por Moises Polishuk, Analista y Consultor de Tecnologia y Negocios
El problema: La falsa percepción de la inseguridad en la nube
Lo vemos una y otra vez. Una gran cantidad de empresarios y dueños de negocios sigue pensando que centralizar su tecnología en la oficina es “más seguro” que tener sus servicios, aplicaciones e información en la nube, esto es, en todo momento y en todo lugar con un simple acceso a internet.
Muchos líderes de negocio creen que, si “los fierros (hardware)” están en un lugar visible, se tiene más control de todo, y, en verdad, no pueden estar más equivocados.
Nada puede ser más seguro que el estricto control de acceso a la tecnología que está en la nube, que, dependiendo de quien la ofrece puede incluso estar cifrada de tal forma que solo el personal permitido puede tener acceso a lo que tiene la autorización, en las horas que esto es posible y los días que se permita.
En caso de un problema mayor, como un temblor, inundación o incendio, la nube es el lugar más seguro para tener la certeza de poder seguir trabajando, lo hemos visto incluso en los protocolos de protección civil. Si hay un terremoto, se prohíbe el acceso a las oficinas, y con esto, se hace imposible el acceso a la información que está en los equipos dentro de ellas. En cambio, si se tiene en la nube, habrá siempre un acceso seguro a poder operar con un simple acceso a internet, donde sea, a la hora que sea, pues dependiendo del proveedor se contará con la replicabilidad automática al operar en múltiples centros de datos dentro de una misma zona de disponibilidad o incluso en múltiples regiones geográficas.
La realidad: enfrentando las amenazas en la empresa vs hacerlo en la nube
Por otro lado, no debemos de olvidar que, de un tiempo para acá, se ha vuelto más práctico atacar a empresas medianas o pequeñas que a grandes corporativos con múltiples certificaciones, recursos y servicios de seguridad.
Pensemos por un instante, ¿Cuánto se estaría dispuesto a pagar si de repente se perdiera el acceso a toda la información de la empresa? La respuesta es siempre, una cantidad típicamente 100 veces más grande de lo que ocuparía proteger esa información.
La siguiente pregunta entonces es ¿por qué no se protege todo por anticipado? Y, la respuesta que veo una y otra vez, es que, simplemente, no se tenía ni siquiera contemplado ese tipo de problema. En pocas palabras, la ignorancia y falta de conocimiento de las personas que asignan el presupuesto es lo más común en este caso. Y, puedo decir que es muy difícil estar al día en todo riesgo posible, en especial si se es una persona ajena al mundo de la ciberseguridad y si además el objeto del negocio no tiene nada que ver con cómo se almacena, usa, y aplica la tecnología. Por ello, son claros los siguientes juicios:
1. Las personas que deciden los presupuestos deben de preferir opciones donde se tenga una empresa especializada en administrar y operar la tecnología, proporcionando en paralelo la seguridad de esta como un servicio.
2. La protección de la información, operación y aplicaciones debe de ser integra, completa, permanente y actualizada sin quitarle un segundo de tiempo en esto a quien la contrate, pero con la capacidad por parte del contratante de poder participar en la seguridad a nivel aplicativo, esto es, en la definición de accesos, horarios de uso y otros aspectos, tal como se haría en un centro de datos de tecnología propia.
3. Siempre, siempre, siempre, el valor de proteger la información, operación y aplicaciones va a ser del orden de 10 a 100 veces menor en precio que enfrentar un problema, cuando menos, lo cual hace a esta decisión un tema de ahorro seguro y de mitigar un riesgo que es latente.
Los escenarios
Por disciplina siempre es prudente contemplar 3 posibles escenarios y sus consecuencias
1. Si no se hace nada
En este caso es no pensar en tener las operaciones fuera de la oficina y con lo que se considere que es lo necesario para responder a los problemas de ciberseguridad. En este caso, ante el primer problema de fallas eléctricas en las oficinas, de problemas con el internet a 1 kilometro radial de distancia, o bien los denominados “actos de Dios” como las inundaciones o temblores serán suficientes para dejar de operar por un tiempo indefinido. Dependiendo del tipo de empresa esto puede ser desde pérdidas muy significativas hasta perder el negocio. La pregunta es, ¿por qué correr éste riesgo si puede ser 100% controlado?
2. Si no se hace lo suficiente
Puede darse el caso de tener algunas medidas de seguridad, tal vez incluso, tener cierto tipo de protecciones, pero no estar protegido para la gran mayoría de los problemas, y esto muchas veces sucede debido a ignorancia, falta de presupuesto o simplemente el mal asesoramiento de un proveedor que al no tener todos los servicios disponibles hace ver que lo que no ofrece no es importante. Hoy en día la ciberseguridad es un tema que debe de verse de forma integral y holística, y si no se contemplan aspectos como:
- Saber quién puede acceder a qué información o aplicaciones y en qué casos o condiciones puede hacerlo.
- Validar permanentemente el estado de la seguridad, estableciendo acciones automatizadas que serán más precisas y rápidas que hacerlo por personal contratado.
- Tener la capacidad de detener actividades no autorizadas, documentar actividades maliciosas y enviar los hallazgos de riesgos de seguridad para resolverlos.
- Contar con herramientas automatizadas que auto aprenden a distinguir actividades peligrosas para la empresa, permitiendo llegar a las causas y orígenes de los problemas.
- Poder hacer frente a ataques de negación de servicio, hoy en día muy frecuentes.
- Identificar dentro de toda la información cuáles son los datos más confidenciales y agregar niveles adicionales de protección a estos datos, de forma automática.
