Linkedin
Facebook
Email
more
Por Ryan Duquette y Rhys Morgan, socios de RSM Canadá
La crisis de COVID-19 ha dejado a la vista las fisuras en los sistemas empresariales que necesitan urgentemente actualizaciones y mejoras. Y aunque estas actualizaciones requieren cierta inversión de dinero y tiempo de gestión, la verdad es que podrían proteger su negocio de una catástrofe aún mayor.
La implementación de una actualización de seguridad en toda la empresa puede parecer una tarea financiera considerable, pero muchas de estas soluciones están disponibles como un servicio a la carta. Esto significa que el mantenimiento de los sistemas comerciales es sorprendentemente asequible y accesible, incluso en medio de una recesión económica, y los beneficios a largo plazo son claros.
Las soluciones provisionales pueden generar brechas en la seguridad
Las fuerzas de trabajo a distancia son ahora la norma y, por lo que estamos viendo, puede que siga siendo así por un tiempo. Existe una gran preocupación - totalmente comprensible- respecto a la tecnología que se necesita para respaldar a estas nuevas fuerzas de trabajo. Al principio, vimos muchas soluciones para consumidores y no corporativas que se incorporaron e implementaron muy rápidamente, sin pensarlo mucho. En la loca carrera por implementar reuniones virtuales y teleconferencias, algunas preocupaciones de seguridad evidentes se escaparon por las grietas. Gran parte de esta tecnología de la información (TI), que utiliza sistemas en los que las personas pueden acceder a las redes corporativas utilizando cualquier sistema que esté disponible de inmediato, no crea las condiciones ideales para la máxima seguridad.
Obviamente, las cadenas de suministro se están interrumpiendo, lo que también puede interrumpir las actividades de seguridad. Muchas empresas del mercado intermedio subcontratan su TI de proveedores de servicios de seguridad gestionados y eso también está provocando algunos problemas operativos. La mayoría de esas empresas de seguridad utilizan una serie de herramientas automatizadas que pueden alertarlas sobre anomalías y estas herramientas pueden cerrar automáticamente los procesos para minimizar los daños. Sin embargo, todavía requieren la interacción manual de una persona de TI que debe realizar los ajustes físicamente. No es una tarea fácil en tiempos de confinamiento total.
Otro problema es que los proveedores de TI son muy propensos a los ciberataques en general y más ahora que los ciberdelincuentes conocen las posibles vulnerabilidades de seguridad. Como proveedor de TI administrado se tienen las llaves de mil castillos. Y por eso, estas organizaciones son los principales objetivos de los piratas informáticos. Por lo tanto, es importante asegurarse de que el proveedor de TI que está considerando tenga la seguridad adecuada. Una forma de evaluar esto es verificar si un tercero independiente ha certificado que el proveedor cumple con un estándar de seguridad establecido, como ISO 27001, SOC 2 o GDPR (Reglamento general de protección de datos).
Descuidar la tecnología es un tema común en el mundo empresarial. En conjunto, no se dedica suficiente tiempo a pensar en el diseño de código seguro o en el fortalecimiento de los entornos tecnológicos, ya sea software o hardware. Y ahora, dado el bloqueo, las organizaciones se ven obligadas a volver a centrarse en la tecnología y en recortar atajos en la búsqueda de mantener una fuerza laboral remota. Como se puede imaginar, tomar atajos y agotar o limitar el personal en TI no sólo es malo para la resiliencia empresarial, sino que pone en riesgo a organizaciones enteras.
La inversión insuficiente deja lagunas en la red de seguridad
La seguridad ha pasado a un segundo plano al establecer fuerzas de trabajo remotas y mantener la continuidad del negocio a corto plazo. En un mundo ideal, la transformación digital y la ciberseguridad deberían trabajar juntas, de la mano. Pero la pandemia de COVID-19 ha superado estos límites, obligando a las organizaciones a ignorar temporalmente sus propios protocolos de seguridad de TI.
En RSM Canadá, recientemente recibimos una llamada de un cliente cuyo encargado de TI todavía está en la oficina. Nos dice que todavía están ejecutando sistemas heredados: servidor Windows 2008, Exchange 2013. Ambos productos están más allá del final de su vida útil. Microsoft ya no los está parcheando ni respaldando, lo que significa que las brechas de seguridad han estado abiertas durante años.
Este tipo de problema refleja una inversión insuficiente. Un especialista en TI puede hablar con las juntas y los comités hasta que se pongan tristes, pero los que controlan realmente las finanzas no siempre ven la importancia o la urgencia de la TI. Normalmente, la melodía cambia cuando algo sale mal en su reloj. Una vez que los responsables de la toma de decisiones se dan cuenta de que la empresa está expuesta a amenazas porque no han invertido en tecnología a un nivel suficiente o acorde, prestan atención.
¿Qué tipo de inversión en TI es la adecuada para su empresa?
La falta de inversión en la transformación digital y la seguridad de TI está comenzando a volver a perseguir a muchas empresas, particularmente debido al aumento de los ciberataques durante el bloqueo. Estamos viendo clientes que están gastando cientos de miles de dólares para intentar compensar diez años de negligencia en una ventana de tres meses. Cuando llegó COVID-19, se dieron cuenta de que no podían configurar sus equipos de forma remota, ya que sus sistemas heredados no estaban diseñados para permitir que 200 empleados conectaran su conexión de red de forma remota a la misma hora todos los días. Ahora también tienen operadores de internet que les dicen que el ancho de banda adicional les costará X cantidad de dólares y tardará seis semanas en implementarse. Esto hubiera sido mucho más fácil si simplemente hubieran mantenido su tecnología a lo largo de los años.
La inversión en TI varía significativamente según el sector, pero hay algunos puntos de referencia que se pueden utilizar para ayudar a las organizaciones a obtener la cantidad correcta. Variables como el porcentaje de ingresos, el porcentaje de ganancias, la cantidad de personal de TI y la plantilla total pueden ser factores que influyen en la toma de decisiones. En la mayoría de las empresas, un presupuesto de TI razonable rondaría entre el 5 y el 8% de los ingresos. En algunos sectores, donde la tecnología juega un papel más crítico, será mucho mayor.
Cuando hacemos nuestro diagnóstico rápido, utilizamos los puntos de referencia de la industria para determinar si una organización ha invertido insuficientemente o no, pero simplemente no es factible que cada organización de 80 personas contrate a 20 empleados de TI. El truco consiste en encontrar una solución que sea pragmática para ese negocio en particular.
Cuando se trata de tecnología, no hay mejor momento que el presente
Como muchos otros departamentos, TI a menudo se encuentra presionando para obtener más inversiones. Lamentablemente, esta no es la excepción, sino la regla. Sin embargo, una empresa no necesita gastar una fortuna para implementar filosofías sólidas de seguridad y TI. Simplemente requiere una inversión constante y regular en el mantenimiento, conservación y evolución de los sistemas y la seguridad.
“La evolución del software como servicio o SaaS brinda a las empresas la opción de arrendar aplicaciones o plataformas completas”, dice Paul Herring, director de innovación global de RSM International. “Esto brinda una oportunidad para que los equipos de gestión progresivos superen a la competencia al garantizar el acceso a capacidades digitales de vanguardia que antes no habrían sido asequibles”.
NOTA ORIGINAL: