La empresa extendida

En el complejo mundo corporativo actual las due diligence tecnológicas cobran especial importancia. En concreto, las relativas a ciberseguridad permiten asegurar que las organizaciones cuentan con una línea base suficientemente eficaz en este aspecto, tanto en lo relativo a la protección de los activos de información, como para evitar brechas de datos e incumplimientos normativos.

En todo proceso de compra o fusión es de vital importancia llevar a cabo una due diligence, a fin de verificar si la entidad en cuestión cuenta con el estado de salud esperado. Esta verificación se suele centrar principalmente en las áreas financieras, dejando a un lado —por desgracia— toda la parte relativa a tecnologías de la información. Así, se pueden encontrar situaciones rocambolescas como aquellas en las que la entidad compradora descubre que procesos de negocio clave de la entidad comprada se sustentan en sistemas e infraestructuras claramente deficientes. Este hecho se puede trasladar de igual modo al área de obsolescencia tecnológica o a la falta de una estrategia de inversión o apoyo de las tecnologías de la información en los procesos de negocio.

Cultura de ciberseguridad

Asimismo, y ligado con el enfoque anterior, es cada vez más importante considerar cómo de cibersegura en una entidad. No en el sentido de que cuente con las últimas tecnologías, sino más bien respecto al hecho de contar con una cultura corporativa que propicie y busque esa excelencia en este ámbito.

Esta propuesta parte del hecho de que una empresa se puede ver afectada gravemente si los atributos de confidencialidad, integridad o disponibilidad de sus activos de información se ven afectados. De hecho, hemos visto casos de empresas que han sufrido ataques que han propiciado de forma directa una bajada de su valor en la bolsa de valores, ataques que posiblemente sólo buscaban dicho efecto en un marco temporal muy concreto.

Para robustecer esta idea hemos de aludir al hecho de que las empresas que evalúan el riesgo crediticio de una entidad cada vez tienen más en cuenta el factor de la ciberseguridad. Es decir, para evaluar el riesgo global de una empresa se considera que la vertical de ciberseguridad tiene la suficiente importancia como para analizarse de forma ex profeso. En este contexto imaginemos una empresa que solicita un crédito a un banco y, pasado cierto número de meses desde la concesión de tal crédito, sufre un impacto fallo de ciberseguridad. Sigamos imaginando y visualicemos un escenario donde tal entidad empiece a sufrir una pérdida de clientes, dañándose su imagen corporativa con un efecto en cascada. ¿Cabe pensar que en este contexto la entidad tendrá muy complicado o directamente imposible devolver el dinero que le había siendo prestado?

Por otro lado, a nivel esta normativo, estas due diligence tecnológicas siguen ganando peso. Imaginemos una entidad pública que necesita licitar cierto servicio y dentro de las condiciones a cumplir están las relativas a seguridad de la información. No en cuanto a que la ciberseguridad sea un fin en sí mismo, sino a la presencia de regulaciones como pueda ser el Reglamento Europeo de Protección de Datos que habla de la necesidad de contar con una seguridad proactiva, se sea responsable o encargado de tratamiento. Es decir, la exigencia de cumplir con ciertas normativas lleva implícito el hecho de ser ciberseguro. Por tanto, un número muy importante de due diligence normativas llevará aparejado el hecho de revisar todos los aspectos relativos a seguridad de la información.

Las empresas que evalúan el riesgo crediticio cada vez tienen más en cuenta la ciberseguridad

El perímetro de la seguridad

Si estos argumentos no son suficientemente poderosos para empezar a preocuparnos más en serio de la ciberseguridad, debemos atender al sentido común. Hoy en día se habla del concepto de empresa extendida, en cuanto a la transformación del perímetro de la misma y, por tanto, de las localizaciones donde puede haber datos corporativos, y sensibles. Una institución puede contar con unas medidas de seguridad de la información a nivel interno excelentes pero, si no ha traslado requisito alguno a su conjunto de proveedores, la cadena de seguridad está claramente quebrada. Además, hemos de recordar que no sólo se trata de firmar clausulados más o menos robustos, sino que los mismos deben atender a hechos reales y medibles.

¿Cómo podemos llevar a la práctica estos planteamientos? Por ejemplo, trasladando la posibilidad de realizar auditorías sobre los proveedores y, con cierta periodicidad, efectuarlas de la forma más ágil y eficaz posible. Solicitando la existencia de sistemas de gestión de seguridad de la información, estén o no certificados, y revisando tanto su alcance como la declaración de aplicabilidad o conjunto de controles organizativos, técnicos y jurídicos existentes. Es decir, no sólo debemos quedarnos en el papel, sino que debemos ahondar, revisar los controles que tal proveedor tiene implantados, la evolución y madurez de sus métricas e indicadores, etc.

Los daños reputacionales ayudan a explicar a negocio los riesgos en ciberseguridad

Traducirlo a negocio

En definitiva, se trata de alcanzar la debida diligencia en materia de ciberseguridad, desarrollando para ello una visión holística que analice a nivel interno lo que ocurre, así como a nivel externo en cuanto a aquellos proveedores que pueden poner en juego la integridad de nuestra información, datos personales y procesos de negocio.

De igual forma, y siguiendo con la parte normativa, hemos de saber vender estas necesidades a la alta dirección. Si debemos traducir todo en términos de negocio o económicos, una posibilidad es apoyarnos en aquellas regulaciones que aluden a la obligación de notificar las brechas de seguridad. De tales notificaciones se derivan claros daños reputacionales. Este es un aspecto claro sobre el cual pivotar para que negocio entienda que los riesgos en ciberseguridad no son meramente técnicos, sino que son riesgos de negocio y riesgos globales.

También es plausible aludir a cuestiones marketinianas como, por ejemplo, el hecho de que los llamados millenials —que según algunos analistas supondrán en breve un porcentaje de los clientes muy elevado— pueden tomar muy en serio lo que ocurra con sus datos personales. De igual forma, es importante resaltar el hecho de que este colectivo tengan unas exigencias muy altas en materia de disponibilidad del servicio. Además, si vamos a licitar con la administración pública, hemos de recordar normativas como el Esquema Nacional de Seguridad, donde también se traslada la necesidad de que la cadena de suministro sea suficientemente segura.

El gran requisito no funcional

Todo esto nos hace pensar en la importancia creciente que tomarán las due diligence en materia de ciberseguridad. De una parte, permiten saber si al otro lado hay una cultura y buenas prácticas mínimas en tal materia y, además, teniendo en cuenta todo lo concerniente a las normativas que exigen que exista tal enfoque integrado dentro de negocio.

De esta forma, la ciberseguridad se convierte en el gran requisito no funcional que debe estar presente en toda entidad, con una importancia similar a la de los funcionales. Y no porque lo digan los expertos en esta materia, lo cuales pueden tener una visión sesgada, sino porque normativas de calado como el reglamento europeo antes mentado lo ponen de manifiesto en sus principios.