Industria y Utilities | Noticias | 10 MAR 2021

Claves para mitigar los riesgos ocultos de la transformación digital

Se necesitan nuevas técnicas de gestión de riesgos interdisciplinares para aprovechar con seguridad los beneficios de las tecnologías transformadoras.
transformacion digital
Bob Violino

Las empresas buscan aprovechar cualquier ventaja tecnológica que puedan a medida que se adaptan a las nuevas formas de trabajar, gestionar a los empleados y atender a los clientes. Están avanzando hacia la nube, el comercio electrónico, las cadenas de suministro digitales, la inteligencia artificial (IA) y el aprendizaje automático (ML), el análisis de datos y otras áreas que pueden aportar eficiencia e innovación.

Al mismo tiempo, las empresas tratan de gestionar el riesgo, y las mismas iniciativas digitales que crean nuevas oportunidades también pueden conducir a riesgos como violaciones de la seguridad, fallos en el cumplimiento de la normativa y otros contratiempos. El resultado es un conflicto permanente entre la necesidad de innovar y la necesidad de mitigar el riesgo.

"Siempre va a haber cierta tensión relacionada con la gestión del riesgo y la participación en el trabajo de transformación digital", reconoce Ryan Smith, CIO del proveedor de servicios sanitarios Intermountain Healthcare.

"A medida que las organizaciones pivotan para aumentar el nivel de acceso digital ofrecido a los consumidores y a los miembros de la fuerza de trabajo que implican información personal y orientada al negocio, se crean formas totalmente nuevas de riesgo que deben ser mitigadas en comparación con las formas tradicionales de llevar a cabo el negocio", prosigue Smith. "Estos nuevos modelos de compromiso, habilitados a través de la transformación digital, requieren diferentes enfoques de gestión de riesgos".

A continuación se presentan cuatro áreas clave en las que los esfuerzos de transformación digital pueden introducir riesgos, y cómo las organizaciones pueden abordarlos.

 

Infraestructuras de nubes múltiples o híbridas

Cada vez más y más organizaciones están cambiando a entornos de TI apoyados por múltiples servicios en la nube, a menudo de más de un proveedor. Esto puede incluir ofertas de software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS).

Independientemente de los tipos de nubes que se utilicen, el alojamiento de datos y aplicaciones vitales fuera del propio perímetro defensivo de la organización introduce un riesgo considerable, especialmente cuando se trata de múltiples ubicaciones, servicios o proveedores. Además de la pérdida o el robo de datos, las empresas pueden tener problemas con la normativa sobre privacidad de datos, por no mencionar el riesgo de sobrecostes que se derivan de las malas prácticas de gestión de la nube.

"Los riesgos más frecuentes que vemos aquí tienen que ver con la gobernanza de los entornos en la nube: ¿Qué proveedor de la nube? ¿Qué protocolo? Los umbrales de creación, utilización, tamaño, etc., de los entornos [de desarrollo] para optimizar su uso", explica Ola Chowning, socio de la empresa de investigación y asesoramiento tecnológico ISG, y añade que es mucho más fácil abordar cuestiones de gobernanza como éstas al principio que después de la implantación.

Una estrategia multicloud "tiende a aumentar la complejidad y las herramientas de gestión y automatización desarticuladas", afirma Emal Ehsan, director de la consultora de análisis empresarial Cervello, una unidad de la consultora de gestión global Kearney. Complejidad que puede introducir el riesgo de que se produzcan fallos en las operaciones.

Además, los servicios de TI históricamente se adquirían en centros de datos propiedad de la empresa y operados por ella, y el departamento de TI se encargaba de supervisar el proceso de adquisición. Ahora, los servicios en la nube, como PaaS, pueden ser adquiridos e implementados fácilmente por los usuarios de la empresa sin necesidad de revisar la arquitectura o la seguridad, afirma Smith de Intermountain. Los responsables de TI y de la empresa deben mitigar esta situación controlando qué servicios se activan y están disponibles para los usuarios.

"Una de las mejores prácticas es garantizar que todos los servicios en la nube solicitados se sometan a revisiones adecuadas de arquitectura y seguridad en cualquier plataforma de proveedores de IaaS, PaaS o SaaS, antes de que se apruebe su uso en la empresa", afirma Smith. "Deben establecerse guías y barandillas antes de que cualquier herramienta de proveedor de nube pública pueda ser proporcionada a la organización, incluyendo la supervisión continua de todo el uso".

