SEGURIDAD Y DEFENSA

Actualmente, para evitar y reducir riesgos y mejorar la seguridad, la concienciación debe impregnar toda una nueva cultura en las organizaciones.

Un reto cultural digital basado en el talento y la tecnología como los nuevos  pilares de las organizaciones digitales. Una necesaria transformación digital basada en la digitalización transversal, la tecnología y la conciliación con control de la privacidad y la seguridad.

Nueva normalidad. Liderar la transformación

Liderar la transformación digital, capitalizar la analítica de datos y colaborar más con la organización encabezará la lista de prioridades en las entidades con gran impulso para mejorar las capacidades de análisis de datos.

Como recomienda la consultora estadounidense Gartner debemos "practicar la influencia, no la coacción", limitando el número de batallas que los líderes de seguridad decidan librar y buscando formas de aplicar sus limitados recursos allí donde sean más beneficiosos para la reducción y la gestión del riesgo.

Así, la digitalización, la automatización y la seguridad son claves en la “nueva normalidad". El mundo ha cambiado por completo con una pandemia, que ha acelerado el proceso de digitalización y ahora, es clave para las organizaciones, disponer de una fuerza de trabajo que esté protegida en su gestión en cualquier lugar y dispositivo.

La pandemia ha obligado a empresas y administraciones a adaptarse aceleradamente a un mundo digital y a distancia donde la transformación de las organizaciones implica una combinación de cuatro prioridades estratégicas: reinventar las aplicaciones, proteger la información, automatizar la infraestructura y su gestión y facilitar el trabajo colaborativo, todo sobre la base de la seguridad.

Las empresas y administraciones deberán reforzar su capacidad de resiliencia y acelerar su transformación digital, y en este año se pondrán en marcha un gran número de iniciativas basadas en la tecnología y la gestión.

Una de las tecnologías estrella será sin duda lo que Gartner ha denominado SASE (Secure Access Service Edge), que es la combinación de la red y la seguridad en la nueva era “multicloud”.

Transformación digital. Definiciones, retos y claves

Lo primero hemos de tener claro qué es exactamente la transformación digital, cuáles son sus retos y claves para el éxito.

Transformar digitalmente una organización significa saber elegir qué herramientas tecnológicas y de gestión serán la guía para este fundamental cambio.

Inicialmente, hemos de ver en qué punto tecnológico está la organización y cómo esas herramientas las podemos utilizar para mejorar nuestra actividad, incluso para reinventarnos.

Una cuestión por resolver para la adecuada transformación, es saber analizar hasta qué punto nuestra organización es capaz de entender la necesidad del cambio y adoptar la tecnología para esta nueva etapa. Transformarse también implica asumir que la organización debe estar preparada para el cambio permanente.

Uno de los retos más importantes es saber entender, no sólo en qué punto estamos, sino cómo vamos a ir evolucionando con la implementación de la tecnología con velocidad e incertidumbre.

Igualmente, hemos de entender la diferencia entre digitalizar documentación y digitalizar una actividad u organización.

Podemos definir la digitalización como el proceso de conversión de flujos analógicos individuales de información en bits digitales. Por el contrario, nos referimos a la digitalización de una actividad u organización como la forma en que ésta se reestructura en torno a la comunicación digital y las infraestructuras de los medios digitales.

Para conseguir estos objetivos de transformación digital y digitalización, hemos de apoyarnos en seis grandes claves: Elevada capacidad de proceso (Cloud Computing); Alta posibilidad de análisis de datos (Big Data); Nuevos procesos de gestión integral y simplificados; Adecuación de la experiencia al cambio; Multicanal y glocalización; Seguridad (prevención + protección).

Digitalización: datos, información, conocimiento

En plena era digital y en la denominada cuarta revolución industrial, los datos están ocupando una posición cada vez más relevante en la toma de decisiones.

Uno de los ámbitos donde están tomando mayor importancia es en el empresarial, donde diferentes herramientas se utilizan para transformar esos datos en información y ésta en conocimiento. Este conocimiento permite mejorar la toma de decisiones y realizar acciones como segmentación de clientes, optimización de la producción o desarrollo de nuevos productos y servicios y su incorporación al mercado.

En este sentido, a medida que las empresas aumentan su digitalización, se encuentran con la necesidad de administrar conjuntos de datos e información cada vez más grandes y que incluyen datos críticos y sensibles sobre personas y sobre la organización y sus actividades, siendo un objetivo especial su protección.
  La digitalización de los datos supone un avance y un cambio en los sistemas de gestión del riesgo y las seguridades. Y es que permite tomar decisiones y definir acciones preventivas alejadas de los métodos tradicionales, basados en técnicas reactivas donde las medidas correctivas se toman después de incidencias o fallos en la prevención.

Hay que definir un nuevo marco ante la contingencia e intervención, sobre la base de la implementación de medidas proactivas que se anticipen a posibles contingencias a través del análisis de tendencias y detección de áreas de mejora.

