KPMG Blogs

open

Entradas del tag: estrategia

Vuelta a la autoescuela – Las palancas de una iniciativa estratégica

Por Eduardo Junco
on 05. 04. 2017

No hay nadie en el mundo al que le gusten los coches de choque más que a mí. Una experiencia perfecta donde acelerar a trompicones, la inexistencia de reglas y poder apretar el acelerador y el freno a la vez. Pero conducir de verdad tiene muy poco que ver y cuando vas por primera vez a la autoescuela es cuando te das cuenta.

Conducir un coche es parecido a la gestión de un negocio puesto que requiriere visión, pericia, experiencia y dominio de la situación. De la misma manera, conducir un coche (uno de verdad, no uno de choque) requiere entrenamiento, atención y experiencia. Parámetros parecidos. Pero aun siendo conductores o gestores expertos, son muchas las ocasiones en las que observamos negocios que desarrollan estrategias o iniciativas en las que el acelerador esta apretado y el otro pie sigue en el freno, generalmente sin ser conscientes.

De ahí que abogo por que en el desarrollo de estrategias nos acordemos de la época en la que íbamos a la autoescuela, y del dichoso “cinturón, espejos, embrague, punto muerto, arranque, indicador, espejos, primera y adelante”; ¿Y por qué me acuerdo de esto?,  porque en definitiva, todo es una lista de palancas a revisar antes de echar a andar. Y como expuse en el post anterior, ‘’de palancas va la cosa’’.

De la misma manera que en un coche existe una “check list” a tener en cuenta antes de echar a andar, también existen en los diferentes negocios y organizaciones. En KPMG identificamos nueve palancas que son comunes a los negocios y que reaparecen siempre. Esto es lo que llamamos las 9 Palancas de Valor, de las que entraré en detalle en la siguiente publicación.

Si bien es verdad que existen distintos tipos de coches (automáticos o manuales, potentes o ahorradores, deportivos o  4×4, etc.), también hay negocios con diferentes características y tipologías, y en consecuencia, las palancas no siempre serán las mismas pero en realidad son muy similares. Lo que de verdad cambia es su importancia e impacto en la ejecución.

Una furgoneta de reparto no tiene nada que ver con un Formula 1, pero tienen muchos elementos en común, desde el espejo retrovisor hasta el tubo de escape, la diferencia está en el diseño y relativa importancia. En un negocio pasa lo mismo, a primera vista un restaurante tiene poco que ver con un banco, pero también tiene muchos elementos en común como la localización, la importancia de la experiencia del cliente, la gestión de personal, etc.

El tema específico de cuáles son las nueve palancas, lo trataremos en la siguiente entrega. Por ahora, os dejo con esta reflexión. En la autoescuela aprendimos lo del “cinturón, espejos, embrague, punto muerto, arranque, indicador, espejos, primera y adelante”. Más o menos, esto lo seguimos aplicando cada vez que nos montamos en el coche y conducimos. Pero, ¿existe algo parecido cuando desarrollamos estrategias?

P.S: A mí siempre se me olvidaba poner el intermitente.

Autor: Eduardo Junco es director de Deal Strategy de KPMG en España

Este articulo forma parte de una serie de artículos sobre como mejorar el diseño y la conducción de estrategias a través del uso de las 9 Palancas de Valor de KPMG. Entregas anteriores se pueden encontrar aquí

Las compañías low cost se reinventan para seducir de nuevo al consumidor

Por Jorge Sainz
on 01. 02. 2017

El consumidor se ha vuelto poco a poco más sofisticado y la austeridad fruto del ahorro de algunos costes básicos hacen que la reputación de la marca se haya debilitado.

“The Predictive Day”: El análisis predictivo en el entorno actual

Por Antonio Cerdán
on 23. 06. 2016

El acceso a una mayor cantidad de datos y con mayor frecuencia se ha convertido en una oportunidad estratégica para las compañías. Qué información recabar y cómo convertirla en valor es hoy fundamental para diferenciarse y ser competitivos. Analizar, Modelar y Predecir es hoy en día una las piezas clave que tienen los directivos para hacer crecer su negocio, mejorar el rendimiento y gestionar el riesgo. Los modelos predictivos son herramientas estratégicas que ayudan en cuatro tareas estratégicas de cualquier organización: la toma de decisiones de negocio, la medición del impacto de esas decisiones, el diagnóstico anticipado de los cambios en el mercado y la innovación a partir del aprendizaje de los modelos.

