Daniel Largacha     Director del Cyber Security Centre de ISMS Forum y Global Control Center Assistant Director de MAPFRE.

Es evidente y a nadie se le escapa que estamos viviendo un cambio significativo en el modelo industrial y económico que está afectando a toda la sociedad, y que será estudiado como tal en próximas generaciones. Pero esta vez de una manera diferente a las anteriores revoluciones industriales. Si bien en otras épocas eran las industrias las que cambiaban el modelo de vida de la sociedad, en esta ocasión es la sociedad de la que está emanando el cambio hacia las organizaciones que le prestan servicio. Las organizaciones están gestionando este cambio mediante una transformación de los procesos basada en las TIC, que trata de cambiar el modo en el que los clientes interaccionan con éstas. Aquellas que sean más ágiles en el cambio, serán las que tengan mayor probabilidad de supervivencia.

Este nuevo panorama pone las TIC en el punto de apoyo imprescindible para lograr con éxito este objetivo de cambio dentro de una organización, que muchos denominan Transformación digital. Tan importante es el cambio que se está produciendo que en muchas ocasiones el mayor valor generado por el cambio en las organizaciones es principalmente de índole tecnológico, dejando en segundo plano al servicio o producto que éstas ofertan.

Pero es que esta importancia de las TIC dentro de las organizaciones no es exclusiva de éstas, sino que es global en la sociedad de hoy en día. Por parte de cada uno de los individuos, la manera en que cada uno de los individuos se comporta, y se relaciona con otros, también está cambiando. Por parte de las empresas el papel fundamental que juegan en la economía actual y en el estado de bienestar de los países desarrollados y en vías de desarrollo. Cualquier amenaza que pueda afectar a esta nueva manera de relacionarnos, o que afecte a grandes empresas puede provocar un menoscabo en el bienestar de un país o región.

El escenario actual de dependencia tecnológica permite que emerjan riesgos que hace unos años tenían una importancia relativa. Así en los últimos Foros económicos de Davos gran parte de los principales riesgos que se han  identificado tenían una relación directa con los ciber riesgos, ya que estos son todos aquellos que tienen relación con los procesos tecnológicos de las empresas y los servicios e información que estas prestan y manejan. Hoy en día ninguna organización podría funcionar sin sus TIC, por lo que todos aquellos riesgos que puedan poner en jaque o parar la capacidad de ejecución de una organización, afectando a las TIC y los procesos asociados (ciber riesgos), deben de tener una consideración especial. Aunque la adopción general de los ciber riesgos es un poco más amplia y también suele incluir cualquier riesgo de índole tecnológico que pueda poner conllevar un riesgo legal, reputacional o económico con afectación a dicha capacidad de ejecución.

Los principales actores capaces de materializar los ciber riesgos en una organización son, terroristas, los hacktivistas, el crimen organizado, los gobiernos e incluso la competencia. En resumen todos aquellos actores que generan conscientemente acciones dirigidas contra una organización para su propio beneficio.

En la prensa podemos ver casi todos los días alguna noticia sobre algún incidente de seguridad que ha tenido lugar en alguna empresa, en muchos casos con volúmenes económicos que empiezan a ser de cierta materialidad y que empiezan a preocupar a los principales ejecutivos y máximos responsables de las organizaciones y países.

Además en muchos casos la principal causa de los ataques no son especialmente sofisticados. El escenario que ha posibilitado estos ataques es una falta de adaptación de las medidas por parte de todos los actores: las organizaciones afectadas, las empresas de tecnología y las propias empresas de soluciones tecnológicas de seguridad, ninguno de ellos ha evolucionado en la misma medida que las amenazas.

Este escenario no va a mejorar en los próximos años, según el informe de PWC de 2015 los incidentes de seguridad graves se han incrementado en un 38%. Y lo peor de todo es que tendencias como la transformación digital, el Big Data, y el Cloud Computing, que se están modulando en modo en que en las organizaciones aplican las TIC, no van a ayudar mucho a contener esta situación, más bien todo lo contrario.

