Ataques de ransomware se han cuadruplicado en un año, según la Agence nationale de la sécurité des systèmes d'information (ANSSI). Esta actividad delictiva se ha visto reavivada por la crisis sanitaria y el uso masivo de herramientas de teletrabajo en línea. Ante estas amenazas, las empresas deben adaptar su estrategia de seguridad, pero eso no es todo. Es el conjunto gobernanza que hay que replantearse. Henri Puissant*, especialista en organización de SI, y Yann-Eric Devars*, consultor en arquitectura empresarial, ambos formadores de ORSYS, nos aportan su experiencia para ayudarnos a iniciar esta transformación de los sistemas y las prácticas.
La entrada masiva de las empresas en la ciberesfera abre nuevos horizontes y da lugar a numerosas innovaciones, pero también pone a prueba la gobernanza de las empresas, sobre todo en materia de seguridad. Tras los robos de datos, el ransomware (hospitales, administraciones, empresas), el ciberespionaje (asunto SolarWinds, etc.) y los ataques a infraestructuras (agua potable de Oldsmar, etc.), los dirigentes de países, administraciones y empresas calibran la fragilidad de sus organizaciones y toman conciencia, o las autoridades les instan a tomar conciencia, de la necesidad de controlar la arquitectura de sus organizaciones y sistemas de información.
Las ciberamenazas ponen patas arriba la gobernanza del Estado
A principios de los años 90, como Cristóbal Colón acercándose a América, Timothy John Berners-Lee, al crear la World Wide Web, se afianzaba en la ciberesfera. Poco se imaginaba el destino que correría su descubrimiento: la aparición de los GAFA, Cambridge Analytica, el ransomware, etc.
58 años después del descubrimiento de América, Carlos V reunió en Valladolid a juristas y teólogos para determinar las reglas de la colonización, es decir, la forma de someter y convertir a los indios. Del mismo modo, 30 años después del descubrimiento de la web, Sir Timothy John Berners-Lee, durante mucho tiempo presidente del W3C, el regulador técnico de la web, promovió un contrato en el que se proponían normas de comportamiento a los actores de la web para garantizar que ésta siguiera siendo un bien público al servicio de la humanidad.
En Valladolid, nada se había decidido realmente entre la ética y el interés. Es de temer que ocurra lo mismo con la iniciativa de Sir Timothy John Berners-Lee, y que con el tiempo haya que establecer nuevos equilibrios. A los Estados les resulta muy difícil establecer leyes y regular Internet, que escapa a su control. Ya se enfrentan a ciberataques. Estonia atacada por denegación de servicioIrán y el asunto de las centrifugadoras, Estados Unidos y el asunto SolarWinds, por citar sólo algunos. Los Estados se dotan de medios de defensa, imponen limitaciones a determinados ámbitos de actividad (salud, energía, alimentación, gestión del agua, etc.) y designan así a los "mejores jugadores". Operadores de Importancia Vital (OIV) para proteger sus operaciones y a sus ciudadanos.
La ciberdelincuencia pasa factura al gobierno corporativo
Al igual que para los gobiernos, para las empresas resulta peligroso navegar por estos nuevos horizontes. Al timón de las empresas, los directivos tienen que enfrentarse a auténticas tormentas. Según el académico Michel Serres, "gobernar" significa saber de dónde vienes, dónde has estado y dónde estás, y por tanto conocer tu cuaderno de bitácora y el estado de tu barco. Pero también significa saber adónde vamos y adaptar nuestro rumbo en función del estado del barco y de su ecosistema. ¿Cómo se elabora una estrategia? ¿A qué riesgos nos enfrentamos? ¿Qué limitaciones jurídicas, sociotécnicas y medioambientales hay que respetar? ¿Qué estructura organizativa hay que implantar? ¿Cómo elaborar un cuadro de mandos que refleje el estado de la empresa en su ecosistema y permita gestionarlo eficazmente?
