Por Mgtr. Geovanny Barrera Calle, Intendente de Seguridad de la Información y Delegado de Protección de Datos, Empresa Eléctrica Regional Centro Sur C.A.
Al incorporar tecnologías emergentes para automatizar procesos administrativos y operativos las empresas buscan la optimización de recursos, disminuir los costos de producción, mejorar la experiencia del cliente y la calidad de los productos o servicios, así como disminuir los tiempos de atención para quejas y reclamos.
En la mayoría de empresas generalmente priorizan la operatividad antes que la seguridad, pues se piensa que los elementos o herramientas de seguridad disminuyen los tiempos de respuestas dentro de las automatizaciones, por ende, gran parte de las implementaciones de tecnologías emergentes se las realiza asumiendo riesgos de seguridad y brechas de seguridad que pueden ser aprovechadas por atacantes cibernéticos.
Otro riesgo de seguridad es que cada día se diseñan y se desarrollan nuevas amenazas cibernéticas por los delincuentes informáticos, quienes se apoyan justamente en tecnologías emergentes de automatización para que sus ataques sean mucho más eficientes y efectivos. La principal preocupación de los responsables de seguridad de la información en aspectos de la automatización de procesos básicamente se centra en como disminuir esas brechas de seguridad que pueden generarse durante la implementación de tecnologías innovadoras. De allí que quienes cumplan funciones en áreas de seguridad y protección de datos, deberán trabajar de manera coordinada y permanente con las áreas de IT en todas las etapas de la automatización, para que conjuntamente puedan identificar, analizar y tratar los riesgos cuando se incorporen las tecnologías emergentes. Además, los responsables de la estrategia de seguridad y ciberseguridad deberán asesorar y vigilar el cumplimiento de los planes de acción referentes a la implementación de los controles de seguridad que debe ejecutar el área de IT y el resto de las áreas del negocio.
Además, debido al acelerado desarrollo de nuevas amenazas o ataques utilizando tecnología emergente como la Inteligencia Artificial, los responsables de la seguridad y protección de datos, deberán gestionar oportunamente la aprobación de presupuestos más amplios con la Alta Dirección de la empresa, de manera que se puedan ejecutar estrategias de seguridad que contemplen tecnologías de avanzada y contrarrestar eficazmente los ataques o responder eficazmente a los incidentes o eventos de seguridad que impacten al negocio.
Los procesos empresariales que implementan tecnologías emergentes para su automatización deben revisar y actualizar sus políticas de seguridad. Usualmente todo tipo de procesos siguen el ciclo de Deming PHVA (Planificar, Hacer, Verificar y Actuar), por lo tanto, en cada una de estas etapas se debe adaptar políticas de seguridad que respondan a estándares, marcos de trabajo o normativas como ISO 27001, NIST CFC, NERC, PCI DSS, CIS, entre otros, pues esto permitirá al CISO establecer un Sistema de Gestión de la Seguridad de la Información en base al cumplimiento de dichas normativas, ajustándose al contexto de la organización.
Como toda nueva adopción, la hiperautomatización plantea desafíos especialmente en seguridad, de manera que las empresas deben fortalecer su madurez en la gestión de procesos y en la seguridad de la información, ambos alineados con las nuevas tecnologías.
También es necesario tomar atención con los sistemas heredados que aún muchos negocios tienen pues es posible que requieran de grandes inversiones para integrarse con herramientas de automatización. Para evitar implementaciones costosas y prolongadas, es importante migrar gradualmente estos sistemas a plataformas más modernas, incorporando controles de seguridad y protección de datos avanzados desde el inicio.
Además, el factor humano es determinante en la transición hacia la automatización. La capacitación continua del personal de IT y seguridad ayuda en la creación de una cultura organizacional, pues facilita una adopción ágil, estructurada y segura de las nuevas tecnologías. De este modo, las empresas podrán integrar la automatización sin comprometer la seguridad ni la estabilidad operativa.
El rol de quienes están al frente de la seguridad durante la adopción de tecnologías emergentes de automatización es amplio y cubre innumerables responsabilidades como:
- Asesorar a la alta dirección de la empresa en temas de seguridad y protección de los datos (empresariales, personales y datos sensibles), con el objeto de que se tomen decisiones adecuadas al incorporar tecnologías emergentes para la automatización de los procesos del negocio.
- Gestionar la entrega de los recursos necesarios para que el Sistema de Gestión de la Seguridad de la Información de la empresa alcance un modelo de madurez óptimo para establecer una cultura de seguridad y privacidad dentro de la organización.
- Coordinar de principio a fin las iniciativas empresariales que contemplen la adopción de tecnologías emergentes, con el único objetivo de ajustar las estrategias de seguridad, desarrollar políticas y procedimientos para mantener un control adecuado de la seguridad de la información en todas sus etapas.
- Implementar un plan de capacitación continuo para el personal a su cargo en temas de seguridad relacionados con la utilización de tecnologías emergentes que le permita mejorar los indicadores de sus procesos de seguridad.
- Compartir experiencias con diferentes grupos de interés para desarrollar comunidades orientadas a la resolución de problemas de seguridad y protección de datos a todo nivel.