Los ataques de ransomware se han cuadruplicado en un año, según la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI). Actividad criminal reavivada por la crisis sanitaria y el uso masivo de herramientas de teletrabajo online. Ante estas amenazas las empresas deben adaptar su estrategia de seguridad, pero no sólo eso. Es necesario repensar toda gobernanza. Henri Puissant*, especialista en organización SI, y Yann-Eric Devars*, consultor en arquitectura empresarial, ambos formadores ORSYS, nos aportan su experiencia para iniciar esta transformación de sistemas y prácticas.
La entrada masiva de las empresas en la ciberesfera abre nuevos horizontes y da lugar a numerosas innovaciones, pero también pone a prueba la gobernanza de las empresas, sobre todo en materia de seguridad. Tras los robos de datos, el ransomware (hospitales, administraciones, empresas), el ciberespionaje (asunto SolarWinds, etc.) y los ataques a infraestructuras (agua potable de Oldsmar, etc.), los dirigentes de países, administraciones y empresas calibran la fragilidad de sus organizaciones y toman conciencia, o las autoridades les instan a tomar conciencia, de la necesidad de controlar la arquitectura de sus organizaciones y sistemas de información.
Gobernanza estatal perturbada por amenazas cibernéticas
A principios de la década de 1990, al igual que Cristóbal Colón acercándose a América, Timothy John Berners-Lee, al crear la World Wide Web, se afianzó en la cibersfera. No imaginaba el destino que correría su descubrimiento: aparición de GAFA, Cambridge Analytica, ransomware, etc.
58 años después del descubrimiento de América, Carlos V reunió en Valladolid a juristas y teólogos para determinar las reglas de la colonización, es decir, la forma en que los indios podían ser sometidos y convertidos. Asimismo, 30 años después del descubrimiento de la Web, Sir Timothy John Berners-Lee, durante mucho tiempo presidente del W3C, regulador técnico de la Web, promueve un contrato que propone reglas de comportamiento a los actores de la Web para que siga siendo un bien público al servicio de humanidad.
En Valladolid realmente no se había decidido nada entre ética e interés. Es de temer que ocurra lo mismo con la iniciativa de Sir Timothy John Berners-Lee y que con el tiempo sea necesario establecer nuevos equilibrios. Los estados tienen grandes dificultades para establecer leyes y regular Internet, lo que está fuera de su control. Allí ya se enfrentan a ciberataques : Estonia atacada por la denegación de servicio, Irán y el asunto de las centrífugas, Estados Unidos y el asunto SolarWinds, por nombrar sólo algunos. Los Estados se dotan de medios de defensa, imponen limitaciones a determinados sectores de actividad (salud, energía, alimentación, gestión del agua, etc.) y designan así Operadores de Importancia Vital (OVI) para preservar sus operaciones y a sus ciudadanos.
El gobierno corporativo, a su vez, afectado por el cibercrimen
Al igual que ocurre con los estados, la navegación de las empresas hacia estos nuevos horizontes es peligrosa. Al frente de las empresas, los líderes deben afrontar verdaderas tormentas. Según el académico Michel Serres, “gobernar” es saber de dónde vienes, dónde has estado, dónde estás y, en consecuencia, conocer bien el cuaderno de bitácora y el estado del barco. Pero también significa saber hacia dónde te diriges y adaptar tu ruta según el estado del barco y su ecosistema. Entonces, ¿cómo se desarrolla una estrategia? ¿Qué riesgos tendremos que afrontar? ¿Qué limitaciones jurídicas, sociotécnicas y medioambientales deben respetarse? ¿Qué organización debería implementarse? ¿Cómo podemos crear un panel que informe del estado de la empresa en su ecosistema y permita gestionarlo de forma eficaz?
A todas estas preguntas se requieren las siguientes respuestas: el desarrollo de principios de gobernanza relacionados con la estrategia, las adquisiciones, el desempeño, el cumplimiento de las leyes y regulaciones, el comportamiento humano y las responsabilidades; conocimiento profundo de su ecosistema; dominio de la arquitectura empresarial combinado con profundas reflexiones sobre la misma.
Pensamientos sobre la arquitectura
¿Es el sistema capaz de alcanzar objetivos estratégicos y adaptarse rápidamente a los cambios en el ecosistema? ¿Es capaz de afrontar los riesgos que se presentarán y dispone de medios defensivos? ¿Tiene una estructura que le dé las características de resiliencia, flexibilidad, agilidad que le permita resistir? Los avances en la Ley de Moore y la ingeniería de software hacen posibles nuevas arquitecturas. Sin embargo, el asunto SolarWinds demuestra la ingenuidad actual de ciertas direcciones de empresas y administraciones que integran sistemas abiertos (open source) o propietarios sin controlar los riesgos que ello implica. Este caso, al igual que la escasez resultante de la crisis de la COVID, muestra cómo la subcontratación es estratégica ya que la ciberesfera ofrece muchas oportunidades para que las empresas recurran a servicios externos para mejorar su cadena de valor.
Pensamientos sobre la gestión
¡Pero no gobernamos el caos! ¿Cómo organizar la gestión de tripulaciones para que la empresa se adapte a su nuevo ecosistema y sobreviva? El dominio de los procesos de negocio es esencial. ¿No es función del departamento de TI inyectar, en colaboración con los negocios de la empresa, tecnologías de la información y las telecomunicaciones? Por lo tanto, es inútil hablar por separado sobre el gobierno de los sistemas de información y el gobierno corporativo., estando ambos íntimamente vinculados. En palabras de Nicolas Carr, lo que importa son los negocios: “ No importa ¡" ! Además, en materia de TI, ¿podemos seguir hablando únicamente de Sistemas de Información cuando, con la IA, los robots y los objetos conectados, la TI está tomando las riendas de muchos procesos empresariales y convirtiéndose en un efector sobre el mundo real, como ilustra el caso de Oldsmar?
Cambios de comportamiento
Los CIO, que hasta ahora han sido demasiado a menudo “tecnocéntricos”, deben reorientar su acción hacia la creación de valor para la empresa y participar en el desarrollo de su estrategia. Por el contrario, la tecnología y los sistemas de información se han vuelto tan importantes para lograr objetivos comerciales que ya no pueden verse únicamente como medios para lograr objetivos ya identificados. Así, la dirección de la empresa, El departamento de TI y la dirección de la unidad de negocio deben trabajar en estrecha colaboración.. Es por esto que el establecimiento de Gerentes de relaciones comerciales Es un dispositivo organizacional esencial para aumentar la colaboración entre todas las partes interesadas de la empresa, desarrollar la inteligencia colectiva y así mejorar la gobernanza.
Gobernanza: desarrolla tus capacidades a través de la formación
La formación es una clave esencial para desbloquear estos tres bloqueos (arquitectura, gestión y comportamiento). I-Formación y Servicios desarrolló y dirige cuatro seminarios publicados exclusivamente por ORSYS : uno sobre el concepto de gobernanza y su organización, el segundo en arquitectura empresarial, el tercero en Adaptar la empresa a los retos digitales., el cuarto en el Gestión de relaciones comerciales. Estos seminarios se dividen luego en dos cursos prácticos: desarrollo de un cuadro de mando y dominio de la arquitectura empresarial. Utilizan los estándares y mejores prácticas en estas áreas y comparten la experiencia de sus ponentes con los participantes. Nuestra otra formación en ciberseguridad completa este calendario de vacunación contra estas amenazas virtuales, pero muy reales.
