A medida que la transición digital sigue avanzando en casi todos los sectores de actividad, se plantea la cuestión de la eficacia de la seguridad en el seno de los proyectos. Ante el aumento de incidentes y ciberataques, cuyo número se multiplicó por cuatro entre 2019 y 2020 en Francia, a las empresas, efectivamente, les interesa favorecer un enfoque preventivo de la seguridad si no quieren seguir pagando el precio de una gestión pasiva de los riesgos.
Security by design o el arte de anticiparse para no sufrir
Los sistemas de información, inicialmente destinados a automatizar algunas tareas de escaso valor añadido, han evolucionado hasta el punto de poder realizar misiones cada vez más complejas y cruciales. Su perímetro de acción es ahora más amplio y completo, lo que les hace más vulnerables a los incidentes de seguridad y especialmente a los ciberataques. Frente a estas amenazas, la mayoría de las empresas han adoptado hasta ahora una postura reactiva para responder a los incidentes de seguridad y un enfoque pasivo de la gestión de riesgos. Este enfoque todavía era suficiente hace unos años, pero esta forma de proceder ya no se ajusta a la realidad, ya que las consecuencias son muy desastrosas para la empresa, especialmente cuando se paraliza tras un ataque o incidente.
Por este motivo, cada vez más empresas intentan adoptar una estrategia de seguridad preventiva, o comúnmente llamada security by design. Una práctica que desea incluir la seguridad desde el diseño de las herramientas o la definición del marco de los proyectos. Este tipo de enfoque se dirige tanto a la implantación de herramientas de seguimiento y vigilancia mediante inteligencia artificial como a la formalización de una estrategia eficaz de ciberseguridad para todos los proyectos. Esta postura preventiva permite a las empresas anticiparse y contrarrestar un gran número de ataques, siendo a la vez más ágiles y reactivas cuando estos se declaran, y pasar de una defensa pasiva a una defensa activa.
Una inversión a largo plazo
Inevitablemente, poner en marcha una estrategia de seguridad preventiva eficaz representa un cierto coste para las empresas. Desde el diseño hasta la integración, pasando por el acompañamiento, la nueva organización resultante requiere que los recursos internos pasen de una posición principalmente reactiva a una proactiva. Se trata aquí de una inversión importante para las empresas, que deben sin embargo tener en cuenta que, a largo plazo, adoptar un enfoque preventivo significa asignar menos recursos a la respuesta a los incidentes de seguridad y a la gestión de sus consecuencias, permitiendo así conseguir un ahorro real.
Sin embargo, el despliegue de una estrategia completa de seguridad preventiva sigue estando reservado a las empresas (muy) grandes. Estas últimas ya cuentan con DSI estructuradas en consecuencia, para garantizar esta misión. Por lo tanto, la mayoría de las empresas tratarán de externalizar la integración de la seguridad en sus proyectos, especialmente las tareas más costosas, como las actualizaciones de las herramientas de detección, la supervisión o incluso la vigilancia.
La seguridad en los proyectos: un reto humano
A pesar de la vigilancia activa que requiere la postura preventiva, el hecho es que no todos los ataques son predecibles y que sigue habiendo una parte de incertidumbre en la gestión de los riesgos. En este tipo de contexto, es difícil prescindir del juicio humano que, al liberarse de los parámetros, ciertamente eficaces, de las herramientas que utilizan la inteligencia artificial, consigue aportar un análisis más fino, capaz de descifrar lo que no pueden descifrar las herramientas de detección.
Por lo tanto, se puede decir que la garantía de riesgo cero es ilusoria. Por ello, ninguna estrategia de seguridad, por sólida que sea, debe descuidar la integración de los temas relativos a la gestión de los riesgos y a la ciberseguridad en el seno de la cultura de empresa. Un aspecto que reviste una importancia capital, sobre todo porque el número y la variedad de vulnerabilidades están evolucionando al mismo ritmo, o incluso más rápido, que la digitalización de las empresas. De ahí la importancia de instaurar una gestión de los riesgos complementaria de las medidas técnicas adoptadas en las fases previas de los proyectos. Este enfoque no pretende ser infalible, pero tiene el mérito de implicar a toda la empresa en la comprensión de la seguridad.