El “riesgo sistémico” sería como esa chispa capaz de incendiar un bosque entero. Un único punto de fallo con un efecto dominó devastador. Lo que se ha vivido con la pandemia serviría como ejemplo de crisis sistémica con consecuencias de alcance mundial. Un solo acontecimiento que desencadena fallos generalizados y resultados negativos en múltiples organizaciones, sectores o naciones, como definen desde el Fondo Carnegie para la Paz Internacional y el Instituto Aspen. Esta descripción, no obstante, no abarca toda la magnitud de un riesgo sistémico y sus consecuencias, cada vez más graves, que van desde interrupciones del servicio y vulnerabilidades críticas, hasta multas por incumplimiento de reglamentos y pérdida de ingresos.
Entendido como el riesgo inherente a un sistema complejo, ese riesgo sistémico puede venir de cualquier parte del ecosistema digital que existe hoy en día. Con que solo un elemento de ese ecosistema presente debilidades, esto supondrá una amenaza para la solidez de todo el conjunto. La buena noticia es que el riesgo sistémico apenas está surgiendo, por lo que hay margen para empezar a entender su gestión y comprender realmente sus implicaciones.
Exigirá una atención constante
La situación mundial es tan inestable que exigirá a los responsables de seguridad una atención constante sobre el riesgo sistémico; y las demandas serán mayores si las tensiones entre países se intensifican, la economía mundial se volatiza más o persisten los desafíos en lo laboral. El estrés que genera, por ejemplo, una recesión económica o una guerra puede impactar enormemente en las emociones de las personas, y que estas sean aún más vulnerables ante los ciberdelincuentes, aumentando las probabilidades de que haya un riesgo sistémico.
El mundo sigue reponiéndose de la pandemia, el mayor riesgo sistémico que ha vivido en su historia reciente, afectando la salud de las personas e impactando en las organizaciones con un mayor número de ciberataques para aprovecharse de circunstancias como la adopción masiva del teletrabajo. Ahora, las tensiones geopolíticas en Europa del Este se hacen notar en la economía de otros países, con el aumento de los precios del gas y los tipos de interés, entre otros, al que se enfrentan los consumidores, sin contar la parte correspondiente a los ciberataques. Algo que ya se nota bastante con el fenómeno de la “gran dimisión”, que ha incrementado el riesgo de amenazas internas y de fugas de datos por parte de profesionales que abandonan sus empresas y se los llevan consigo.
Asimismo, dentro de las empresas, el viaje hacia la transformación digital y el traslado de buena parte de su infraestructura interna a cloud han aumentado la dependencia en diferentes proveedores y, por tanto, las probabilidades de que se produzca ahí un riesgo sistémico si hay una intrusión, el sistema se cae, o sucede algo con ese proveedor. Es urgente, por tanto, que los consejos de administración de esas empresas demuestren proactivamente que están pensando en cómo encargarse de todos esos riesgos sistémicos.
Empezar a gestionar este reto
En más de siete de cada diez juntas directivas de empresas afirman entender claramente el riesgo sistémico al que se enfrentan sus propias organizaciones. Sin embargo, como se ha visto hasta el momento, el mundo evoluciona de forma tan imprevisible que acaba resultando muy difícil comprender el alcance que pueden llegar a tener las amenazas. Algunos responsables de seguridad, de hecho, todavía están haciéndose a la idea de la propia existencia del riesgo sistémico, de ahí que antes de empezar a pensar de forma estratégica en ello, se deban abordar otros retos fundamentales de ciberseguridad que ya estaban ahí y no se han podido abordar. Solo entonces, se podrá hablar de esos riesgos inherentes, comprender sus entresijos y dejar de considerarlos como simples problemas informáticos.
También hay que medir de forma diferente el riesgo sistémico, dependiendo del sector al que pertenezca la organización. En banca la atención recaería sobre el fraude financiero y el robo de identidad, mientras que en sanidad sería en la seguridad de los pacientes y en que se pueda prestarles asistencia. Todas las organizaciones tienen la tarea de adaptar sus defensas a un panorama de amenazas sistémicas desafiante, mediante un proceso optimizado que minimice las implicaciones de riesgo en las partes críticas de su sistema digital.
Conviene preguntarse acerca de lo que podría tener un impacto catastrófico para su organización y los que la rodean. Casi con toda probabilidad la respuesta a esta pregunta devolverá el foco fuera de la infraestructura tecnológica, es decir, hacia las personas. Es en ellas en lo primero que hay que pensar, puesto que desafortunadamente conforman un riesgo sistémico intrínseco dentro de una organización. Cada individuo es un vector de ataque para los ciberdelincuentes; y hay suficientes datos que demuestran que el factor humano está implicado en la mayoría de los incidentes de seguridad.
El principal consejo para abordar este gran reto del riesgo sistémico sería conocer quién representa un riesgo dentro de la organización, cómo se puede atacar a esas personas, cuál es la probabilidad de que esto verdaderamente suceda y, entonces, cómo afectaría ese compromiso a un sistema más amplio o a la propia organización. A partir de ahí, también sería necesario examinar todas las áreas de la organización: la arquitectura empresarial, el ciclo de vida de desarrollo de software, la cadena de suministro y la comunidad de proveedores, así como los datos, por citar algunas áreas, entendiendo los riesgos intrínsecos de cada una. La superficie de ataque ha aumentado exponencialmente en las organizaciones, y los ciberdelincuentes no dejarán de explotarla constantemente.