Senior Manager Riesgos Tecnológicos Deloitte

Es ampliamente conocida la anécdota, no sé si cierta, de que antes de que se produjera el crack del 29, Rockefeller estaba un día sentado frente a su limpiabotas y este le hizo con cierta soltura un comentario sobre las inversiones en bolsa. En aquel momento, el gran industrial tomó la decisión de retirar sus fondos del mercado de valores.

Les confieso que el otro día sentí la misma tentación cuando en uno de los más populares late shows españoles vi aparecer a uno de los más afamados hackers del momento en España. Los que nos dedicamos a esto de la ciberseguridad desde mucho antes de que este palabro se inventara, en ocasiones tenemos la tentación de abandonar la materia ante tanta confusión que nos rodea.

Sin embargo, durante todos estos años dedicados a esto tan ingrato de gestionar riesgos de seguridad de la información, también hemos desarrollado una fe inquebrantable y una gran capacidad para ponernos en los zapatos de otros.

Ambas capacidades me llevaron, no sé si para su desgracia, a escribir este artículo.

Pensé: si para mí llega a ser complejo a veces discernir tantos conceptos nuevos que nos rodean y nos persiguen, ya hasta en los late shows, cuál debe ser la sensación de cualquier empresario ante tal avalancha de noticias, siglas, amenazas y miedos que nos trasladan en torno a este concepto de los ciberriesgos.

No voy a negarles que personalmente sí consideraba que era necesario elevar el nivel de conciencia de las organizaciones respecto a los ciberriesgos que les pueden afectar a su negocio. Y creo que durante los últimos años, con toda esta información que nos rodea, todos hemos avanzado en esa toma de conciencia desde todos los puntos de vista: como empresarios, como empleados, como consumidores, como padres…

Tampoco voy a negarles que, efectivamente, considero que en un mundo como en el que vivimos, rodeados de tecnología y tecnología que cada vez avanza más rápido, los ciberriesgos se han incrementado en todos los planos anteriores (personal, profesional, etc.).

Corremos el riesgo, sin embargo, de que ante tal avalancha de información, generemos en nuestros directivos la misma sensación que la que tuvo Rockefeller con su limpiabotas.

Por ello, considero que una vez hemos alcanzado ese nivel de conciencia y antes de tomar ninguna decisión al respecto, las organizaciones deberían dedicar un tiempo, pequeño, a entender un poco mejor qué riesgos para sus organizaciones incorpora el uso de la tecnología. ¿Cómo? Mediante un Análisis de Riesgos.

Como en cualquier otro orden de la toma de decisiones directivas, soy un convencido de que los análisis de riesgos cibernéticos son una herramienta fundamental para equilibrar el binomio riesgo-rentabilidad tan necesario para asegurar la sostenibilidad de cualquier negocio hoy en día.

Pero para ejecutar un buen análisis de riesgos cibernéticos, considero que son los siguientes dos pilares fundamentales:
• Conocer la tecnología y su uso, así como las amenazas y los riesgos a las que se encuentra expuesta.
• Conocer su negocio, y cómo este hace uso de esa tecnología y en qué medida los riesgos de la utilización de esa tecnología se pueden trasladar a su negocio.

Para el primero, quizá sí requieran del asesoramiento externo, pero para el segundo, estoy convencido de que nadie conoce mejor su negocio que ustedes mismos.

Creo que combinar adecuadamente esas dos visiones es un factor clave de éxito para una buena toma de decisiones en materia de ciberseguridad. Por ello, si cuando oye hablar de ciberseguridad no siente que estén hablando de ‘su negocio’, huya como hizo Rockefeller.

De lo contrario, sus organizaciones correrán otro tipo de riesgos de ciberseguridad: los sobrecostes operacionales, las inversiones fallidas, pérdida de oportunidades que ofrecen las nuevas tecnologías, en forma de nuevos modelos de negocio, de eficiencia en costes, etc.

Porque ni la nube es el demonio, ni todas las empresas guardan necesariamente los mismos secretos que el Pentágono, ni los empleados son siempre nuestro mayor enemigo, por citar algunos eslóganes fáciles que seguro han oído alguna que otra vez en los últimos tiempos.

Pero recuerde también que Rockefeller no abandonó la bolsa para siempre. Y así, tarde o temprano, como directivos de sus organizaciones, deberán reflexionar sobre los ciberriesgos a los que se encuentran expuestas, deberán ser capaces de entender todos esos conceptos, porque han llegado para quedarse, y deberán ser capaces de, al menos, hacer preguntas inteligentes a sus técnicos y entender las respuestas acerca de los riesgos que su negocio asume como consecuencia del uso de la tecnología.

Y si no lo hacen, recuerden que, en ciberseguridad, como en otros órdenes de la vida, no tomar una decisión es, en sí misma, tomar una decisión.