14 Tribuna de Economía | NUEVA ECONOMÍA
OPINIÓN
E
s de justicia reconocer que las
empresas se toman cada día más
en serio todo lo que tiene que ver
con la ciberseguridad. Quizás
porque han sufrido en primera
persona algún incidente desagra-
dable o porque hayan visto pasar de cerca
las balas del cibercrimen; lo cierto es que el
modelo de seguridad de algunas compañías,
especialmente las de mayor tamaño, comien-
za a tener un grado de madurez que les está
permitiendo, de manera exitosa, minimizar
los riesgos y reducir la superficie de exposi-
ción alineando esta estrategia con el negocio.
Por otro lado, también resulta admirable
el esfuerzo que desde la Administración se
está realizando para concienciar y sensibilizar
a la sociedad de los riesgos que implica subir-
se al tren de la digitalización sin incorporar un
mínimo de medidas de seguridad que eviten
sobresaltos innecesarios.
El INCIBE (Instituto Nacional de Ci-
berseguridad) habilitó en febrero de 2018 el
servicio “Tu Ayuda en Ciberseguridad”, co-
nocido popularmente como 017. Un servicio
gratuito y confidencial dirigido a la pobla-
ción en general para resolver sus problemas
de ciberseguridad. En sus primeros tres años
de funcionamiento, el 017 atendió más de
100.000 consultas, lo que lo convierte en el
servicio de ciberseguridad más utilizado de
España.
Así las cosas, podremos convenir que la
situación en materia de ciberseguridad ha me-
jorado sustancialmente en los últimos años;
aunque quizás no lo suficiente si la compa-
ramos con la presión de un entorno cada vez
más hostil.
Pero intentemos ver el vaso medio lleno
y busquemos argumentos que sostengan esta
hipótesis tan optimista en medio de una guerra
sin cuartel que se libra en el ciberespacio. Los
mejores indicadores que reafirman nuestra
teoría los encontramos en la evolución del
análisis de riesgos de las compañías. En este
punto se ha producido una mejora sustancial
que refuerza nuestra idea.
Y es que, hasta ayer, las preocupaciones
de las empresas se centraban en la seguri-
dad de sus equipos y en la seguridad de sus
oficinas; lo que en el sector se conoce como
la seguridad del puesto de trabajo y la segu-
ridad perimetral. Con este modelo tan básico
de defensa, fueron llegando herramientas y
soluciones a las compañías, en forma de anti-
virus y firewall, que atajaban estas brechas de
seguridad y reducían los riesgos. Lógicamen-
te, todo esto es mucho más complejo, pero
JORGE ALONSO
DIRECTOR DE CONSULTORÍA IT
VELORCIOS GROUP
Jorge Alonso
@jalonso_VG
Tu Seguridad en Manos de Terceros
permítanme simplificarlo al máximo para no
perder el hilo de la idea.
Siguiendo esta evolución del modelo de
seguridad, actualmente encontramos muchas
compañías que están haciendo muy bien sus
deberes y que, incluso, cuentan con un Plan
Director de Ciberseguridad y certificaciones
que avalan su buen hacer.
Y es en este punto donde cabe preguntarse
qué les preocupa hoy a las empresas y dónde
localizan su mayor riesgo. La respuesta es
contundente: el mayor riesgo que identifican
las compañías en su sistema de seguridad es
el que viene derivado de su relación con ter-
ceros.
La verdad es que suena demoledor porque
esto nos viene a decir que de nada ha servido
que nos hayamos gastado un dineral en la
ciberseguridad de nuestra empresa porque,
al final, somos tan frágiles como el peor de
nuestros colaboradores.
Pongamos un ejemplo para entender
mejor la gravedad del problema, Suponga-
mos que trabajamos en el Departamento de
Recursos Humanos, sin lugar a dudas, una
de las áreas de la empresa que maneja infor-
mación más sensible. Conscientes de ello,
habremos tomado todas las medidas preven-
tivas necesarias para evitar un incidente que
comprometa la Confidencialidad, la Integri-
dad y la Disponibilidad de los datos con los
que trabajamos.