Llegados a este punto, es obvio preguntarse qué valor pueden aportar las técnicas de análisis de datos al mundo de la prevención. Partiendo de la base de que estas estrategias sirven para recopilar, analizar y visualizar información, los principales beneficios de su implantación son: Combinar el análisis de datos internos con información de fuentes externas; Permitir un análisis multidimensional mejorando el análisis de causas; Realizar control y seguimiento de los datos e indicadores establecidos; Transformar y tratar la información de forma que permita un análisis predictivo; Visualizar toda esta información de una manera gráfica e interactiva.

Para ello, una vez seleccionados los datos hay que tener en cuenta, que por sí solos no aportan valor, se deben transformar en información clasificada y analizada para que se conviertan en conocimiento.

Como estamos hablando de la seguridad de los datos personales y empresariales y no debemos de dejar de pensar en qué consecuencias extremas pueden traer esas "carencias o insuficiencias de las soluciones adoptadas", no podemos adoptar una posición de "ignorante legis non excusat", es decir, que la ignorancia de la ley no excusa de su cumplimiento, los principios de concienciación y responsabilidad nos exige unas garantías de seguridad.

Digitalización para la gestión

Son varias las líneas de actuación sobre las que hemos de trabajar enmarcadas en las claves de liderazgo, análisis, supervisión y capacitación, y las tecnologías de la información nos ayudarán a gestionar y analizar la información para la mejora continua.

La digitalización no puede plantearse como una mera eliminación del papel o un repositorio documental que evidencie el cumplimiento de esta irreversible e importante obligación ante la sociedad y la “nueva normalidad”, sino que es una herramienta para facilitar y mejorar la gestión de la información con seguridad.

Debemos trabajar sobre las premisas de que, desde los departamentos de seguridad no sólo evidenciamos, documentamos y controlamos, sino que investigamos, analizamos y prevenimos. La tecnología debe optimizar nuestro tiempo, permitir simplificar las tareas de análisis y facilitar la toma de decisiones con seguridad.

Así, en la era de las tecnologías 4.0, abordamos una nueva transformación digital aplicada a la seguridad que nos permitirá optimizar nuestra gestión del riesgo, profundizar en el análisis de datos e integrar la información de todas nuestras operaciones permitiendo visualizar, controlar y analizar mejor lo que acontece para adoptar soluciones rápidas que minimicen la exposición al riesgo de los trabajadores y activos de la organización.

Digitalización de las organizaciones

Digitalizar forma parte del proceso de transformación, como se ha comentado. Una organización que se digitalice no necesariamente se acaba transformando.

Pero, una empresa que empieza a digitalizar y optimizar sus procesos primero reducirá costes, pero además al digitalizar obtendrá información que antes no veía ni tenía acceso. Y ahí está una de las claves de la transformación digital.

Si la organización está preparada para saber usar esta tecnología y sabe qué hacer con esa información tendrá muchas más posibilidades para saber qué puede o debe cambiar o qué nuevas oportunidades tiene a su alcance.

En definitiva habrá nueva información que permitirá tomar decisiones en función de los objetivos de la entidad. Por lo tanto, la digitalización es un paso previo a la transformación. Y digitalizar no implica transformar una organización, situación que se inicia por las personas y la tecnología y será nuestro medio para llegar a los objetivos. Si nuestra organización no está preparada para el cambio organizativo y cómo adecuarse a las nuevas tecnologías que formarán parte de este proceso, no habrá transformación.

En este sentido, y en la mayoría de los casos, para cumplir con las nuevas expectativas del cliente, las entidades deben acelerar la digitalización tanto de su información como de sus procesos de gestión. Deben reinventar todo el proceso como la: Reducción de la cantidad de pasos requeridos; Reducción de los documentos necesarios; Desarrollo de una toma de decisiones automatizada; Tratamiento de problemas regulatorios y de fraude; Garantía de la seguridad de la información.

Para ello será necesario rediseñar los modelos operativos, las habilidades, las estructuras organizativas y los roles de forma que coincidan con los procesos reinventados. Los modelos de análisis de datos también deben ajustarse y reconstruirse para permitir una mejor toma de decisiones, seguimiento del rendimiento y perspectivas del cliente.

La transformación digital se presentó como uno de los puntos prioritarios en la agenda de los directores de sistemas y seguridad ya en 2017, según el Wall Street Journal.

Claves para la Gestión del Riesgo y las Seguridades

Es imprescindible actualizar la seguridad informática y de los datos para aumentar la protección y resiliencia de las organizaciones.

Para comenzar un programa de digitalización de una organización ha de tenerse muy en cuenta la seguridad corporativa, independientemente de la actividad a la que se dedique.

La pandemia de la COVID-19, con la consiguiente implementación precipitada del teletrabajo, ha potenciado esta tendencia: la digitalización y sus riesgos. El mundo se ha trasladado al entorno digital y los ataques se han incrementado. Las oficinas eran entornos más o menos seguros y controlados, pero nos hemos instalado en nuestros hogares y, en general, este tipo de entornos presenta más vulnerabilidades.

El rápido traslado del trabajo presencial en las oficinas al trabajo a distancia, combinado con una ola de hackers oportunistas, creó un aumento del 200% en los incidentes de phishing en el año 2020 y un nuevo enfoque urgente en la protección de las redes y los sistemas, según el Centro de Denuncias de Delitos en Internet del FBI.