A todas estas preguntas son esenciales las siguientes respuestas: desarrollo de principios de gobernanza relativos a la estrategia, las adquisiciones, el rendimiento, el cumplimiento de las leyes y reglamentos, el comportamiento humano y las responsabilidades; conocimiento profundo del ecosistema de la empresa; dominio de la arquitectura de la empresa combinado con una reflexión profunda sobre la misma.
Reflexiones sobre arquitectura
¿Es capaz el sistema de alcanzar sus objetivos estratégicos y adaptarse rápidamente a los cambios del ecosistema? ¿Es capaz de hacer frente a los riesgos que surgirán y dispone de medios para defenderse? ¿Dispone de una estructura que le confiera la resistencia, flexibilidad y agilidad necesarias para resistir los cambios? Los avances de la Ley de Moore y de la ingeniería de software hacen posibles nuevas arquitecturas. Sin embargo, el asunto SolarWinds demuestra la ingenuidad actual de algunos directivos de empresas y del sector público que están integrando sistemas de código abierto o propietarios sin comprobar los riesgos que entraña. Este caso, al igual que las carencias derivadas de la crisis de COVID, muestra hasta qué punto la externalización es estratégica en un momento en que la ciberesfera ofrece a las empresas numerosas oportunidades de recurrir a servicios externos para mejorar su cadena de valor.
Reflexiones sobre la gestión
Pero no se puede gobernar el caos. ¿Cómo organizar la gestión de la tripulación para que la empresa se adapte a su nuevo ecosistema y sobreviva? Hay que dominar los procesos empresariales. ¿No es la función del Departamento de Informática colaborar con las líneas de negocio de la empresa para inyectar tecnologías de la información y las telecomunicaciones? Por lo tanto, no tiene sentido hablar por separado del gobierno de los sistemas de información y del gobierno de las empresas.Ambos están íntimamente ligados. En palabras de Nicolas Carr, lo que cuenta es el negocio: " No importa ¡" ! Además, en materia de TI, ¿podemos seguir hablando únicamente de Sistemas de Información cuando, con la IA, los robots y los objetos conectados, la TI está tomando las riendas de muchos procesos empresariales y convirtiéndose en un efector sobre el mundo real, como ilustra el caso de Oldsmar?
Cambios de comportamiento
Los Departamentos de TI, hasta ahora demasiado a menudo "tecnocéntricos", deben reorientar sus acciones hacia la creación de valor para la empresa y la participación en el desarrollo de su estrategia. A la inversa, la tecnología y los sistemas de información han adquirido tal importancia para la consecución de los objetivos de la empresa que ya no pueden considerarse únicamente como un medio para alcanzar objetivos ya identificados. Así pues, la gestión de la empresa, el Departamento de TI y la dirección de la Unidad de Negocio deben colaborar estrechamente. Por ello, la introducción de Gerentes de relaciones comerciales es una herramienta organizativa esencial para aumentar la colaboración entre todos los agentes de una empresa, desarrollar la inteligencia colectiva y mejorar así la gobernanza.
Gobernanza: desarrolle sus competencias mediante la formación
La formación es una llave esencial para abrir estas tres cerraduras (arquitectura, gestión y comportamiento). I-Formación y Servicios ha desarrollado y dirigido cuatro seminarios publicados exclusivamente por ORSYS uno sobre el concepto de gobernanza y su organizaciónel segundo el arquitectura empresarialel tercero el adaptar la empresa a los retos de la tecnología digitalel cuarto en el Gestión de relaciones comerciales. Estos seminarios se dividen a su vez en dos cursos prácticos: desarrollo de un cuadro de mando y dominio de la arquitectura empresarial. Cubren las normas y las mejores prácticas en estos ámbitos, y comparten la experiencia de los instructores con los participantes. Nuestros otros cursos de formación en ciberseguridad completan este programa de vacunación contra estas amenazas virtuales pero muy reales.
