerentes, habrá que capacitarlos en una forma diferente de gobierno, que contemple no solo la seguridad de la información, sino también el manejo de equipos de trabajo a distancia. En este sentido, deberán desarrollar capacidades para mantener la motivación de los equipos, la realimentación de las tareas realizadas, el control de los procesos y la validación de los procedimientos definidos en esta nueva modalidad no presencial. Para ello es de suma utilidad apoyarnos en un marco de gobierno como puede ser COBIT, y definir métricas que nos permitan evaluar nuestro estado actual, así como el progreso en la gestión de la seguridad de la información.

La resistencia al cambio es grande, por lo que es necesario ir viendo cómo adaptarnos para mantener las empresas seguras y alineadas con los objetivos definidos por la alta gerencia.

Por otra parte, desde la gestión de riesgos, existen eventos conocidos como “cisnes negros” que rara vez ocurren, pero cuyo impacto genera consecuencias catastróficas. Este concepto fue popularizado por Nassim Nicholas Taleb en su libro The Black Swan: The Impact of the Highly Improbable, publicado en el año 2007. Un claro ejemplo es la pandemia de COVID-19 causante de la crisis financiera, sus efectos sobre la dirección, gestión y operación en todas las organizaciones y, de forma más amplia, de los cientos de miles de vidas humanas que ha cobrado.

Teniendo en cuenta la matriz de riesgos de CEOLEVEL, un evento de cisne negro genera, en el mejor de los casos, un riesgo inherente medio, el cual sería tratado para ser llevado hacia un riesgo residual bajo (dependiendo del apetito de riesgo de la alta dirección). Sin embargo, muchas veces estos cisnes negros son eventos desconocidos, lo que dificulta la planificación de estrategias de respuesta.

Enfocándonos en los riesgos de seguridad informática, antes de la pandemia encontramos muchas organizaciones que tenían un presupuesto inapropiadamente bajo, políticas desactualizadas o inexistentes, procesos nulos o poco difundidos, falta de apoyo de la alta dirección, carencia de un programa formal de seguridad y, en general, un nivel bajo de madurez en seguridad informática, que las hacía vulnerables ante ciberataques.

Por si lo anterior fuera poco, los riesgos de seguridad aumentaron drásticamente con la pandemia. Las organizaciones se vieron en la obligación de operar a través de conexiones remotas inseguras, comunicarse con sus clientes, proveedores y personal empleando plataformas poco fiables y asumir el riesgo de que sus empleados pudieran ser víctimas de ataques de ingeniería social. Del mismo modo, la crisis económica no favoreció la asignación de presupuesto para implementar controles que permitieran tratar los riesgos descritos previamente. En consecuencia, durante esta crisis, muchas organizaciones han sido víctimas de fugas de información confidencial, suplantación de identidad, secuestro de datos y compromiso de sus cuentas de correo electrónico, generando grandes pérdidas económicas y afectando su reputación.

Por lo tanto, la alta dirección ha incorporado una súbita conciencia sobre la seguridad de la información, que ha forzado la reevaluación de la matriz de riesgos de seguridad informática y la asignación de presupuesto para aplicar controles que permitan aumentar el nivel de madurez. En este momento muchas organizaciones imparten programas de concientización; se encuentran en el proceso de instaurar un programa formal de seguridad de la información con apoyo directivo del más alto nivel y establecen o mejoran sus procesos, estructuras de seguridad y gestión del riesgo. Del mismo modo, debido a la incertidumbre que generan estos cisnes negros, las organizaciones con un grado de madurez más alto se enfocan en aumentar su capacidad de resiliencia y anticipación a las amenazas para garantizar su continuidad.

En cuanto al cumplimiento, un tema sensible fue adaptar la operación a través de canales electrónicos, mediante pagos con tarjetas o transferencias bancarias. También hay quien ha optado por tercerizar las transacciones, utilizando el auge de las fintech y de las billeteras electrónicas. Lo que podemos notar fue una bancarización forzosa que nos obliga a controlar minuciosamente la seguridad de las transacciones. Las bases de datos de clientes se volvieron un botín preciado, por lo cual hubo que implementar los resguardos necesarios para protegerlas y para cifrar las comunicaciones.

En Argentina, la Ley de Teletrabajo no entró en vigor sino hasta abril de 2021. Para dar cumplimiento, hubo que revisar los contratos actuales de trabajo y rehacerlos en caso de ser necesario. La realidad muestra que, en el contexto actual, los horarios de trabajo deben ser programados con base en las necesidades de la familia lo cual requiere políticas flexibles en materia de permisos. Todo esto presenta un proceso complejo en el que deben interactuar varias gerencias en cada organización.