Pero, la digitalización de los datos supone un avance y un cambio en los sistemas de Gestión del Riesgo y las Seguridades. Entre otros aspectos, permite definir un nuevo marco de intervención sustentado en la implementación de medidas proactivas que se anticipen a posibles incidencias a través del análisis de tendencias y detección de áreas mejoradas.

La sobrecarga de información y la incapacidad para su análisis, especialmente en el ámbito de las seguridades, genera cierto inmovilismo en las organizaciones y una pérdida del enfoque real preventivo, así como una falsa sensación de “seguridad”.
  Así, tan importante como el análisis de los datos es medir la consecución de los objetivos marcados, para lo que es preciso definir los indicadores necesarios para el adecuado control.

Será de gran ayuda diseñar un Cuadro de Mandos que contenga, además de los  indicadores de siniestralidad, indicadores del conjunto de la organización aportados por diferentes departamentos. O lo que es lo mismo, establecer un “Cuadro de Mandos de Gestión Integral del Riesgo y las Seguridades”.

Cada organización definirá qué indicadores y relación entre ellos serán importantes a la hora de medir el desempeño en las áreas de prevención, protección e intervención, así como el éxito del análisis de datos.

Ciberseguridad protagonista

Con todo lo anteriormente expuesto, es fácil deducir el irreversible protagonismo de la ciberseguridad en este proceso de digitalización y transformación digital.

Los directores de seguridad y gestión del riesgo se enfrentan a dos grandes retos en 2021, según la consultora Gartner. La aceleración del negocio digital está incrementando las inversiones en ciberseguridad previstas, y la demanda de habilidades de ciberseguridad ya supera la disponibilidad. Las nuevas iniciativas digitales implican que las organizaciones dispongan de más recursos en ciberseguridad con nuevos y diferentes conjuntos de habilidades.

Los efectos globales de la COVID-19, sus incertidumbre e inseguridades, ha llevado la ciberseguridad a los comités de dirección. Frente a este auge de las amenazas, y significación de los riesgos y vulnerabilidades, la mejor respuesta es instaurar una cultura de ciberseguridad en toda la organización, y para ello, la concienciación debe empezar por la alta dirección.

En este sentido, lo primero que hay que tener en cuenta es que la ciberseguridad no proviene de un componente de un dispositivo individual o red de comunicación, sino que es el resultado de un proceso que comienza con las fases de diseño (seguridad por diseño) y continúa durante toda la vida operativa de ese dispositivo por parte del fabricante y el ecosistema existente que afecta al usuario final.
  Todo ello, sin olvidar que la ciberseguridad requiere un enfoque integral e integrado, con la implicación y responsabilidad de todos los actores de la cadena operativa, desde los fabricantes de los dispositivos hasta el usuario final, pasando por todos los demás implicados en el ecosistema operativo.

Nadie está exento de responsabilidad, especialmente los comprometidos en la gestión del riesgo y las seguridades ya sea en una organización pública o privada.

Finalmente, hay que tener en cuenta el programa de cumplimiento pues, prácticamente todo está especialmente regulado por las normas internacionales y las leyes nacionales en vigor durante años, ahora actualizadas no sólo en aspectos cualitativos de los sistemas y procedimientos, sino que también identifican a quienes tienen la responsabilidad de implementarlos estableciendo sanciones que afectan, no tanto a la mera violación de requisitos sino, más bien, a la posible insuficiencia de las soluciones adoptadas para la seguridad de los datos e información.

Integración de la prevención

Desde la perspectiva que se acaba de describir, la prevención en la gestión del riesgo y las seguridades se convierte, en la transformación digital, en una disciplina transversal presente en la mayoría de las áreas y actividades de las organizaciones, demandando respuesta a la integración preventiva a través de una colaboración bidireccional entre la dirección de seguridad y el resto de los departamentos.

Desde esta perspectiva proactiva, la prevención contribuye no solo a la disminución del riesgo y de la siniestralidad, sino que también se presenta como un área productiva dado que permite, entre otros aspectos: colaborar en el incremento de la productividad mejorando procesos operativos; Aumentar el bienestar laboral y la mejora de la reputación permitiendo la retención y atracción del talento; Reducir costes derivados de sanciones, aseguradoras, etc.; y mejorar la satisfacción de clientes al aumentar la calidad de los productos y servicios ofrecidos.

Un Plan Económico donde la gestión y el desarrollo de los fondos europeos de recuperación Next Generation UE, que suponen para España la recepción de 140.000 millones de euros en transferencias y créditos en el período 2021-2026, donde unas de las más importantes áreas de inversión a desarrollar en la primera fase, corresponden al Plan de Digitalización de Pymes, con más de 4.060 millones de euros; la Hoja de Ruta del 5G, con casi 4.000 millones de euros; y la Nueva Política Industrial España 2030.

Igualmente, 2021 será un año de adaptación de las estrategias de ciberseguridad a la “nueva normalidad”.

Para todo ello, uno de los aspectos más importantes a tener en cuenta son las nuevas exigencias y necesidades de establecer nuevas plataformas de gestión integral.

Gestión del Riesgo y las Seguridades

Para avanzar en el Plan de Recuperación hacia la “nueva normalidad”, la Gestión Integral del Riesgo y las Seguridades serán clave.

