Por: Alexandra Zambrano, Miembro de AECI.
La transformación digital se ha convertido en una necesidad en la agenda empresarial durante la última década. Si bien la transformación digital ofrece numerosas oportunidades y beneficios, también conlleva riesgos significativos que deben abordarse de manera proactiva y continua.
Al adoptar tecnologías emergentes, las empresas deben estar preparadas para enfrentar desafíos como la seguridad cibernética, la privacidad de los datos y la confianza del cliente.
A través de diversos informes y estudios de firmas especializadas en seguridad, se han identificado algunos de los principales desafíos y riesgos que deben abordarse en una gestión efectiva de ciberseguridad, para un adecuado viaje de transformación digital seguro, exitoso, rentable y sostenible.
El informe “Riesgos Globales 2024” del Foro Económico Mundial, muestra que la mayoría de los expertos globales encuestados (53%) destacan a la desinformación generada por la inteligencia artificial y a los ciberataques (39% encuestados), como principales riesgos tecnológicos probables a presentarse en el año 2024.
Sin embargo, es importante observar la gravedad del impacto estimado por los riesgos tecnológicos a corto, mediano y largo plazo.
Esto resalta la complejidad de los desafíos actuales, donde la manipulación de información, el efecto adverso de las tecnologías de inteligencia artificial (desde sesgos algorítmicos hasta decisiones no éticas), y los ataques cibernéticos pueden tener un impacto devastador en la confianza del cliente y la estabilidad de las empresas o un impacto beneficioso que mejore la experiencia del cliente.
La posibilidad de mitigarlos o de prepararse para combatir estos riesgos queda en manos de la mesa empresarial, la adopción de la inteligencia artificial en nuestro país (Ecuador) tiene un gran potencial para abordarlos, cada sector empresarial tiene diferentes realidades y datos propios, el uso adecuado y ético de los mismos permitirá incrementar o disminuir su madurez en el proceso de transformación digital.
Cuando los actores de amenazas lanzan ataques por todo tipo de razones, pueden surgir varios riesgos que interfieren con la transformación digital, riesgos clave a considerar son: pérdida de datos sensibles, interrupción de servicios, costos adicionales, falta de confianza en las herramientas tecnológicas facilitada a los clientes, daño a la reputación, impacto negativo en la innovación.
Datos recabados por IBM revelaron que el costo promedio de un ciberataque (filtración de datos) en el año 2023 alcanzó los 4,45 millones de dólares. Esta cifra subraya la importancia de una inversión proactiva en medidas de seguridad para mitigar los riesgos financieros y operativos asociados con ciberincidentes.
Algunos ciberataques pueden ser más o menos costosos, siendo prioritario considerar los ciberataques de filtración de datos que ponen en riesgo la información de datos personales, ya que pueden derivar en pérdida de confianza de los clientes, e incluso acciones legales, adicional al costo económico, por ende, es crítico e indispensable tomar medidas de seguridad para mantener la privacidad de los datos frente a estos ciberataques.
El informe regional Security Report – Latinoamérica 2023 de ESET, señala que uno de los vectores de ataque más utilizados en nuestro país es el phishing, seguido de troyanos y spyware. Estos métodos de ataque resaltan la necesidad de una educación continua sobre ciberseguridad y una vigilancia constante para detectar y responder a posibles amenazas.
La participación del factor humano puede aumentar la efectividad de ciertos tipos de ataques, así lo destaca la investigación de Kaspersky, siendo otro aspecto y riesgo crítico a considerar en la gestión de transformación digital.
Del estudio de Kaspersky resulta sorprendente que personas influyentes en la ciberseguridad empresarial violen intencionalmente las normas y mejores prácticas de seguridad de la información, causando el 22% de incidentes cibernéticos, alertando que, aunque los sistemas de seguridad sean sólidos, el eslabón más débil de la cadena de ciberseguridad continúa siendo las personas, permitiendo enfatizar la importancia de la concientización, ética y el cumplimiento en todos los niveles de la empresa.
De manera general, las empresas que han iniciado o se encuentran en algún proceso de transformación digital y aquellas que aún no lo han hecho pueden enfrentar riesgos de ciberseguridad similares, aunque la magnitud y la complejidad de estos riesgos pueden variar.
Algunos riesgos comunes de ciberseguridad que ambas categorías de empresas podrían enfrentar a corto y mediano plazo son:
Brechas de seguridad de datos
- Exposición de datos personales.
- Manipulación sin control de la información.
- Pérdida de datos confidenciales.
- Uso inadecuado de datos sensibles.
Resultados adversos de las tecnologías de inteligencia artificial
- Desinformación generada por la inteligencia artificial.
- Sesgos algorítmicos.
- Falta de transparencia en la toma de decisiones.
Ciberataques
- Interrupción de servicios.
- Pishing.
- Malware.
- Suplantación de identidad.
Daño a la reputación
- Sanciones, multas.
- Falta de confianza en las herramientas tecnológicas.
- Impacto negativo en la innovación, por uso inadecuado de información.
Falta de consciencia de las personas
- Poca importancia a la ética y responsabilidad cibernética.
- Insuficiente conocimiento de ciberseguridad.
Para gestionar eficazmente varios riesgos de ciberseguridad en este entorno digital en constante evolución, las empresas deben adoptar un enfoque integral que incluya:
Ética y adopción de mejores prácticas
- Educar continua y responsablemente sobre ciberseguridad y privacidad.
- Fortalecer la confianza del cliente.
- Promover la conciencia de ciberseguridad social.
- Desarrollar y aplicar políticas claras sobre el uso ético de la inteligencia artificial y la gestión de datos.
- Garantizar la integridad y confidencialidad de los datos de los clientes y operaciones.
- Mantenerse informado sobre las tendencias y desarrollos en el panorama de ciberseguridad y adaptar continuamente las estrategias y medidas de seguridad en consecuencia.
- Generar cultura y servicio de ciberseguridad.
Transparencia
- Usar adecuada y éticamente los datos.
- Considerar derechos y libertades de las personas, en el tratamiento de datos personales con y sin uso de herramientas de inteligencia artificial.
- Cumplir regulaciones.
- Establecer canales efectivos de comunicación y colaboración tanto interna como externamente para compartir información de gestión de incidentes y mejores prácticas de ciberseguridad.
Adopción de nuevas tecnologías
- Priorizar la ciberseguridad como parte integral de la estrategia de transformación digital.
- Inversión proactiva en medidas de seguridad.
Gestión del conocimiento.
- Monitoreo constante para detección y respuesta a posibles amenazas.
Gestión de Riesgos
- Realizar evaluaciones periódicas de riesgos y vulnerabilidades.
Mejorar la gestión de accesos y privilegios.
- Prevenir brechas de seguridad.
- Incrementar la protección de datos.