Hoy en día, la analítica predictiva tiene cabida en todos los sectores de actividad económica desde aplicación en el sector financiero (Banca y Seguros), telco, utilities, gran consumo o retail. Asimismo, los modelos predictivos ayudan en una serie de cuestiones clave dentro de los negocio de las compañías (definición de productos, fijación de precios, priorización de clientes en la venta de productos, fidelización de clientes, inversión en publicidad, distribución óptima al punto de venta, atención de clientes, inversiones de redes de comunicación, etc.).

Actualmente, la tecnología nos permite recabar más y mejor información útil para los modelos predictivos. Una vez recopilada y estructurada, existen distintas herramienta (incluso “opensource”) que facilitan la construcción de los modelos, por ejemplo,  R y TOL. Un punto clave para la puesta en producción es la transparencia en la construcción de los modelos con los clientes. Por ello, para que los equipos directivos tomen decisiones de negocio acertadas, es necesario trasmitir todo el conocimiento generado, así como las metodologías utilizadas para la construcción de los modelos.

 

Autores:

Juan Zanón es director de Management Consulting de KMPG en España                                   Antonio Cerdán es ‎senior manager en Management Consulting de KPMG en España

 

 

 

 

Ciberseguridad: las claves de una disrupción más allá de la tecnología

Por Marc Martínez
on 15. 12. 2015

 

En el contexto actual de transformación digital, big data, Internet of Things, y de innovación en general no podemos ignorar las amenazas en materia de ciberseguridad. Si hablamos de innovación y de cómo la están llevando a cabo los bancos, las compañías de telecomunicaciones o las empresas de distribución, no podemos obviar hablar a su vez de cibercrimen, uno de los sectores más innovadores en materia de delitos informáticos. Actualmente se trata de un sector que mueve millones de euros diariamente y que goza de una estructura perfectamente organizada, contando con su propia plataforma de e-commerce (la Darknet o red TOR), medios de pago – muchas veces en forma de dinero virtual como bitcoins-, además de una red de proveedores y finalmente: clientes.

Considerar las ciberamenazas como riesgos que pueden afectar muy seriamente a las compañías se convierte en una cuestión de suma importancia. Los comités de dirección o las reuniones del consejo de las compañías están paulatinamente incorporando las cuestiones de ciberseguridad en sus agendas dentro de proyectos e iniciativas de innovación. Un estudio reciente de KPMG sobre las cuestiones de ciberseguridad, en el que han participado más de 1000 CEOs de 10 países distintos, señala que las ciberamenazas están escalando posiciones en temas estratégicos que preocupan a los directivos. Asimismo, se sitúan en un mismo nivel de preocupación que la fidelización de los clientes o cuestiones de mejorar la relevancia de productos y servicios en los mercados de influencia de las compañías. Todo ello pone de relieve que la seguridad se convierte en un tema estratégico que afecta y tiene que considerar a toda la organización, considerando aspectos de procesos, personas y estructuras. No se trata de un mero tema técnico delegado en el departamento de sistemas.

Asimismo, gracias a este giro estratégico, la ciberseguridad se convierte en un asunto que ayuda a las compañías a ser más agiles, a reducir riesgos y a diferenciarse de la competencia. En este sentido es clave considerar tres aspectos.

  • Los grandes riesgos se pueden reducir en gran parte aplicando medidas de seguridad básicas.
  • Las empresas no pueden proteger al mismo nivel todos sus activos, hay que hacer un análisis de riesgos riguroso estableciendo prioridades.
  • Hay que empezar a considerar las herramientas de ciberinteligencia como un aspecto clave de nuestra estrategia de defensa.

Tenemos que anticiparnos a los cibercriminales, aprendiendo del mercado, nuestro sector y otras empresas similares.

