Estamos viviendo la mayor aceleración tecnológica de las últimas décadas. Las empresas deben adaptarse para subirse a este tren y los trabajadores formarse en nuevas habilidades para estar preparados y convivir con procesos automatizados
¿Cuáles crees que son los principales retos a los que se enfrentan las organizaciones o el territorio en esa materia?
Estamos viviendo una época de grandes cambios a nivel operativo, donde las empresas se han tenido que adaptar a nuevas formas de trabajo que los ciberdelincuentes están aprovechando.
Un ejemplo es la pandemia COVID que estamos viviendo en la actualidad, pues nos ha obligado a implantar teletrabajo a marchas forzadas y en que en muchos casos las empresas no estaban preparadas, bien por no disponer de herramientas que permita ofrecer este servicio con garantías o por no tener procesos suficientemente digitalizados.
Además, muchas compañías están en pleno proceso de revisión de sus procesos, viviendo una transformación digital para ganar competitividad y mejorar productividad, ocasionando muchos cambios internos a nivel operativo, formativo, de integración entre departamentos, interlocución con stakeholders, etc.
Estos escenarios de cambio, que requieren de mucho esfuerzo en las compañías, es la antesala perfecta para ciberdelincuentes, que conocedores de esta situación, pueden dirigir mejor los ataques comprometiendo así la seguridad digital de las empresas.
Algunos de los principales retos a los que nos enfrentamos los profesionales TIC en los próximos años son los mencionados a continuación:
- Continuidad del negocio. Es imperativo asegurar que la organización sea capaz de seguir operando durante las circunstancias más difíciles e inesperadas, siempre protegiendo a los empleados, manteniendo su reputación y proporcionando la capacidad de continuar operando.
- Cumplimiento Normativo. Las empresas necesitan buscar el equilibrio entre el cumplimiento y la seguridad de la información, con un presupuesto justificado en las amenazas y riesgos a la organización. Además, debe estar alineado con los objetivos de negocio, no sólo para cumplir las regulaciones. Para ello las organizaciones deben basarse más en marcos de seguridad que en ordenes regulatorias y de este modo, implementar controles y apoyarse en tecnología de seguridad que faciliten este cumplimiento.
- Adaptación a nuevos modelos de trabajo. Con la llegada de nuevas formas de trabajo, accesos multidispositivo, deslocalización de puestos, alojamiento de servicios en la nube, diferentes métodos de acceso a la información, etc. Las empresas deben adaptarse y reforzar e incrementar las medidas de seguridad para estos nuevos escenarios. Hay que adaptar y fortalecer las medidas de seguridad existentes para garantizar la continuidad de negocio. Debido a que hay mayor exposición al exterior aumentan las preocupaciones sobre las medidas de seguridad implantadas en la empresa. Con el teletrabajo aparecen nuevos desafíos en la gestión y gobierno TI: proveer de servicios de acceso remoto seguro de los empleados para realizar “Home Office”, dotar de seguridad a las redes de acceso y puestos finales, controlar el “shadow-IT” (uso de aplicaciones no corporativas en equipos corporativos) para no comprometer la seguridad de la empresa, etc. Los profesionales TIC deben proveer de soluciones robustas a la empresa para cubrir estas necesidades dotándolas de seguridad, ello obliga a estar en continua formación y vigilancia tecnológica.
- Fortalecer defensa ante el aumento de ataques: Desde el inicio de la pandemia COVID ha habido un aumento significativo de ataques: phishing, sitios web maliciosos, malware, ransomware, sistemas de pago… Requiere focalizar esfuerzos internos para sensibilizar y formar a los empleados de la compañía, revisar medidas de seguridad y planes de contingencia para estar preparados ante posibles e inesperados ataques.
- Prevenir fugas de información: Las consecuencias operativas y financieras de una pérdida de datos sensibles para una empresa dependen de variables como: el tiempo de detección de la fuga, el tipo y la cantidad de información robada, la competencia del equipo de respuesta a incidentes y la reacción hacia el público. Es importante trabajar en la prevención, disponer de un plan de seguridad, personal cualificado y controles adecuados. En su defecto, las compañías estarían expuestas a: pérdidas económicas por multas o compensación a clientes/proveedores, pérdida de información crítica o sensible, violación de la confidencialidad y propiedad intelectual, pérdida de prestigio y competitividad, costes en análisis forense e investigación, etc.
¿Cómo enfoca tu organización este asunto y qué logros o retos consideráis más importantes?
Como muchas empresas del sector público y privado, en COGERSA estamos viviendo un proceso de transformación digital, comenzando por aquellos procesos que tenían una gestión más manual o tradicional y que ya comenzaban a presentar dificultades en la operativa diaria o que la explotación de la información registrada empezaba a ser muy laboriosa.
Además, en esta línea, dentro de nuestro “Plan de digitalización” están contemplados otros proyectos fuertes que se llevarán a cabo en los próximos años. Nos ayudarán a tener una mayor integración entre los procesos, a obtener la información en menor tiempo y a incrementar la productividad.
También estamos muy sensibilizados con la ciberseguridad. En esta materia, suelo decir que estamos en una implantación continua, muy pendientes de las herramientas y servicios que ofrece el mercado para analizar aquellos sistemas que pueden ofrecernos una mejora sustancial a nuestra infraestructura de seguridad.
Referente a ciberseguridad, estamos muy satisfechos con un proyecto realizado en estos dos últimos años, focalizado en fortalecer la infraestructura de seguridad y dotándola de nuevos servicios de accesibilidad segura para proveer a las diferentes ubicaciones externas de COGERSA de todos los aplicativos de gestión corporativa. Este proyecto, nos ha venido muy bien en tiempos de pandemia, porque nos ha dado mucha flexibilidad para poder ofrecer teletrabajo a todos los empleados y acceder a las aplicaciones corporativas con diferentes dispositivos y autenticación segura.
Comentarios o citas de noticias, estudios, artículos de otros expertos, etc. relevantes en la materia y de interés para ti.
Como referentes nacional y europeo y especifico en materia de seguridad, estamos muy pendientes de las noticias y actualizaciones que publica el Instituto Nacional de Ciberseguridad (INCIBE) y la Agencia de la Unión Europea para la Ciberseguridad (ENISA). Allí puedes encontrar desde información actualizada con las últimas técnicas utilizadas en ciberataques hasta formación o eventos relacionados con ciberseguridad. Son buenas fuentes de información y son de gran ayuda.
Haciendo alusión a entrevistas que he visto últimamente por la red, me han gustado y por tanto recomiendo dos charlas muy interesantes publicadas a través del medio de difusión TEDx, una es de Bruce Schneier, experto en ciberseguridad, titulada “El espejismo de la seguridad”.
Y otra de Mikko Hyppönen, experto en seguridad y conocido por la denominada “Ley Hyppönen”, que establece que todo dispositivo “inteligente” está expuesto y por tanto es vulnerable. En este caso la ponencia también está difundida a través de TEDx y se titula “Luchando contra virus, defendiendo Internet”
La opinión de nuestros expertos
Carlos García Prado es Responsable de Tecnologías de la Información y Comunicaciones nuestro Grupo de Trabajo de CIOS
Con más de 12 años de experiencia en el sector TIC, es Ingeniero Informático por la Universidad de Oviedo y MBA por la Universidad Politécnica de Madrid. En la actualidad desempeña la función de “Responsable de Tecnologías de la Información y Comunicaciones” en COGERSA, liderando los proyectos tecnológicos de la compañía focalizados en la transformación digital del sector medioambiental y gestión de residuos.