La Gestión Integral del Riesgo y las Seguridades es un proceso que comprende varias etapas. Comienza analizando o auditando la realidad actual de nuestras organizaciones y estableciendo los objetivos y las estrategias de seguridad y desarrollo de la política corporativa de autoprotección. Como parte de esta política de seguridad corporativa está la creación de una estructura organizativa apropiada para asegurar que los objetivos definidos se pueden alcanzar. Esto es de aplicación tanto a organizaciones importantes, como a las Pymes que son las que más han sufrido los efectos de la actual pandemia.

Para ello se requiere el desarrollo y despliegue de un Modelo para la Gestión Integral del Riesgo y las Seguridades (prevención + protección) basado en una metodología de planificación, desarrollo y gestión y que sea de aplicación específica a cada organización.

Un modelo Integrado, que contemple el catálogo de riesgos más amplio y transversal, con flujos de información interdepartamentales y sostenible de seguridad, con el objetivo de proporcionar una serie de herramientas y soluciones en sus diferentes posibilidades, en forma de aplicaciones tanto documentales como procedimentales.

Un Modelo de Recursos Integrales e Integrados, con el objetivo de que las organizaciones sean más seguras y resilientes, proyectando una mayor sostenibilidad y viabilidad económica.

Este Modelo de Gestión Integral del Riesgo y las Seguridades, presentará el esquema de contenido siguiente:
 

Plan de Seguridad

El Plan de Seguridad se diseña para garantizar que se ha establecido de forma correcta el contexto y el alcance de la gestión del riesgo y las seguridades, que se han identificado y evaluado todos los riesgos, amenazas y vulnerabilidades y que se han desarrollado estrategias y operativas apropiadas para el tratamiento de todo ello.
 

El Plan de Seguridad debe incluir tanto una estrategia proactiva como una reactiva. Una estrategia proactiva de prevención que comprende el conjunto de protocolos que ayudarán a minimizar los puntos vulnerables de los activos. Una estrategia reactiva como herramienta de corrección que comprende aquellas medidas orientadas a reducir los daños ocasionados una vez que se ha producido un ataque o incidente.

Para todo ello, se precisará establecer, dentro del Plan de Seguridad, los correspondientes a contingencias, recuperación, resiliencia y continuidad, donde la Información y los sistemas e instalaciones que lo sustentan, son en la actualidad un activo fundamental para toda organización.

Sin duda, en la implementación del Plan de Seguridad y la Gestión Integral del Riesgo y las Seguridades, la formación permanente es un aspecto clave y se encuentra en el punto de mira de las organizaciones.

Resiliencia. El factor humano

En general las organizaciones tendrán que pasar por un proceso de adaptación hacia lo que se ha llamado “la nueva normalidad” que básicamente consiste en la reestructuración del trabajo como lo conocíamos y en abrir paso a un sistema de proactividad, que en un futuro si enfrentamos nuevas situaciones que nos obliguen a confinarnos, estemos preparados ante cualquier adversidad con garantías de seguridad para las organizaciones y las personas.

No hay vuelta atrás. La gran aceleración en el uso de la tecnología, la digitalización y nuevas formas de trabajo se va a establecer basadas en la gestión integral del riesgo y las seguridades.

Así, 2021 será el año de la transición. Salvo catástrofes inesperadas, las personas, las empresas y la sociedad pueden comenzar a mirar hacia adelante para dar forma a su futuro en lugar de simplemente vivir un presente lleno de incertidumbres donde identificamos algunas de las tendencias que darán forma a la próxima normalidad que afectarán a la dirección de la economía global, al necesario ajuste, e incluso a la reinvención de las empresas y a los cambios para siempre en la sociedad, como resultado de la crisis de la COVID-19.

Las empresas y organizaciones han pasado gran parte del pasado año luchando por adaptarse a circunstancias extraordinarias y la crisis ha desatado una ola de innovación y lanzado una nueva generación de emprendedores.

Platón tenía razón: la necesidad es de hecho la madre de la invención.

El año 2021 será, sin duda, un año de adaptación y de reinvención pero no sin nuevas estrategias de seguridad y ciberseguridad para la ‘nueva normalidad’.

Objetivos de Recuperación, Transformación y Resiliencia

La batalla contra la pandemia de la COVID-19 aún no está ganada, pero con una vacunación en pleno proceso, aunque con algunas olas de contagios a la vista, hay al menos una luz más visible al final del túnel, junto con la esperanza de que otro desastre no se precipite hacia nosotros.
 
El camino hacia la nueva normalidad ha de hacerse con toda la seguridad. Los objetivos, estrategias y políticas han de garantizarse con rigurosas medidas de prevención y protección, especialmente para las organizaciones y los ciudadanos.

El primer paso en todo el complejo proceso será determinar cual es el nivel de riesgo aceptable para las organizaciones y los ciudadanos y de aquí cuáles deben ser los niveles apropiados de seguridad.

Unos niveles de seguridad que, como mínimo, debe incluir: una evaluación del riesgo residual aceptado después de implementar las salvaguardas determinadas; una identificación y definición de las acciones que se han a tomar, con sus prioridades, para implementar las correspondientes seguridades; una estimación de los recursos y los costes asociados; y un plan detallado de implementación de los medios y medidas de seguridad.