Otro desafío consistió en que se le ofreció al personal retirar y utilizar en sus hogares el equipo que usaban diariamente, lo cual requirió realizar copias de resguardo y reinstalar los equipos para que no pudieran, mediante algún tipo de vulnerabilidad, ser blancos de ataques por parte de ciberdelincuentes. Inicialmente, se flexibilizaron algunas políticas de control de aplicaciones, de actualizaciones y parches en los equipos del usuario. Con el transcurso de los meses, se ajustaron los controles y procedimientos para dar cumplimiento a las políticas internas.

Por lo mencionado, la función de cumplimiento tomó un carácter primordial para alinear y monitorear las tareas de las organizaciones. Ayudar a las distintas áreas a cumplir con las normativas internas y externas, adaptadas a esta nueva realidad, se torna fundamental para la continuidad del negocio y requiere un seguimiento de distintos indicadores para ajustar las estrategias y mejorar el desempeño.

Ante un mismo suceso, siempre podemos elegir ponernos del lado de quienes ven el vaso medio vacío o medio lleno. Somos optimistas por naturaleza, por lo que queremos cerrar este artículo con lo que consideramos positivo de este evento tan nefasto. Las personas, las empresas y los negocios tuvieron que adaptarse, y con la adaptación, aparece la evolución. Hay muchos cambios culturales que hubiesen llevado mucho más tiempo y esfuerzo implementarlos, y la nueva realidad hizo que se acelerara un recorrido que hubiese llevado años.

En lo concerniente a los beneficios laborales, sin duda las mejoras en las jornadas de trabajo se van a transformar en un derecho adquirido en la mayoría de los puestos, y aparecerá la opción de teletrabajo en muchos lugares donde no existía, con su implementación completa o mediante esquemas mixtos. Se mostró que no solo la productividad sigue igual, sino que también se ahorran muchos costos de traslado y locación.

Las tecnologías y las redes de telecomunicación han dado un salto cualitativo, mostrando que estaban a la altura de las circunstancias para soportar un boom de nuevos e intensivos usuarios. La gente abrazó las tecnologías colaborativas para trabajar, compartir y aprender. También, hubo una digitalización a la fuerza, que logró empujar cambios que de otra manera hubieran encontrado mucha resistencia de los sectores más conservadores, por ejemplo: facturas, recetas médicas y compras digitales. La inversión de TI en todas las empresas aumentó. Lo anterior ocasiona un presupuesto mucho más holgado para seguridad informática, ya que los riesgos, como vimos, aumentan, las superficies de ataque se hacen mayores y los controles deben mejorar.

Quizás, el sinsabor que nos queda es cómo evitar en un futuro que un nuevo suceso de este estilo nos tome desprevenidos. Es decir, ¿cómo nos preparamos para lo impensable? Y la respuesta que nos surge solo es una palabra: resiliencia. La sensación de tener todo controlado es una quimera.

El trabajo de gestión de riesgos es importante, ya que nos permite ordenar los riesgos y mitigarlos, pero sobre todo hacer el ejercicio de reflexión y evaluación interna. Sin embargo, la realidad es que es imposible predecir y estimar todos los problemas que pueden acontecer: hay que aceptar que no vamos a lograrlo. Por eso, es fundamental contar con una organización que sea flexible, que logre adaptarse a las nuevas realidades, una empresa resiliente que ante los problemas pueda volver a estar al 100% en el menor tiempo posible, que el cambio de realidad no la destruya, sino que le permita reconstruirse para volverse más robusta, y que haga de una crisis, hasta la más impensada, una oportunidad de crecimiento.

 

Ángel Adrián Addati ([email protected]), Juan Pablo Cusa ([email protected] ), Juan Felipe Torres Santamaría ([email protected] ), Walter Vaquero([email protected])[i]

 

Glosario

COBIT (Control Objectives for Information and Related Technologies, Objetivos de Control para Tecnología de Información y Tecnologías Relacionadas): es un marco de gobierno de TI, lanzado inicialmente en 1996 por ISACA, que ayuda a las empresas a desarrollar, organizar e implementar estrategias en torno a la gobernanza y la gestión de procesos de TI y de los recursos de la organización.

Matriz de riesgo CEOLEVEL: en esta matriz está por un lado el riesgo, y por otro, su probabilidad e impacto. El resultado de multiplicar PxI (Probabilidad x Impacto) será la clasificación global del riesgo. Se suele usar un código de colores para los riesgos, como el siguiente: verde (bajo), amarillo (medio) y rojo (alto). Debemos recordar que la “Matriz de Riesgo” es un documento que debe ser un reflejo de la realidad, por lo que tendrá que ser actualizada constantemente para que sea una herramienta útil.

 

[i] El presente artículo fue desarrollado por los autores a partir del informe final presentado para aprobación de la materia Gestión Estratégica de la Seguridad de la Información II, de la Maestría en Seguridad Informática de la Universidad de Buenos Aires, Argentina.