- Lograr dar acceso seguro a todas las personas de la empresa, de forma fácil y que se pueda compartir con múltiples servicios y aplicaciones sin tener que autenticarse por separado en cada uno.
En principio, podemos decir que la seguridad no es completa, y basta un problema en uno de estos puntos para correr riesgos muy elevados de improductividad o paro total de actividades.
3. Si se hace lo necesario
Por el contrario, si se considera que desde la nube existe la posibilidad de hacer frente a todos los puntos anteriores de una forma integral, automática, pero sobre todo de manera independiente gracias al buen uso de una iniciativa en la nube, podemos ver que:
- El precio de proteger varios de estos puntos pueden ser incluidos en el servicio contratado y/o con un valor claro, perfectamente presupuestable, conocido y nunca equivalente al valor de hacer frente a un problema por no contar con la medida de protección adecuada.
- No se requerirá preparar personal en estos aspectos, destinándolo a mejoras de innovación en el objetivo del negocio y no en aspectos operativos de la tecnología.
- Se mitigará el riesgo a niveles controlables.
Entre los puntos más importantes.
Los gastos que nadie menciona ante contingencias de ciberseguridad
Al conocer la opinión de diversas personas en puestos directivos o dueños de negocios, se tiene una sensibilidad especial por pagar aspectos de ciberseguridad, mientras se tiene una falsa impresión de confianza en que será difícil que algo suceda en la empresa.
La realidad es que de algunos años a la fecha es muy lucrativo el secuestro de la información (Ransomware) o el empleo de nuestros recursos para provocar daños a terceros y hacernos responsables de estos. Por ello es importante entender a fondo lo que representan las consecuencias de no atender adecuadamente los retos de ciberseguridad.
Incumplimiento empresarial
Es muy grave cuando por un problema de ciberseguridad se entorpecen o paran por completo las operaciones del negocio, y con ello, se falla en los tiempos de entrega, calidad de los productos o servicio o incluso el obligar a reprocesar alguna tarea por este tipo de problemas.
En este escenario siempre hay un gasto no contemplado que afecta los resultados de posición financiera del negocio, no solo por la falta de ingresos o pérdida de negocio, sino por las multas y demandas por incumplimiento o penas convencionales que clientes y/o proveedores pueden optar por ejercer, precisamente por el incumplimiento en sus respectivos trabajos como consecuencia del problema provocado por nuestro propio negocio.
Prestigio en el suelo
El dicho es claro: “nunca se tiene una segunda oportunidad de dar una primera impresión” y dependiendo del caso y giro esto puede representar las molestias de un mercado que se expresará en redes sociales y diversos medios que dañan la reputación del negocio.
Las medidas para recuperarse desangran el negocio
Siempre que debe de atenderse un problema no contemplado, no se tendrá fácilmente el presupuesto para hacerle frente, lo que puede provocar destinar recursos de aspectos de operación y alto valor para la empresa a tener que afrontar una crisis no contemplable, lo cual dañará el estado de resultados de la empresa, provocará molestia en internos, clientes y proveedores y no permitirá fácilmente llegar al estado previo en el que se estaba antes del problema.
Reducción de precios o incluso productos y/o servicios gratis
Casi siempre, la medida “desesperada” para hacer frente a un problema de este tipo es bajar los precios de productos o servicios, y en algunos casos hasta regalar algunos de ellos, todo para tratar de remediar el daño provocado por la falta de hacer el trabajo en tiempo y forma. Esta medida no resuelve el problema, solo lo mitiga, y de cualquier forma el riesgo de la reputación no será fácil de remediar.
Conclusiones
¿Cuándo es el momento óptimo?
Si aún no se ha experimentado un problema de operación, se está en un gran momento para reconsiderar el migrar la operación a la nube y en paralelo asegurar el empleo de una estrategia integral de ciberseguridad.
Es importante que no solo se tenga la operación e información en la nube, sino que se integre desde el inicio una estrategia integral de ciberseguridad.
¿Hay algo más importante que la ciberseguridad?
Lo más importante del negocio es cumplir con su objeto social, sus compromisos, y con hacer lo que lo distingue en el mercado. Para ello, la tecnología, información y servicios deben de operar impecablemente, y no desgastar a la empresa por su operación, esto es, hacer que todo funcione, en un precio óptimo, conocido y viable, sin sorpresas, para que se tenga mayor enfoque en aspectos como la innovación y la excelencia en el servicio.
¿Cómo se impacta la cadena de valor?
Vivimos en un mundo altamente comunicado, los últimos años nos han demostrado el impacto de la falta de entrega de componentes y servicios en diferentes industrias, viendo como el comercio decae, las ventas sufren, el mercado se molesta… Es por eso por lo que su empresa no puede correr el riesgo de no ser predecible, confiable, y segura. Sin la ciberseguridad en un ambiente de nube que permita enfocarse totalmente al objeto del negocio, se tendrán que distraer siempre recursos para operar y no para innovar.
Ocúpese, no preocúpese
Vivimos tiempos increíbles, donde afortunadamente ya hay opciones para hacer las operaciones de forma diferente.
No espere a que su competencia goce de esta nueva forma de operación donde sus precios sean más competitivos, porque su operación es más esbelta y segura.
En especial, no debemos esperar a tener un riesgo de seguridad que impacte al negocio. Recuerde, la suerte es finita y, mañana, puede ser demasiado tarde, por ello actúe hoy, haga que las cosas pasen, en vez de ver pasar las cosas o peor aún, preguntar… ¿qué pasó?
