La transformación digital puede debilitar la ciberresiliencia

Aprender de los ciberataques recientes resalta los riesgos de los programas de transformación digital

En los últimos años, significativos ciberataques, especialmente en los sectores minorista y de consumo, plantean preguntas importantes para los líderes en la alta dirección y en las juntas directivas. ¿Podrían los programas de transformación tecnológica, particularmente aquellos que implican revisiones completas de los sistemas de finanzas y de planificación de recursos empresariales (ERP, por sus siglas en inglés), estar debilitando la resiliencia cibernética?

En el corazón del problema se encuentra un desequilibrio estructural entre las prioridades funcionales y no funcionales en los programas de transformación digital a gran escala. Nuestro aprendizaje de los ciberataques recientes es que la ciberseguridad a menudo es una prioridad de segundo nivel.

Mientras las organizaciones a menudo buscan cambios en los sistemas operacionales centrales, como los sistemas ERP y de finanzas, para modernizar las operaciones, agilizar las cadenas de suministro y mejorar la experiencia del usuario (UX), la ciberseguridad y la resiliencia son con demasiada frecuencia consideraciones secundarias. El riesgo estratégico que los líderes senior deben gestionar es que los programas de cambio pueden aumentar fundamentalmente la superficie de ataque para la mayoría de las organizaciones.

El aumento y el riesgo de la transformación digital

Las transformaciones de ERP y finanzas son empresas complejas, que a menudo implican grandes inversiones financieras, firmas consultoras globales y la re-arquitectura de sistemas empresariales críticos. En un paisaje altamente competitivo, muchos minoristas y fabricantes han adoptado modelos de cadena de suministro "justo a tiempo" (JIT), que dependen de sistemas digitales precisos e ininterrumpidos para funcionar eficientemente y satisfacer las necesidades de los clientes.

Estos mismos sistemas también se convierten en puntos centrales de falla cuando son atacados por actores malintencionados. Cuando las plataformas se implementan sin una atención integral a la ciberseguridad como un requisito de diseño central, las organizaciones aumentan sin saberlo su superficie de ataque con usuarios altamente privilegiados y complejas interconexiones internas y externas. Estas a menudo carecen de la gobernanza y el control que uno podría suponer en un momento en que los actores de amenazas se están volviendo más sofisticados y persistentes.

En varios incidentes cibernéticos recientes que afectaron a minoristas del Reino Unido, se especula que las iniciativas de transformación pueden haber introducido vulnerabilidades inadvertidamente. Esto puede suceder a través de una combinación de entornos de nube mal configurados, estándares y gestión de autorización y autenticación débiles, dependencias de terceros pasadas por alto o una segmentación deficiente de los sistemas de producción y prueba. La causa raíz a menudo no es una falla de la tecnología ERP en sí, sino más bien la forma en que estos programas fueron diseñados y ejecutados por personas.

La ciberseguridad puede ser una reflexión tardía en el cambio digital

Uno de los patrones más preocupantes es la tendencia a tratar la seguridad y la resiliencia como Requisitos No Funcionales (NFR, por sus siglas en inglés) - importantes, pero a menudo secundarios a los objetivos centrales del programa de transformación de eficiencia, integración y mejora de UX.

Los requisitos funcionales, como el procesamiento rápido de pedidos, las actualizaciones en tiempo real de inventarios y las interfaces de cliente sin interrupciones, dominan los resúmenes de transformación. En contraste, las medidas de resiliencia cibernética, como las arquitecturas de confianza cero, la monitorización continua, la modelización de amenazas y los controles de acceso basados en roles, a veces se posponen para una "fase dos", se implementan después de la puesta en marcha (si es que se implementan) o se financian de manera inadecuada a medida que los presupuestos se vuelven ajustados.

Esta marginación de la ciberseguridad se ve agravada por un modelo de entrega que a menudo incentiva la velocidad sobre la estabilidad. Las consultoras de transformación tecnológica, ansiosas por ganar licitaciones competitivas y demostrar el retorno de la inversión (ROI), pueden restar prioridad a la Seguridad por Diseño (SbD) en favor de cumplir con plazos agresivos, objetivos de costo y de beneficio.

Esto crea un conflicto de interés sistémico y no hablado: los mismos asesores que lideran la transformación pueden estar desincentivados para plantear preocupaciones cibernéticas que podrían ralentizar la entrega o aumentar los costos.

Las cadenas de suministro "justo a tiempo" son eficientes hasta que se interrumpen

Las cadenas de suministro JIT, aunque operativamente eficientes, son especialmente vulnerables a la interrupción cibernética. Con mínimos márgenes de inventario y logística altamente digitalizada, incluso un breve apagón puede desencadenar una cascada a través de las operaciones de una organización. La interrupción cibernética puede detener la producción, retrasar las entregas y erosionar la confianza del cliente. En las consecuencias de los ataques de Scattered Spider, minoristas bien conocidos en el Reino Unido se encuentran en medio de una tormenta de especulación, ira y daños a la reputación impulsada por las relaciones públicas y las redes sociales.