Los departamentos de TI, ciberseguridad y legal deben trabajar juntos para mantenerse al frente de todos los esfuerzos de los usuarios de la empresa para adquirir y consumir nuevos servicios en la nube, amplía Smith.

 

Cadenas de suministro y canales de venta digitales

Las empresas confían cada vez más en una variedad de tecnologías para mejorar y gestionar sus cadenas de suministro, incluyendo la conectividad digital de extremo a extremo, los servicios en la nube, el blockchain, la robótica, los vehículos autónomos y las herramientas de análisis avanzado, entre otros.

Esta transformación digital de la cadena de suministro puede aumentar la eficiencia y la visibilidad, reducir los errores y los costes, mejorar la colaboración con los socios comerciales y mejorar los procesos. También puede introducir riesgos, como la pérdida de datos.

Las partes implicadas en los servicios digitales de empresa a empresa (B2B) pueden emplear numerosas técnicas de mitigación de riesgos, afirma Smith. Esto incluye la elaboración de acuerdos comerciales exhaustivos con los socios que aborden los distintos riesgos y responsabilidades. Las empresas también pueden establecer controles de ciberseguridad y privacidad de datos para garantizar que la transmisión y el almacenamiento de datos sean seguros.

"Las empresas suelen exigir que se supervisen estas conexiones B2B para garantizar el cumplimiento de las políticas y los procedimientos", comenta Smith. "Además, las mejores prácticas recomiendan que se lleven a cabo frecuentes evaluaciones de riesgo de terceros para garantizar que todos los participantes en la cadena de suministro digital se adhieran a los requisitos y normas de seguridad y privacidad de la industria".

Las empresas también están confiando más en los canales de ventas digitales, tales como el comercio electrónico, el correo electrónico, el texto, las aplicaciones móviles y los eventos en línea para llegar a los clientes o prospectos.

"Los riesgos que vemos a menudo aquí son la falta de claridad en torno a una estrategia multicanal o, si se pasa completamente a lo digital, la falta de estrategia para permitir el cambio por parte del socio, el cliente y el consumidor en el otro extremo", explica Chowning. "Sin la estrategia totalmente perfilada y que impulse las prioridades y las inversiones, las organizaciones pueden encontrarse en una situación de cambio constante de prioridades en la que efectivamente ninguno de los canales progresa".

Algunos esfuerzos por crear múltiples canales digitales han llegado a convertirse en una forma de lucha interna, reconoce Chowning. "Hacer que los múltiples canales sean responsabilidad y rendición de cuentas de un solo equipo de liderazgo es a menudo una estrategia de mitigación muy importante" para ayudar a evitar esto.

 

Internet de las cosas (IoT)

Las empresas de los sectores de la fabricación, la sanidad, el comercio minorista y otros han empezado a desplegar las tecnologías del IoT de manera masiva para rastrear la ubicación de los activos, controlar el rendimiento de los equipos, recopilar datos sobre el uso de los productos, etc.

Los beneficios potenciales son convincentes, tales como cadenas de suministro y fábricas más eficientes, mejor mantenimiento de equipos y productos, mejor experiencia del cliente y reducción de costes por evitar la pérdida de bienes. Pero los riesgos también son elevados. Los ataques de denegación de servicio distribuidos, por ejemplo, ya se han atribuido a los dispositivos conectados, y las estrategias de IoT introducen numerosos puntos de entrada para la piratería informática, incluidos los propios dispositivos conectados.

Los dispositivos conectados dentro de la empresa pueden incluir potencialmente cualquier cosa, desde los sistemas de calefacción, ventilación y aire acondicionado hasta los servidores y otros equipos de TI, pasando por los vehículos, los sistemas de iluminación, los termostatos y los electrodomésticos, entre otros. Las organizaciones deben buscar formas de asegurar y mitigar el riesgo de los dispositivos conectados a la red para limitar las conexiones que estos dispositivos tienen con otros, dice Smith, y en algunos casos colocarlos en redes separadas.