Recientemente participé en FICOD 2015 en el marco del evento organizado por El País Retina para hablar sobre todos estos temas. Aquí tenés un resumen de mi intervención:

Autor: Marc Martínez es socio responsable de IPBR de KPMG en España

Big Data y Sostenibilidad: competir por todo o conformarse con nada

Por Daniel Lois
on 14. 07. 2015

En el tiempo que dediques a leer este post, en Internet se habrán realizado más de 4 millones de búsquedas, 1.200 webs habrán sido creadas y se habrán enviado más de 550.000 tuits y más de 400 millones de correos electrónicos. Todo esto en tan sólo dos minutos. Como apunta el Nº 16 de Consumer Currents de KPMG, el 90% de los datos generados en el mundo se han producido en los últimos dos años y la información almacenada está creciendo cuatro veces más rápida que la economía mundial. La sociedad cambia a un ritmo exponencial y las compañías que no se adapten estarán condenadas al fracaso.

Actualmente, estamos ante un mercado en el que el cliente final tiene una capacidad de decisión e influencia sobre su entorno como jamás la había tenido antes. Tenemos la oportunidad de pararnos a escuchar, para detectar de este modo que es lo que la sociedad quiere y demanda. El cliente es la clave, el rastro que deja cuando interacciona o se interesa por cualquier elemento que le rodea es un diamante en bruto, que gracias a un manejo excepcional de la disciplina del Big Data, puede convertir nuestro negocio en una joya.

Ya no nos interesa saber solamente si es un hombre o mujer con un salario de 30.000 euros anuales que veranea en Cádiz. Queremos más. Queremos predecir qué es lo que el cliente desea antes de que él lo sepa, evaluando todas las posibilidades por medio de estadísticas que nos digan cómo le podremos ofrecer un producto y servicios ajustado a sus demandas, gustos y expectativas en un tiempo muy reducido e incluso de forma inmediata.

El Big Data se basa en el análisis y tratamiento de grandes cantidades de datos para determinar qué hace que ocurra un suceso. El primer gran ejemplo lo encontramos en 2008, cuando las búsquedas relacionadas con la gripe el Estados Unidos permitieron determinar su patrón de difusión.

Por otro lado, la Sostenibilidad implica que las empresas tengan que prestar mucha más atención al entorno en el que trabajan, obligándolas a desarrollar su estrategia en aspectos éticos, sociales y ambientales que hasta ahora no se  tenían en cuenta y que ocultaban importantes costes (un estudio de 2009 reveló que el 50% de los sobrecostes de los proyectos petroleros-mineros se debían a conflictos sociales).

Además, la percepción que los grupos de interés tienen sobre su desempeño es un factor cada vez más importante en un contexto empresarial muy complejo y volátil. Según la OCDE, la esperanza de vida media de las grandes compañías es ya sólo una tercera parte de la de hace 50 años (y sigue reduciéndose) y el valor del capital de los activos físicos y financieros sólo explican el 20% de su valor (piensa esto, en 2015 el medio de comunicación más popular del mundo – una conocida red social – no genera contenido propio).

Combinar Big Data y Sostenibilidad supone ya un elemento diferenciador clave para las compañías. El análisis y tratamiento de los datos con criterios sostenibles permitirá a las compañías desarrollar y ofrecer productos y servicios con un alto valor añadido que aseguren las necesidades de nuestro presente sin comprometer las necesidades de futuras generaciones.

En una entrevista reciente Eddie Short, Socio de Data & Analytics de KPMG para UK y EMA, indicaba (sobre Big Data) que “no trata sobre determinar números detrás de la estrategia, sino sobre la estrategia que está detrás de los números”. Para las organizaciones debe ser clave entender los factores que aportan valor a la empresa para que las conclusiones obtenidas a partir del análisis de datos se traduzcan en acciones concretas que contribuyan a mejorar el desempeño de las compañías, ya que aquello que no se mide no se puede mejorar.

El futuro es prometedor, el área de mejora inmenso y el reto ya está planteado. Y tú, ¿quieres competir por todo o vas a conformarte con nada?

