Tradicionalmente, los riesgos de ciberseguridad se han considerado riesgos que debía gestionar el departamento de tecnología de la información (TI) de las organizaciones. Por tanto, eran riesgos de TI. Un problema en los ordenadores de la organización podía provocar daños leves y molestias pero la baja dependencia para la organización de los sistemas no suponía un problema para la continuidad de sus operaciones (por ejemplo, que un virus borrase la información del disco duro de un servidor podía provocar un retraso en la impresión de las facturas o de las nóminas, pero la fábrica podía seguir produciendo, pues la producción no dependía de los ordenadores, o dichos equipos solo controlaban la máquina en cuestión, pero en un entono <<aislado>>, son comunicarse con otros equipos. Sin embargo, la digitalización de las empresas y de sus procesos de negocio ha colocado a la informática en el centro de todos sus procesos, de forma que los riesgos de ciberseguridad, son ahora riesgos operacionales. Un riesgo operacional es aquél que puede provocar pérdidas debido a errores humanos, procesos internos inadecuados o defectuosos, fallos en los sistemas y como consecuencia de acontecimientos externos.
Actualmente, se utiliza la informática para absolutamente todas las gestiones administrativas (como facturación, nóminas, comunicaciones con los clientes, recepción de pedidos a través de la web, gestión de cobros y pagos, acceso a banca online, petición de materiales, etc.).
Pero de las tareas administrativas, la informática ha pasado a los procesos de producción. Ahora se utilizan también ordenadores para controlar todas las máquinas y robots utilizados para en las cadenas de producción. Además, dichos equipos se han conectado a la red de la organización para que puedan comunicarse entre ellos y también con otros equipos que se encuentren dentro y fuera de las instalaciones (normalmente, a través de Internet).
En este contexto, un problema como el descrito anteriormente (que un equipo se infecte con un virus y luego se propague al resto a través de la red). No va a causar, como en el pasado, un problema leve, sino que puede paralizar totalmente los procesos productivos de la empresa, suponiendo un grave problema que se incrementará exponencialmente cuanto más tiempo esté la empresa parada. Se retrasará la producción y se incumplirán los contratos con los clientes, generándose un caos y cuantiosas pérdidas económicas. Este problema se puede incrementar si los equipos afectados tienen datos personales, ocasionándose entonces una brecha de seguridad que habría que notificar a la Agencia Española de Protección de Datos, pudiendo acarrear esto serias sanciones y pérdida de confianza ante clientes, accionistas y socios, con sus consecuentes costes económicos.
Y tú, querido lector, ¿has considerado los problemas que podría causar a las actividades que desarrolla tu empresa un ciberincidente?
4 de mayo de 2021 – Artículo para la sección Innovadores del periódico El Mundo Castilla y León.