Inversiones prioritarias

Dentro del Plan de las principales inversiones programadas que se van a desarrollar en la primera fase, cabe destacar algunas más relevantes para la implementación de las nuevas seguridades como: el Plan de Digitalización, especialmente de Pymes, dotado con más de 4.000 millones de euros; la Hoja de Ruta del 5G, con casi 4.000 millones de euros; y Nueva Política Industrial España 2030.

Durante la crisis de la COVID-19, un área que ha experimentado un gran crecimiento ha sido la digitalización en todo, es decir, desde el servicio al cliente en línea hasta el trabajo remoto, la reinvención de la cadena de suministro, la logística, el uso de inteligencia artificial (IA), la formación online, hasta el aprendizaje automático para mejora de las operaciones.

La gestión sanitaria y la atención de la salud también han cambiado de manera sustancial con la teleasistencia y la implementación de otros procesos que han venido para quedarse.

Así, las mejoras de productividad habilitadas digitalmente han acelerado la llamada Cuarta Revolución Industrial.

No hay vuelta atrás. La gran aceleración en el uso de la tecnología, la digitalización y las nuevas modalidades de trabajo se van a mantener en gran medida.

En definitiva, con la crisis de la COVID-19 no solo se ha acelerado esa transición en áreas como la inteligencia artificial y la digitalización sino que se ha adelantado la transformación digital por varios años. Una encuesta de McKinsey publicada en octubre de 2020, detectó que las empresas tienen tres veces más probabilidades que antes de la crisis de realizar, al menos, el 80 por ciento de sus interacciones con los clientes de forma digital.

Fondos de recuperación europeos

El plan diseñado por el Gobierno de España para la gestión y el desarrollo de los fondos europeos de recuperación Next Generation UE y que suponen para España la recepción de 140.000 millones de euros en transferencias y créditos en el período 2021-2026 son, sin duda, un necesario y buen aliciente para la recuperación y transformación de nuestro tejido productivo y social.

En este sentido, hay que animar y motivar a esa nueva ola de innovación y generación de emprendedores para provocar la presentación de proyectos de valor añadido, especialmente en I+D+I, que cumplan los requisitos para la adjudicación de esos especiales fondos para la recuperación y la transformación empresarial y social.

La crisis de la COVID-19 ha creado un imperativo para que las empresas reconfiguren sus operaciones y una oportunidad para transformarlas. En la medida en que lo hagan, vendrá la recuperación del empleo seguirá una mayor productividad.

Para la eficaz gestión de estos especiales fondos europeos para la recuperación, no solo es importante el análisis riguroso de los proyectos objetivo de estas ayudas, sino la especial concienciación e innovación en el planteamiento de las organizaciones implicadas.

Gestión del Riesgo y las Seguridades

Como se ha dicho anteriormente, la Gestión del Riesgo y las Seguridades será la clave.

La Gestión del Riesgo y las Seguridades es un proceso que comprende varias etapas. Comienza analizando o auditando la realidad actual de nuestras organizaciones y estableciendo los objetivos y las estrategias de seguridad y desarrollo de la política corporativa de seguridad. Como parte de esta política de seguridad corporativa está la creación de una estructura organizativa apropiada para asegurar que los objetivos definidos se pueden alcanzar. Esto es de aplicación tanto a organizaciones importantes como a las Pymes que son las que más han sufrido los efectos de la actual pandemia.
 
Las amenazas relacionadas con la pandemia, así como los efectos de la COVID-19 seguirán muy presentes en 2021, aunque su impacto variará según avance el año. Sin embargo, las organizaciones necesitarán seguir estando preparadas para una serie de ‘próximas anormalidades’, para lo que proteger a las personas, las redes, los entornos cloud, las aplicaciones y la información es crucial.

Para ello, es clave reforzar la prevención de los riesgos y amenazas, especialmente, en los entornos digitales con el objetivo de evitar que los ataques avanzados se extiendan rápidamente por las infraestructuras corporativas y aprovechen las vulnerabilidades o debilidades de seguridad. La automatización de la prevención será crítica, ya que el 78% de las empresas declara adolecer de conocimientos y recursos en estas áreas.

Por otro lado, hemos de tener en cuenta que las amenazas ligadas a la crisis del coronavirus, las noticias sobre el desarrollo de vacunas, nuevas restricciones de movilidad, desarrollo social, etc. seguirán copando los titulares de los medios de comunicación y serán los ganchos que utilicen los ciberdelincuentes para lanzar campañas masivas de phishing. Asimismo, aquellas compañías farmacéuticas involucradas en el desarrollo de vacunas se mantendrán como uno de los principales objetivos de los ataques por parte de cibercriminales o incluso grupos maliciosos relacionados con determinados países.

Planes de Seguridad

El diseño e implementación de los necesarios Planes de Seguridad, Contingencia y Recuperación, son la base para la proteger de los activos, la información y los sistemas e instalaciones que sustentan a las organizaciones y que son en la actualidad un activo fundamental para todo tipo de entidad.

Así, principalmente, la seguridad de los sistemas de información y gestión incluye el análisis de los requerimientos de seguridad, el establecimiento de un plan para satisfacer estas exigencias, la implementación de este plan y el mantenimiento y administración de las seguridades.