Autor: Daniel Lois, Executive de Risk Consulting – Sostenibilidad de KPMG en España

El empleado como centro de la estrategia empresarial

Por Segor Teclesmayer
on 04. 12. 2014

Recientemente leía las conclusiones de un estudio realizado a los CEO de grandes organizaciones, que analiza los principales intereses de este colectivo. Según este informe, el desarrollo de capacidades y habilidades de sus empleados es una de las grandes preocupaciones de los directivos. Esto es especialmente importante si tenemos en cuenta que hace sólo un año, este mismo estudio apuntaba a elementos macroeconómicos como la principal área de preocupación para este colectivo. Por tanto, es más que posible que en los próximos años veamos de nuevo una tendencia de las organizaciones al desarrollo de su capital humano.

Para KPMG, más allá de tendencias coyunturales, el desarrollo del capital humano siempre ha sido uno de los elementos claves de nuestra estrategia empresarial y en los próximos años seguimos identificándolo como una de las bases de nuestro crecimiento.

En estos tiempos de cambios continuos y permanente transformación de las organizaciones sin tiempo para la reflexión y el aprendizaje, trabajar en una firma que brinda a sus empleados oportunidades constantes de desarrollo y crecimiento profesional es un factor de diferencial. La capacidad de aprendizaje y de enfrentarse a nuevos retos, proyectos y situaciones es lo que aporta valor a los empleados, a las organizaciones y a los clientes que estas sirven.

Llegados a este punto, quizás merece la pena una reflexión acerca de qué entendemos por desarrollo profesional. Para algunos, se identifica con promocionar. Es cierto que uno de los resultados del crecimiento profesional es ir ascendiendo en la organización, la experiencia nos dice que los profesionales más completos son aquellos que han tenido experiencias multidisciplinares en distintas funciones y departamentos, y no únicamente un crecimiento vertical. Por tanto, a este elemento de “promoción” hemos de añadirle la posibilidad de progresar horizontalmente. Seguramente en los próximos años veremos cómo el haber estado en distintas áreas funcionales, será un requisito de desarrollo profesional.

Desde otro punto de vista, el desarrollo profesional se puede interpretar como la asunción de nuevos proyectos o retos que nos obligan a afrontar situaciones distintas y complejas, de cuyo éxito depende la aplicación de métodos nuevos, habilidades complejas y conocimientos avanzados. Esta concepción de desarrollo es la que más se identifica con el entorno empresarial que vivimos. Sin embargo, no podemos olvidar que la existencia de retos no garantiza por sí sola el crecimiento y desarrollo profesional, pues se requiere que dichas experiencias resulten enriquecedores y se aprenda de ellas, tanto si el resultado ha sido exitoso como si no. En definitiva, es la reflexión sobre lo aplicado lo que nos aporta conocimiento y aprendizaje

En KPMG entendemos el desarrollo de una manera más amplia y completaEn primer lugar, es necesario entender cuál es el rol que desempeñamos y cuáles son los objetivos que tenemos que alcanzar. Con ello conseguimos enfocar nuestros esfuerzos, así como comprender qué tipo habilidades y conocimientos debemos poner en práctica para su consecución. Esto nos lleva al segundo elemento de desarrollo: la formación y el entrenamiento. Más allá de modas o tendencias de un momento, la formación es un pilar fundamental para conseguir un aprendizaje óptimo. Un tercer componente es el aprendizaje de la experiencia de nuestros compañeros. En una economía en la que el conocimiento compartido se está convirtiendo en una práctica habitual, es igualmente crítico poder aprender del conocimiento experto que las organizaciones tienen a través de sus profesionales. El rol de experto en las organizaciones sigue siendo fundamental para garantizar el éxito futuro. Existe un cuarto elemento ya mencionado anteriormente. Es la promoción, ya sea horizontal o vertical. A mi modo de ver, hay una última variable que determina de forma diferencial el desarrollo de las personas. Hablo de la exigencia personal. Todo lo descrito anteriormente no es suficiente si no existe una actitud individual de querer conseguir, de querer crecer y de querer aprender.

