El verdadero papel de la ciberseguridad

Recientemente escribí sobre el tema del ciberriesgo, sobre cómo valorarlo de modo que se pudiesen tomar mejores decisiones relativas a las inversiones en ciberseguridad. De hecho, en esos artículos adelantaba y dejaba entrever una idea que hoy quiero desarrollar más en detalle aquí, porque igual pasó algo desapercibida, y que no es más que “la ciberseguridad no es un fin en sí misma”.

Fue, de hecho, en la tercera parte de esa serie de artículos, donde llegué a expresar un punto que es ciertamente polémico, pero no por ello menos cierto: “cuándo no invertir en ciberseguridad”; es decir, cuando hemos hecho lo que se considera un esfuerzo razonable para protegernos y más allá de eso estaríamos dejando de ser eficientes. Porque sí, queridos lectores, existe semejante punto y se puede llegar a calcular si hacemos bien nuestros deberes (si bien, como ya mencionaba en esa serie, requiere luego de un esfuerzo en recalcular periódicamente, ante un entorno tan cambiante, para asegurarnos que no nos estamos dejando nada).

Por más que nos duela, inicialmente, a los que hemos hecho de este campo nuestra pasión y profesión, en nada ayuda ponernos una venda y no querer ver la realidad: la ciberseguridad es una función accesoria, no crítica, una función de soporte al negocio, no el negocio en sí mismo (obviando, lógicamente, las empresas que se dediquen a la prestación de los servicios de ciberseguridad, se entiende). Es decir, no somos como los departamentos de operaciones, industrialización/producción o ventas de una empresa, cuyo aporte de valor va directamente a la generación de Negocio, sino que nos parecemos más a funciones de soporte, como la parte administrativa o finanzas. Por tanto, el gasto (que no inversión) en estos departamentos debe ser siempre lo más controlado y eficiente posible, pues el dinero que se destine a estos departamentos no retornará a la empresa mayores beneficios, mientras que ese dinero destinado a departamentos clave sí potenciará el negocio empresarial (al menos con mayor probabilidad).

Pensemos en un ejemplo real, que siempre ayudan a ilustrar mejor esto: pongamos el caso de un hotel. Su negocio es alojar clientes, proveer de servicios durante la estancia a cambio de una remuneración económica, luego sus áreas clave son los departamentos de atención al cliente, de ventas y de marketing para conseguir anunciarse en los medios adecuados y así atraer clientes; y los consiguientes departamentos que se encarguen de la cocina del hotel, la limpieza y toda la gerencia que luego cumpla con esas expectativas durante la estancia.

Y es en la prestación de estos servicios donde entra la necesidad de intercambiar datos con los clientes, de obtener y tratar datos como una tarjeta de crédito donde cobrar los gastos de la estancia, una dirección de correo electrónico donde mandar un justificante de reserva, un sistema donde poder almacenar su documento de identidad de forma segura una vez se persone en el hotel, etc. Es en la custodia y trato seguro de estos datos y otros generados en el transcurso del negocio donde entra la ciberseguridad, como función necesaria en estos procesos para garantizar que se pueden llevar a cabo con el cliente de forma segura.

¿Nos imaginamos qué sucedería si un cliente no se atreviera a reservar nuestras habitaciones online por miedo a un fraude digital? ¿O que, tras hacer uso de su tarjeta de crédito para pedir algo al servicio de habitaciones, ésta fuese usada de forma fraudulenta para otro tipo de compras? Sería un desastre para el negocio, no por la falta de ciberseguridad en sí misma, sino por no poder garantizar procesos críticos de negocio. Como ejemplo análogo, lo mismo sucedería sin poder presentar las declaraciones de impuestos obligatorias por no contar con un departamento de finanzas que haya podido consolidar el cierre del balance; la empresa sería obligada a retirarse del negocio por las autoridades hasta poder garantizar esas actividades y cuentas.

Esto, que puede resultar fácil de ver con estos ejemplos, os aseguro, lectores, que es una pelea constante en muchas empresas, con el área de ciberseguridad queriendo asumir mayores partidas presupuestarias sin un fin claro en mente o, peor aún, sin haber llegado a entender del todo el negocio y los procesos que están intentando proteger. Pero, afortunadamente, cada vez estamos viendo mejores profesionales que han asumido esta realidad, CISOs (Chief Information Securty Officer) que se sientan en los consejos de administración y hablan desde la perspectiva de Negocio, esforzándose en entender el negocio y haciendo suyas las estrategias empresariales, determinando la mejor manera de hacer útil su departamento en la consecución de los objetivos.

Porque, cuando los profesionales de seguridad asumimos nuestra función de apoyo (probablemente tras la tristeza inicial que, como ingenieros, nos suele dar no ser el centro de todo), nos convertimos en auténticas palancas de mejora empresarial, desplegamos nuestro verdadero potencial. Porque, en ese momento, somos capaces de solicitar presupuesto para acciones concretas que protegen los procesos de negocio claves en los puntos más vulnerables, manteniendo alejadas aquellas “utopías” o “proyectos definitivos” cuyo coste no suele verse recompensado en términos de negocio ni de protección.

Llegamos incluso al punto en el que, como sabemos que cada euro gastado en ciberseguridad es un euro menos para el negocio real, planteamos proyectos de optimización y automatización de procesos para ser más eficientes o proyectos para unificar herramientas de ciberseguridad e incurrir en menores costes de despliegue, entre otros. Ése es nuestro verdadero papel y la meta a la que debemos aspirar como profesionales y, vosotros, lectores, como profesionales o incluso directores de vuestras propias empresas, no deberíais exigir nunca menos de vuestros departamentos de seguridad.

Espero que el artículo de hoy os haya gustado y, como siempre, ¡nos vemos en el próximo!