El Plan de Seguridad debe incluir tanto una estrategia proactiva como una reactiva: Una estrategia proactiva es aquella de prevención que comprende el conjunto de pasos que ayudan a minimizar los puntos vulnerables de los activos y a controlar los riesgos inherentes. La estrategia reactiva es aquella de protección y de corrección que comprende las medidas orientadas a reducir los daños ocasionados una vez que se ha producido un ataque o incidente.

Igualmente, dentro del Plan de Seguridad, estarán los correspondientes a atender las contingencias y garantizar la continuidad del funcionamiento y la resiliencia.

Seguridad. La prioridad para organizaciones y empresas
 
Durante esta pandemia, cada día nos hemos encontrado con noticias e incidencias nuevas que nos han arrojado resultados negativos e incertidumbres en materia de seguridad, especialmente en distintas organizaciones concernientes a sectores como el sanitario, educación, transporte, etc. obligando a crear equipos operativos y medidas que de manera proactiva acometan, detecten y prevengan nuevas amenazas.

La protección de la nueva normalidad será la principal tendencia de ciberseguridad para 2021 que, según los expertos de Check Point Software, consideran que aumentarán los ataques relacionados con la pandemia, las nuevas variantes de malware y los ciberconflictos. También, la mayor implementación de la IoT, encabezará la lista las preocupaciones de seguridad en las organizaciones.

Formación a distancia, en el punto de mira

Al igual que las organizaciones, el sistema educativo, personal y profesional, ha tenido que migrar para poder continuar trabajando a distancia mediante el uso de plataformas online. Como consecuencia, este sector ha experimentado un aumento del 30% de los ataques y seguiremos viendo altos niveles de amenazas durante este año 2021 de la recuperación.

También para la “nueva normalidad” será necesario establecer nuevos programas de formación y capacitación para la mejor adaptación a esta recuperación y transformación social y empresarial.

Resiliencia. El factor humano

En general, como se ha indicado, las organizaciones y la sociedad tendrán que pasar por un proceso de adaptación hacia lo que venimos llamando “la nueva normalidad” que básicamente consiste en la reestructuración del trabajo como lo conocíamos y en abrir paso a un sistema de proactividad, que en un futuro si tenemos que enfrentarnos a nuevas situaciones, que nos obliguen a confinarnos, estemos preparados para cualquier contingencia.

Este año trajo consigo muchos aprendizajes, experiencias, y nos recordó la vulnerabilidad de la vida humana y cómo debemos enfocarnos cada vez más en su protección pues para cualquier contingencia puede ser fundamental nuestra preparación y capacidad de resiliencia.

Solo tenemos que ver cómo ha ido el año 2020 para hacernos una idea de lo dinámico e impredecible del mundo y momento actual derivado de una pandemia como la COVID-19.

Como hemos dicho anteriormente, en este irrepetible año 2020, tres palabras parecen haber tenido el protagonismo en todo lo que ha acontecido: incertidumbre, inseguridad y pesimismo.

Una inseguridad que ha puesto de manifiesto un innumerable listado de vulnerabilidades en todo tipo de sectores, especialmente en el sanitario, turístico, servicios, transporte, comercio, etc. en todo el mundo.

La pandemia está siendo un factor exógeno a las organizaciones y actividades que viene desencadenando cambios importantes en sus principales funciones con una velocidad no experimentada antes donde, las primeras acciones-reacciones de la sociedad revelan su capacidad de adaptación y resiliencia frente a las amenazas y desafíos que planteó hace un año la emergencia sanitaria. Las respuestas vienen revelando también la heterogeneidad en las organizaciones en términos de recursos, experiencias previas y vulnerabilidades.

El sufrido pasado

La llegada de la COVID-19, sus “diferentes olas” y consecuencias han venido a cambiar algunos paradigmas. Uno de ellos, muy generalizado en sectores, ha provocado casi sin respiro para actuar, ha sido la modalidad del trabajo a distancia o teletrabajo y, aún cuando las lecciones que estamos aprendiendo al hacer camino al andar resultaran positivas, difícilmente evitarán un cambio radical en muchos casos.

En algunas actividades los cambios han venido para quedarse pero, en muchas otras es probable que la virtualidad complemente a la presencialidad, pero sin reemplazarla.

Todo está revuelto y en proceso de cambio. Este tiempo de excepcionalidad no cesará hasta que ésta deje de serlo y tengamos una “nueva normalidad”. La pandemia nos ha trastocado casi todo, alterado el sentido de muchas cosas y perturbado los hábitos de nuestras vidas.

Pero, no queda más remedio que cambiar e incorporar nuevas conductas que nos faciliten la vida con nuevas seguridades.
 

Hemos de aprovechar esta época de cambio para incorporar otros hábitos diferentes y saludables en nuestra vida.

Como se viene repitiendo, aunque los hábitos no se olvidan fácilmente, sean buenos o malos, saludables o no, una cosa buena que tiene esta pandemia es que nos ofrece la oportunidad de reinventar nuestros hábitos, desechar algunos e incorporar otros, casi obligatoriamente.