Ahora bien, sucede que las nóminas de la
empresa las tenemos externalizadas con una
pequeña gestoría que lleva trabajando para
la compañía toda una vida. Si un ciberdelin-
cuente quisiera hacerse con la información de
nuestros empleados, ¿a quien crees que ataca-
ría? Solo de pensarlo saltan todas las alarmas.
Pero la realidad se impone y lo cierto es
que siempre necesitaremos de terceros para
poder llevar a cabo nuestra actividad porque
de lo contrario, probablemente, nuestro
modelo de negocio dejaría de ser viable.
La situación es tremendamente compleja
porque casi podríamos pensar que estamos
otra vez en la casilla de salida, o incluso peor,
Noviembre 2023
porque en este modelo de outsourcing poco
podemos hacer ya que resulta imposible me-
ternos en casa de nuestros colaboradores para
imponer una medidas de seguridad que, pro-
bablemente, serán incapaces de asumir.
Parece que no nos queda otra que resig-
narnos y asumir que nuestros datos termina-
rán vendiéndose en la darkweb, no porque
nos los hayan robado a nosotros directamente
desde nuestros sistemas, sino porque algunos
de nuestros colaboradores habrá sido víctima
de un ciberataque.
“El mayor riesgo
que identifican
las compañías
en su sistema
de seguridad
es el que viene
derivado de su
relación con
terceros”
Es tal la magnitud del problema que
muchas empresas están obligando a realizar
un análisis de riesgos a sus colaboradores,
que en muchos casos es excluyente para
poder firmar el contrato de servicio, porque
las consecuencias de un ataque podrían ser
traumáticas. En la práctica esto se traduce en:
“si no eres ciberseguro, no pienso trabajar
contigo”.
Estaremos de acuerdo en que este esce-
nario es del todo insostenible porque, nor-
malmente, lo que de verdad valoramos de
nuestros colaboradores es la calidad de sus
Tribuna de Canarias
servicios -laborales, jurídicos, fiscales...- y es
por eso por lo que los elegimos y no tanto por
su ciberseguridad. Si nos pasamos de frenada,
podría darse el caso de terminar trabajando
con colaboradores super seguros, pero que no
son los más adecuados para nuestro negocio.
Lógicamente, procede evolucionar la es-
trategia y mover ficha. La nueva propuesta
sonaría más o menos así: “quiero trabajar
contigo, pero ambos sabemos que no tienes el
nivel de ciberseguridad suficiente como para
evitar las consecuencias de un incidente que
con total seguridad va a llegar. ¿Me dejas que
te ayude a solucionar el problema y poder
seguir juntos adelante?”
Este modelo de trabajo no es nuevo y se
hizo muy popular de la mano de José Ignacio
López de Arriortúa, el ingeniero español que
trabajó en Volkswagen, más conocido como
Superlópez. López de Arriortúa tuvo claro
que si quería mejorar la cadena de producción
de su fábrica necesitaba ayudar a sus provee-
dores que, lógicamente, eran empresas más
pequeñas, para poder optimizar el proceso de
producción de su compañía.
El modelo colaborativo es la única forma
de mejorar la ciberseguridad del tejido em-
presarial porque no olvidemos que la cadena
siempre se rompe por el eslabón más débil.
He tenido la suerte de poder comprobar de
cerca la eficacia de esta estrategia colabora-
tiva cuando se hace con honestidad y respeto
entre ambas partes. El resultado es especta-
cular.
Así que, ayudemos a nuestros colabo-
radores a mejorar su ciberseguridad, siendo
conscientes que la tecnología debe ser trans-
parente al negocio, pero nunca se puede
convertir en un problema en la relación que
tengamos con nuestros colaboradores.
Subamos el nivel de madurez de nuestro
modelo de seguridad, compartamos el cono-
cimiento, incluso facilitemos soluciones... En
definitiva, ayudemos al eslabón más débil
porque es el único camino para mejorar la
seguridad de nuestra empresa. Y si no, tiempo
al tiempo.