En definitiva, creo que es fundamental formar parte de una organización que posibilite el desarrollo, que genere un entorno de crecimiento en el que haya oportunidades, que proporcione la formación y las experiencias necesarias para aprender, que cuente con talento del cual poder nutrirse, pero todo ello ha de estar acompañado necesariamente de ese componente individual de exigencia para conseguir el desarrollo profesional.

Autor: Segor Teclesmayer es socio responsable de Recursos Humanos de KPMG en España.

Cinco errores comunes en ciberseguridad

Por Javier Aznar
on 19. 11. 2014

Para muchos, el término de ciberseguridad alberga cierto halo de misterio, de no saber exactamente qué es. “Mis círculos de confianza me transmiten que es algo de lo que me debería preocupar, debido a la cantidad de amenazas y casos que salen a la luz de un tiempo a esta parte, pero no sé cómo estamos o qué hacer”

Esta es una reflexión que nos llega de nuestros clientes semana tras semana. Según nuestra experiencia, acercarse a la ciberseguridad desde el miedo o desde las debilidades de la compañía, no ayuda a plantear una solución eficaz, dando lugar a enfoques fallidos y errores como los que se plantean a continuación.

Caso 1:

Error: “Debemos alcanzar un cien por cien de seguridad”

Realidad: Un cien por cien de seguridad, ni es viable, ni debería ser el objetivo.

Empezar a concienciar a CEOs, CIOs y CISOs de que la seguridad completa y total no existe, es el primer paso del camino, permitiendo que la compañía empiece a tomar decisiones sobre cuál va a ser su política y estrategia al respecto. Una buena aproximación en seguridad consiste en entender las amenazas relativas a las vulnerabilidades de la organización (enfoque preventivo), establecer mecanismos que permitan detectar ataques o brechas inminentes (enfoque detectivo) y desarrollar la capacidad de respuesta ante incidentes, con el objetivo de minimizar los daños (enfoque reactivo).

Tradicionalmente, la defensa se ha centrado en enfoques preventivos, pensando que “construyendo muros impenetrables” estaríamos más protegidos. Una vez logremos entender que la seguridad perfecta o total es una ilusión, centraremos nuestros esfuerzos en enfoques más realistas, detectivos y preventivos.

Después de un incidente, la compañía debe ser capaz de minimizar los daños y solucionar las evidencias, para que su negocio no se resienta, debe ser resiliente.

Caso 2:

Error: “Cuando invertimos en las mejores tecnologías y herramientas, estamos seguros”

Realidad: Una ciberseguridad efectiva es menos dependiente de la tecnología de lo que puedes llegar a imaginar.

El mundo de la ciberseguridad está claramente marcado por proveedores de herramientas y  tecnologías, las cuales son esenciales para construir nuestra solución de seguridad, pero no pueden ser la base ni la condición de una ciberseguridad holística y robusta, la cual deberá emanar de la política y la estrategia de la compañía. La inversión en soluciones de seguridad será una de las consecuencias de la estrategia pero no el leitmotiv.

Una buena seguridad comienza por desarrollar una elevada capacidad de ciberdefensa. Aunque normalmente estas acciones son lideradas desde TI, el conocimiento y formación de los usuarios finales es clave para el éxito. El factor humano es y será, el eslabón más débil en cualquier cadena de seguridad, por lo que invertir en las mejores herramientas sólo devolverá un retorno adecuado cuando los involucrados entiendan  su responsabilidad de cara a la seguridad de la compañía. La ingeniería social, mediante la que se consigue acceder a información restringida de la empresa, sigue siendo una de las principales amenazas en ciberseguridad.

Concienciar a empleados y altos cargos sobre la importancia de la información que manejan, los sistemas y soluciones que tienen a su disposición y los riesgos existentes, redundará en la cultura de la organización, y por ende, en la seguridad.

Caso 3:

Error: “Nuestras armas deben ser mejores que las de nuestros atacantes”

Realidad: Tu estrategia de seguridad debe vertebrarse desde tus objetivos no desde tus amenazas.

La batalla contra el cibercrimen es el ejemplo de una carrera que nunca vas a poder vencer, como en el Outrun, ese videojuego de los 80, siempre que parezca que llegas a la meta a tiempo, un nuevo reto se abrirá enfrente de ti. Los atacantes siempre emplearán métodos y tecnologías nuevas, por lo que la defensa siempre irá un paso atrás.