En este sentido, a muchos se nos ocurre que podemos aplicar la ciencia. Así, si nos fijamos en las leyes del movimiento que Newton publicó en 1678 y que sentaron las bases de la mecánica clásica, se puede, y algunos expertos están iniciando, el establecer una interesante analogía para aumentar la productividad, simplificar y mejorar la vida y adquirir nuevos hábitos de funcionamiento. Veamos su aplicación con más detalle.

La primera: la ley de la inercia, dice que “un cuerpo permanecerá en reposo o en movimiento recto con una velocidad constante, a menos que se aplique una fuerza externa”. Es decir, que no es posible que un cuerpo cambie su estado inicial (sea de reposo o movimiento) a menos que intervengan una o varias fuerzas.

Pero, hemos de tener en cuenta que la procrastinación es una ley fundamental del universo. Dicho de otro modo, los objetos en reposo tienden a permanecer en reposo y si quieren salir de ese estado y ponerse en marcha, lo más importante es encontrar la manera de empezar, porque ponerse en marcha es más importante que tener éxito.

La segunda: la ley de la dinámica, dice que “la fuerza neta que es aplicada sobre un cuerpo es proporcional a la aceleración que adquiere en su trayectoria”.

La fuerza que pongamos en nuestro esfuerzo tiene dos vectores: uno, cuánto trabajo está realizando y, dos, en qué dirección se centra esa labor. Si se quiere potenciar el hábito de la eficacia, no se trata solo de cuánto trabaja, también se trata en dónde se aplica ese esfuerzo y esto sirve para proyectos grandes y pequeños.

La tercera: el principio de acción y reacción, dice que “toda acción genera una reacción igual, pero en sentido opuesto”.

Hay fuerzas productivas como el compromiso, la motivación y las competencias, que conviven con fuerzas improductivas como el estrés, hacer demasiadas tareas a la vez, no llevar una vida saludable, etc. que contrarrestan el resultado. Si queremos ser más eficaces podemos agregar más fuerza productiva, pero a costa de un sobreesfuerzo que acabará agotándolo.

Si bien algunas leyes del físico inglés del siglo XVII han sido reemplazadas por la ciencia moderna, esta tercera ley tiene importantes implicaciones y relaciones con el actual brote de coronavirus. Sabemos que el virus existe. Ha sido declarada una pandemia por la Organización Mundial de la Salud pero, lo que no sabemos a ciencia cierta es cómo reaccionar ante el virus y todavía resulta difícil identificar qué transformaciones permanecerán una vez superada la pandemia.

Acción, reacción y repercusión

Es sabido que las cosas no se valoran hasta que se pierden, y una de las que nos está quitando la COVID-19 es la libertad de movimiento.

La repercusión la vamos viendo: retroceso en lo avanzado y, en el extremo, impotencia, en lo que a contención de víctimas de esta pandemia se refiere. Se necesita, pues, la reacción, tanto por parte nuestra, repartiéndonos horas y espacios desde las instituciones, ley en mano, que deben procurar la fluidez y el rigor en la toma de decisiones. La pandemia obliga a cambiar la cultura política para no sucumbir.

Todo ello, nos ha predispuesto y ha puesto en valor la importancia de revisar y reinventarnos en algo tan básico como es el liderazgo y la gestión a todos los niveles (político, institucional, empresarial y personal) en este nuevo orden, retos y oportunidades, con todas las seguridades y debemos aplicar este principio en la sociedad y tener acceso al ejercicio del poder político, a recursos financieros, a medios de comunicación masivos.

Las consecuencias políticas, sociales, tecnológicas y económicas pueden tardar años en desaparecer y mientras, vivimos un resurgimiento de la vida digital o virtual, un presente y futuro diferente en la globalización y un nuevo orden mundial emergente. Aunque no debemos olvidar que el futuro está verdaderamente en nuestras propias manos.

Como resumen, hemos de insistir “RqueR” y no ceder. RqueR, es una expresión muy española para hablar de la presión sobre algo… Hemos de insistir, persistir, resistir y nunca desistir en nuestras, al menos, “7RqueR”:

RECUPERAR. Volver a un estado de normalidad después de haber pasado por una situación traumática difícil.

REINVENTAR. Hallar o descubrir algo nuevo o no conocido para mejorar nuestra actual situación.

RESILENCIAR. Incrementar la capacidad de recuperación al estado inicial desde una perturbación a la que se ha estado sometido.

REINCORPORAR. Volver a admitir a alguien a un servicio o empleo o a algo a su estado original.

REDEFINIR. Volver a definir conceptos o metodologías de acuerdo a nuevos criterios o condiciones.

REVISAR. Someter algo a nuevo examen para corregirlo, enmendarlo o repararlo o redefinirlo.

REIMAGINAR. Suponer algo nuevo a partir de ciertos indicios analizados y contrastados.

Y todo ello, para retomar una nueva normalidad y realidad y relanzar la sociedad en todos sus aspectos (actividades productivas, sociales, económicas, etc.) de forma sostenible y con todas las seguridades después de esta dura pandemia.

Según estimaciones de la Comisión Europea, el coste, de la ciberdelincuencia para la economía global en el año 2020, fue de 5,5 billones de euros, lo que representa la mayor transferencia ilícita de riqueza, superior ya a la que se deriva del tráfico global de drogas.
 