Un ejemplo claro es que el perímetro de red y control de las organizaciones se está desdibujando. Los ámbitos en los que se maneja información relacionada con las organizaciones, han dejado de pertenecer a éstas en su totalidad  (RRS, Cloud por ejemplo). Pero sin embargo, estos nuevos ámbitos son necesarios y actualmente constituyen parte del ecosistema de ésta. Por ejemplo en algunos casos las apps que se desarrollan para los clientes, pueden llevar a que el propio dispositivo del cliente contenga información personal de éste y de la empresa, de la que ésta última se debe de hacer en parte responsable.

Las soluciones de movilidad que aumentan la productividad de la empresa tampoco ayudan, ya que convierten en puntos a proteger cada uno de los dispositivos de empleados o proveedores con los que se conectan.

Las soluciones de seguridad IT actuales no son completas, ni están diseñadas para gestionar la seguridad en entornos que no son propios de la empresa. Sin embargo, según un informe de Morgan Stanley se espera que el gasto global en seguridad IT se duplique pasando de 55.000 millones de $ a 130.000 millones para 2020. Con un crecimiento estimado de un 20%. No obstante, el gasto en seguridad por dispositivo no se espera que crezca de los 64$ actuales, ya que se espera que en este nuevo escenario aumente de forma significativa el nº de dispositivos a proteger.

A toda esta situación con respecto a las soluciones IT hay que añadir el ámbito de los profesionales de seguridad. Actualmente el sector de la seguridad goza de un 0% de desempleo y se espera que la demanda de profesionales bien formados aumente un 40% para el año 2020. Este escenario está provocando que sea una de las profesiones más globalizadas con grandes multinacionales realizando procesos de selección en países diferentes al país local de contratación.

Los retos de seguridad están empeorando haciendo un escenario mucho más complejo para todas las partes, obligando a los fabricantes de IT a reinventarse.

Esta situación obliga a replantearse la situación actual, el paradigma actual de la seguridad no es efectivo y por lo tanto no es sostenible en el tiempo. Las organizaciones no pueden evitar que les ataquen, y por supuesto que alguno de estos ataques acabe teniendo éxito.

Para tratar de hacer frente a este cambio de paradigma, durante los próximos años se van a producir una serie de cambios que bajo mi punto de vista van a girar sobre los siguientes cuatro ejes:

- Consolidación de la tecnología:

• Permitiendo a las organizaciones la reducción de los costes de propiedad y operación de las soluciones. Mediante los beneficios que reportarán las economías de escala al tratar con menos proveedores, así como la reducción de los costes de operación.
• Mejora de la efectividad por la integración de funcionalidades en una misma solución.

- Automatización:

• Que también supondrá una mejora de la efectividad por la reducción de la intervención humana, al mismo tiempo de la reducción también por costes de operación.
• Asimismo la automatización va a permitir el tratamiento de grandes volúmenes de datos cuyo tratamiento sería inviable si tuvieran que ser realizados por personas.

- Mejora de la visibilidad:

• Motivado en parte por lo comentado anteriormente, pero también por el aumento de los dispositivos a monitorizar, las RRSS y entornos cloud. Las organizaciones deben de poder de ser capaces de identificar eventos relevantes que puedan llevar a la posibilidad de impedir un incidente de seguridad con un mayor ruido.
• Por otra parte los proveedores y las empresas deberán de ser capaces de ponerse de acuerdo para posibilitar las capacidades de monitorización en los diferentes entornos como las RRSS, entornos cloud, etc.

- Mejora de la ciber resilencia:

• Por una parte mejorando las capacidades de respuesta a incidentes de seguridad dentro de una organización, ya sea mediante la mejora de las plataformas, los profesionales, el apoyo en entidades ajenas y un mayor apoyo público-privado.
• Por otra parte mediante la evolución de productos de aseguramiento para el ámbito cyber. 

El cambio que vamos a presenciar durante los años venideros es un cambio de paradigma en todas las organizaciones, cambiando la manera en que la seguridad se implanta en las empresas de TI y en las propias organizaciones, cambiando de más seguridad a una seguridad más efectiva y eficiente.