Llegados a este punto nos preguntamos ¿es realmente útil seguir persiguiendo a los atacantes y continuar incrementando la inversión en sofisticadas herramientas preventivas?

Por supuesto que es importante mantenerse al día y actualizado, pero también es básico adoptar una aproximación flexible y proactiva. Los responsables de las distintas áreas de negocio de una compañía deben entender el valor de sus activos de información y las implicaciones que cualquier pérdida de información provocaría en sus negocios: daño de imagen, reducción de beneficios, pérdida de conocimiento o interrupciones en sus servicios. Las políticas de ciberseguridad necesitan focalizar las inversiones en estas áreas en vez de tratar de cubrir todos los riesgos, la aproximación es priorizar. Estar en la vanguardia, no debe distraer el foco de los que realmente es importante para la compañía, de cuál es su núcleo de negocio y de cómo y en qué medida debe protegerlo. Las inversiones y asignaciones de recursos en ciberseguridad deberán siempre ir refutadas por un business case detallado, el cual deberá ser capaz de atender cuestiones como: ¿sabemos para quienes puede resultar un objetivo nuestra compañía?, ¿conocemos que riesgos queremos tratar y cuáles asumir?, ¿somos conscientes de qué sistemas almacenan o componen  nuestros activos clave?

De acuerdo a esta última cuestión una organización puede percibir el valor de sus activos de manera diferente a la que puede tener el posible atacante, por lo que debemos atender a este valor desde ambos vectores, entendiendo que tanto los procesos de negocio como las tecnologías han sido desarrollados como cadenas, por lo que las organizaciones son co-dependientes de la seguridad de cada uno.

Caso 4:

Error: “El cumplimiento de la ciberseguridad se basa en una monitorización eficaz”

Realidad: La capacidad de aprender y crecer, es tan importante como la de monitorizar.

Sólo las organizaciones que sean capaces de entender las tendencias e incidentes que están ocurriendo en el exterior y enriquecer sus propias políticas y estrategias con este feedback serán capaces de subsistir de manera exitosa a largo plazo. La práctica nos ha enseñado que la ciberseguridad está muy ligada al compliance. Esto es entendible pero a la vez contraproducente si lo vemos como el objetivo de la ciberseguridad.

La estrategia en ciberseguridad de una compañía se debe basar en el aprendizaje y la mejora continuos. Lo que significa:

  • La organización debe entender como están evolucionando las amenazas y desarrollar una aproximación inteligente que comprenda las implicaciones a corto, medio y largo plazo, pudiendo desarrollar soluciones y estrategias que se basen en el conocimiento y el análisis de los datos. Esta aproximación, al final, siempre será más efectiva y eficiente.
  • Todos los incidentes deben ser evaluados y registrados de manera que aporten conocimiento a en forma de lecciones aprendidas. Aunque sencillo, conozco pocas organizaciones que funcionen bien en este aspecto, lo cual destruye su capacidad de conocerse, quedando su habilidad de reaccionar reducida a la incertidumbre.
  • Lo mismo se puede aplicar a la monitorización de ataques, por mucha capacidad técnica que posea la compañía si no posee flujos para compartir estos inputs, relacionarlos y adquirir conocimiento, no se generará valor añadido a las lecciones aprendidas. Sólo si sabes y estas convencido de qué es lo que estas monitorizando, será cuando la monitorización se convierta en una verdadera  y útil herramienta de detección de ataques. La función de inteligencia en seguridad, cobra en este aspecto una importancia capital para la ciberseguridad.
  • Por último, un enfoque que cada vez cobra más sentido en las grandes organizaciones, con elevados niveles de madurez en seguridad, consiste en establecer un método corporativo, cross a toda la organización para la evaluación y reporting de riesgos en ciberseguridad. La ciberseguridad no es sólo cosa de SSII o de TI, es y se asienta, en toda la organización.

Caso 5:

Error: “Necesitamos contar con los mejores profesionales para defendernos del ciber crimen”

Realidad: La ciberseguridad no es un departamento, es una actitud.