En España, según los datos que maneja el Ministerio del Interior, en 2015 se conocieron un total de 83.058 hechos relacionados con la cibercriminalidad, cifra que ha ascendido a 218.302 a finales de 2019, lo que supone un incremento del 162,8 por ciento en apenas cinco años. Si en 2015 la ciberdelincuencia representó el 4,1 por ciento del total de la criminalidad conocida, a finales de 2019 esta tasa había escalado hasta el 9,9 por ciento.
 
Pero, para adoptar adecuadamente las soluciones correspondientes contra esta batalla sin vuelta atrás, además de los correspondientes medios técnicos y medidas organizativas, hemos de procurarnos, exigirnos la información y la formación para cada caso y circunstancia.
 
En este sentido, lo primero que debemos conocer es la diferencia entre Ciberseguridad, Seguridad Informática y Seguridad de la Información. Tres conceptos inadecuadamente mezclados habitualmente.
 

 

El concepto ampliamente utilizado es el de Ciberseguridad que puede asociarse con otras palabras como ciberespacio, ciberamenazas, cibercriminales u otros conceptos asociados y que, a veces, suele utilizarse como sinónimo de Seguridad Informática o Seguridad de la información y esto no es correcto.
 
Es necesario aplicar de manera adecuada los conceptos, de acuerdo a cada situación y sus objetivos y activos a proteger:

La Ciberseguridad, según Kaspersky, es la práctica de defender, las computadoras, los servidores, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos. Es decir, su objetivo es proteger la información digital en los sistemas interconectados. La Ciberseguridad está comprendida dentro de la Seguridad de la Información.
 
La Seguridad Informática, es la disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en el sistema informático de ciberataques, cuyos objetivos son obtener ganancias de la información adquirida o acceder a ella para su manipulación. Es decir, su función consiste en la gestión de riesgos relacionados con el uso, el procesamiento, el almacenamiento y la transmisión de información o datos con los sistemas y procesos de dichas actividades.
 
La Seguridad de la Información, es el conjunto de medidas de prevención y protección que permiten almacenar y proteger la información. Es decir, es el conjunto de todas aquellas políticas de utilización y medidas que afectan al tratamiento de los datos almacenados públicos o privados.
 
Plan Nacional Estratégico de Cibercriminalidad
 
El pasado día 9 de marzo, el Ministerio del Interior ha aprobado un plan estratégico para reforzar la lucha contra la cibercriminalidad. El plan ha entrado en vigor el pasado 10 de marzo, con la publicación de la Instrucción 1/2021 del Secretario de Estado de Seguridad.
 
El objetivo de dicho plan es mejorar las capacidades de los órganos del Ministerio para detectar, prevenir y perseguir la ciberdelincuencia y generar un nuevo impulso operativo y técnico eficaz que garantice la protección de los derechos y libertades y la seguridad ciudadana.
 
Según lo publicado, el plan estratégico diseñado por la Secretaría de Estado de Seguridad, pone el foco en: “la prevención; en la cooperación entre las diferentes Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y los operadores jurídicos; en la dotación de capacidades suficientes y adecuadas para articular respuestas adaptadas a las diferentes modalidades delictivas; en la colaboración con la industria y los operadores relevantes en materia de ciberseguridad en el sector público y privado; y en el respeto escrupuloso a la libertad, a la privacidad y demás derechos fundamentales”.
 
Desde estos principios, el plan diseña una estrategia global para alcanzar los siguientes objetivos específicos:

• Promover la cultura de prevención de la cibercriminalidad entre la ciudadanía y la empresa.
• Impulsar la formación y la especialización de los miembros de las FCSE en materia de ciberseguridad y cibercriminalidad.
• Incrementar y mejorar el uso y disposición de las herramientas tecnológicas e implementar el ámbito de la I+D+i.
• Gestionar adecuadamente la información disponible en el ciberespacio.
• Promover un marco legal e institucional que dé solución a los desafíos que surjan relacionados con la ciberseguridad y la cibercriminalidad.
• Impulsar la coordinación a nivel nacional e internacional y favorecer la colaboración entre el sector público y privado.

El Plan ha sido liderado por la Oficina de Coordinación de Ciberseguridad (OCC). Asimismo han participado responsables, especialistas, autoridades y expertos de la Policía Nacional y de la Guardia Civil, de las policías autonómicas. Además del Consejo General del Poder Judicial, de la Fiscalía General del Estado, del Consejo General de la Abogacía Española, de CCN-CERT e INCIBE-CERT, del Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO), del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), así como de la universidad, de la banca y de otras instituciones privadas.
 

 

Finalmente, fue aprobado por el Comité Ejecutivo de Coordinación (CECO) del Ministerio del Interior el pasado 18 de febrero de 2021.
 
La aprobación de este Plan Estratégico de Cibercriminalidad ofrece al Ministerio del Interior los recursos necesarios para hacer frente a esta situación en cinco áreas de actuación: detección, prevención, protección, respuesta y persecución.

 

Un nuevo e importante paso que, como hemos dicho, debe reforzarse con los correspondientes planes de información y formación a todos los niveles y ámbitos públicos y privados.