Cuando los sistemas ERP que sustentan los modelos JIT no están construidos con la resiliencia en mente, cualquier interrupción - ya sea por ransomware, corrupción de datos o amenazas internas - puede detener por completo las operaciones. Por ejemplo, la falta de copias de seguridad de datos seguras, la segmentación inadecuada de las aplicaciones de la cadena de suministro o la planificación insuficiente de respuesta y recuperación de incidentes pueden convertir una brecha manejable en una crisis total.

Construir Resiliencia en los Programas de Transformación

Para prevenir futuros incidentes y asegurar que las transformaciones digitales mejoren en lugar de erosionar la resiliencia cibernética, las organizaciones deben replantear cómo abordan el diseño y la entrega del programa. Los tomadores de decisiones de la alta dirección y las juntas directivas deben considerar:

1. Adoptar Principios de Seguridad por Diseño (SbD) La seguridad no debe añadirse después de la implementación, sino que debe integrarse en cada etapa del ciclo de vida de la transformación. Desde el descubrimiento y la adquisición hasta el diseño, la construcción, la prueba y el despliegue, las prácticas de SbD, como la modelización de amenazas, el desarrollo seguro de código, las pruebas de penetración y los principios de confianza cero, deben ser obligatorias desde el principio.
2. Separar las Funciones de Asesoría Tecnológica y Cibernética Para evitar el conflicto de intereses que puede surgir cuando una consultora asesora tanto en la transformación como en la seguridad, las organizaciones deben considerar retener asesores de ciberseguridad independientes con un mandato para desafiar las decisiones de diseño que puedan poner en peligro la resiliencia. Esta perspectiva de "equipo rojo" asegura que las voces de seguridad no se ahoguen por la urgencia de entregar resultados funcionales. Esto puede parecer un punto de dolor potencial, pero tal desafío valdrá la pena por la menor interrupción para evitar impactos mayores en las operaciones y la reputación.
3. Incorporar la Cuantificación del Riesgo Cibernético (CRQ) Las metodologías CRQ permiten a las organizaciones medir los riesgos cibernéticos en términos financieros, traduciendo las vulnerabilidades técnicas en impactos comerciales tangibles que pueden informar la toma de decisiones basada en el riesgo, equilibrando la oportunidad con el riesgo. Esto ayuda a los tomadores de decisiones ejecutivos a sopesar de manera más inteligente las compensaciones entre velocidad, costo y seguridad desde una perspectiva completamente informada. El CRQ también puede usarse para evaluar el ROI en inversiones de resiliencia dentro del programa de transformación en sí.
4. Reequilibrar los Requisitos Funcionales y No Funcionales Considerar métricas de éxito del programa que vayan más allá del rendimiento y la UX para incluir KPIs de resiliencia cibernética. Ejemplos incluyen el tiempo para detectar y responder a incidentes, los tiempos de recuperación del sistema y el cumplimiento con marcos cibernéticos como ISO 27001 o NIST CSF. Esto puede parecer fuera del "camino crítico" para la entrega de programas de transformación tecnológica, pero con una regulación creciente en todos los principales mercados comerciales, la oportunidad de adelantarse a una buena gobernanza está ahí para ser aprovechada.
5. Evaluar la Resiliencia de la Cadena de Suministro

Las amenazas cibernéticas en la cadena de suministro continúan aumentando. La planificación de la transformación debe tener en cuenta los riesgos cibernéticos de la cadena de suministro, incluidas las posturas de seguridad de los proveedores externos y las prácticas de intercambio de datos. Los ejercicios de simulación, las simulaciones de continuidad del negocio y el mapeo de rutas de ataque pueden ayudar a identificar debilidades ocultas en los modelos JIT antes de que lo hagan los atacantes. También proporcionan visibilidad de las dependencias críticas de terceros que pueden ser salvaguardadas proactivamente, aumentando la resiliencia cibernética de una organización.

Gestionar los riesgos cibernéticos en las transformaciones digitales

Las transformaciones de sistemas ERP y de finanzas a nivel empresarial prometen inmensos beneficios operativos, pero si la ciberseguridad no es un elemento fundamental del diseño del programa, también pueden introducir riesgos existenciales.

Los ciberataques recientes a importantes minoristas del Reino Unido y Europa pueden ser advertencias tempranas de una tendencia más amplia: una en la que la ambición digital supera a la resiliencia digital. Elevando la seguridad a una prioridad de diseño de primer nivel, adoptando una gobernanza cibernética independiente y aprovechando el CRQ, las organizaciones pueden asegurar que la transformación impulse no solo la eficiencia, sino también la confianza duradera, la continuidad y la resiliencia.