Con mayor frecuencia de la que debería, la ciberseguridad es entendida como la responsabilidad de un departamento de profesionales especializados. Como venimos viendo en el artículo, esta idea puede derivar en una falsa sensación de seguridad, dejando responsabilidades sin ser cubiertas.

El gran reto que afrontan en las compañías a este respecto consiste en hacer de la ciberseguridad un enfoque global de la compañía. En tanto en cuanto logremos que este concepto cale en la organización, habremos dado el primer y más importante paso en hacer de la ciberseguridad una actitud.

Como conclusión a este artículo y a las ideas que se desgranan de los cinco casos estudiados, determinamos que la ciberseguridad debe ser uno puntos clave de las agendas de cualquier CEO, tal y como KPMG lo ha fijado como objetivo de la firma a nivel global. Es el momento de pasar a la acción.

El presente artículo es una adaptación de “The five most common cyber secutity mistakes – Management’s perspective on cyber security” un trabajo del equipo de ciberseguridad de KPMG Países Bajos.

“Summer is coming”

Por Diego Bueno
on 11. 07. 2014

¿Llegará un momento en el que tengamos que proteger también nuestras organizaciones de manera diferente según la estacionalidad? ¿O quizá ya haya llegado, o incluso pasado, ese momento?

En realidad llevamos muchos años predicando, avisando, e incluso amenazando con que llega el invierno, “Winter is coming”, con que estamos indefensos, desprotegidos ante las terribles ciber-amenazas, intentando aumentar nuestras defensas, nuestros presupuestos para ampliar y mejorar equipos, controles, procedimientos… y tengo la sensación de que, súbitamente, nos empiezan a preguntar, a cuestionar e incluso a retar sobre la, en los últimos tiempos famosa, pregunta ¿y nosotros cómo estamos en esto de la ciberseguridad?

Cada vez es más habitual tener que responder a este tipo de preguntas, pero lo realmente novedoso es quién las plantea y de dónde viene esta inquietud. Una de dos: o ha llegado el invierno y tenemos que comprobar si nuestros mecanismos de protección aguantarán, o la percepción del riesgo ha cambiado y una preocupación que hasta ahora era de unos pocos, los preocupados por la seguridad, se ha convertido en una preocupación real de nuestros clientes, accionistas, dirección y, en definitiva, de la sociedad en general.

Probablemente exista un poco de verdad en cada reflexión; desde luego la sociedad es consciente de “nuevas” amenazas, y las preocupaciones sobre la ciberseguridad están siendo afrontadas a nivel corporativo desde diferentes áreas, no sólo de TI o Seguridad, e involucrando a los negocios. También es cierto que ha llegado el invierno y ha pasado, bien o mal, ahora pasará el verano y estaremos esperando al nuevo invierno, pero me sigue faltando algo, no sé hasta qué punto podemos responder a la famosa pregunta.

Posiblemente debamos dejar de fijarnos en el próximo invierno y estar preparados para cualquier cambio rápido en el clima. Por otro lado, en nuestro ámbito, el tiempo cambia rápidamente y en el plazo de una semana podemos sufrir varias estaciones, incluso varios inviernos. Además, parece que algunas estaciones: invierno y verano, se estiran a costa del ocaso de las restantes, con lo bonito que es el otoño… Sin olvidar que nuestras organizaciones, clientes, productos, etc., pueden ser internacionales, lo que afecta a la estacionalidad si cruzamos el ecuador. Tenemos que poner un poco de inteligencia en todo esto.

Quizá sea saludable, de cara a poder responder a la pregunta famosa, empezar a hablar también de seguridad integral o de niveles de madurez en ciberseguridad o de estrategia de ciberseguridad, de términos que hagan partícipe a una organización, de manera global y proporcionada, de la detección de amenazas y de la mitigación de riesgos.

No sé muy bien cómo voy a salir de ese símil “temporal” en el que me he metido, lo que tengo claro es que quiero saber si mañana lloverá, cuánto y dónde para decidir si salgo de casa, cómo me protejo, o si prefiero mojarme un poco que tampoco es tan malo…

¡Feliz invierno y viva el otoño!