"Además, hay que hacer un esfuerzo especial para coordinarse estrechamente con los fabricantes de dispositivos para ayudar a garantizar que este tipo de dispositivos se mantengan al día en cuanto a parches [del sistema operativo] y tengan los controles adecuados para protegerlos", afirma Smith.

Otras prácticas recomendadas incluyen exigir a los fabricantes de dispositivos, mediante contratos, que proporcionen formas de mantener los dispositivos actualizados y seguros; y escanear las redes corporativas para detectar dispositivos IoT en busca de signos de actividad sospechosa.

 

Automatización y análisis

Las empresas se esfuerzan por automatizar los procesos manuales que consumen mucho tiempo y mano de obra, ya que buscan acelerar las operaciones, reducir los errores y recortar los costes.

Tecnologías como la IA y la automatización de procesos robóticos (RPA) pueden ayudar a automatizar tareas como la entrada de datos, mejorando así de forma drástica la forma en que se gestionan los procesos empresariales, pero también pueden introducir riesgos.

Los principales componentes de riesgo de la analítica, la IA y el ML son los conjuntos de datos, que utilizan los científicos de datos para entrenar los modelos y las plataformas en las que se generan dichos modelos, afirma Smith.

Las medidas para mitigar los riesgos van desde la elaboración de contratos bien redactados para gestionar las asociaciones de Big Data, hasta la limitación de los datos utilizados en los conjuntos de datos al mínimo necesario y el uso de datos anónimos cuando sea posible, redunda Smith.

Parte del riesgo de la automatización puede provenir de la incapacidad de escalar lo suficientemente rápido o de cumplir las expectativas.

"El ecosistema de la automatización está experimentando un cambio significativo en este momento", afirma Ehsan, de Cervello. "Si echamos la vista atrás, empezó con la externalización de procesos, luego con la optimización de procesos —Lean, Six Sigma— hasta llegar a la RPA. Lo que estamos viendo ahora es una convergencia de RPA e IA para resolver problemas empresariales complejos".

Esta congruencia de IA y RPA está abriendo nuevas posibilidades y casos de uso que no eran posibles en el pasado, dice Ehsan, como el procesamiento inteligente de documentos con una capacidad de 175 mil millones de parámetros de aprendizaje automático, o el uso de redes neuronales y aprendizaje profundo para detectar anomalías en las transacciones.

Las organizaciones deben establecer las expectativas de automatización desde el principio e involucrar a las partes interesadas, tanto del negocio como de TI, para crear conciencia de los posibles beneficios, capacidades y usos de la automatización, dice Ehsan. A continuación, deben introducir pilotos rápidos, pequeños y a corto plazo que se centren en los beneficios.

"Aproveche los recursos altamente cualificados desde el principio contratando personal o contratando consultores para poner en marcha la gobernanza, los marcos, la gestión del cambio y la comunicación, las plantillas, el compromiso empresarial, la formación del caso de negocio y el cálculo del ROI [retorno de la inversión]", recomienda Ehsan.

 

Mitigación del riesgo digital en acción

Con cualquier iniciativa de transformación digital, las organizaciones deben evaluar a fondo los riesgos —incluidos los asociados a las plataformas tecnológicas que van a utilizar— mediante la colaboración entre los departamentos de TI, seguridad, gestión de riesgos, jurídico y otras partes interesadas. Al determinar cuáles son los mayores riesgos, los responsables de TI y de seguridad pueden abordar las iniciativas de transformación con esa perspectiva en mente.

"La seguridad de la información y la calidad de los datos son dos de los mayores riesgos cuando se trata de estas iniciativas de transformación", afirma David Lloyd, director de TI de Park Industries. "Contar con una estrategia global de datos que incluya la seguridad, los privilegios basados en roles, así como la identificación de fuentes únicas de verdad, ayudan a mitigar estos riesgos".

La mayoría de las organizaciones reconocen que aprovechar la nube, la IA, el IoT y otras tecnologías puede proporcionar beneficios sustanciales, como una mayor agilidad empresarial, una mayor escalabilidad de los servicios y una reducción de los costes, dice Smith. "Sin embargo, se deben implementar técnicas de gestión de riesgos completamente nuevas para apoyar estas capacidades transformadoras",  concluye Lloyd.

 



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios