El caballo de Troya de la Transformación Digital
No es fácil llegar a un acuerdo en lo que significa transformación digital. Algunos proponentes hablan de los sistemas tecnológicos que hacen que las empresas capturen más valor de sus procesos de negocios. Otros más bien lo abordan desde la perspectiva de nuevas propuestas de productos y servicios a los clientes, con apoyo de nuevas tecnologías disruptivas.
Sin importar la definición exacta de lo que signifique Transformación Digital, sí involucra un elemento en el que todos están de acuerdo. La digitalización de datos y procesos. Es decir, el migrar del mundo analógico de los papeles, expedientes y llamadas telefónicas al nuevo paradigma de la automatización, la analítica y la toma de decisiones basada en datos.
Si consideramos el ambiente empresarial de hace unos 25 años, la digitalización era casi inexistente, circunscrita a unas pocas empresas e instituciones con grandes capacidades de inversión. La razón era simple: la cadena de valor estaba muy segmentada en términos de la tecnología. De poco valía tener un expediente electrónico de un paciente, por ejemplo, si no existía el ancho de banda para que éste pudiera ser consultado en cualquier hospital del país. O en la industria de retail, no era ni siquiera posible poner a disposición de los clientes la lista de productos y precios digitalizada, porque ni siquiera existían los medios electrónicos de hoy, como el Smartphone, para poderlos consultar.
Algo muy poderoso comenzó a ocurrir a finales del siglo pasado: empresas comenzaron a crear nuevos modelos de negocio basados en la internet. Para 1991 ya se había creado la World Wide Web, y para 1992 ya había más de 1 millón de computadoras conectadas en el mundo, y 10 millones para 1996. Y entonces se creó la burbuja que cambiaría el mundo como lo conocemos.
Cualquier empresa que dijera que tenía negocios en internet era atractiva para los inversionistas. Se crearon empresas que hacían cosas innovadoras, como Pets.com, que vendía suministros para mascotas a bajo precio por internet, pero quebró porque aún había pocos clientes conectados a la red. Pero su atractivo fue tanto que lanzó incluso comerciales en el Superbowl, y los inversionistas hicieron crecer el precio de la acción más de un 30% tan pronto la compañía se hizo pública. Sus resultados comerciales fueron desastrosos, perdiendo más de $ 140 millones en los primeros 9 meses de operación. Muchos más ejemplos tristemente famosos como una empresa que vendía abarrotes (WebVan.com), juguetes (eToys.com) o la increíblemente tonta idea de Flooz.com en donde se podía comprar dinero para usarlo para adquirir productos de ciertos web sites. Todas ellas flotaban en efectivo proveniente de los inversionistas, hechizados por el nuevo mundo digital.
Así miles de millones de dólares se dirigieron a las nuevas compañías tecnológicas, y mucho de ese dinero se usó para construir la infraestructura de almacenamiento, comunicación y sistemas que, posteriormente actualizada, resultó ser la base de la Transformación Digital de hoy. Los anchos de banda crecientes, la capacidad de almacenamiento de datos, y en definitiva el poder de la analítica de datos son herencia de la burbuja de las .com.
Pero además la conexión de eventos que nos ha llevado a donde estamos hoy, un mundo en el que el retail tradicional se minimiza frente a las ventas en línea; en donde las empresas, bancos y Gobiernos comienzan a pensar más en el autoservicio de los clientes y ciudadanos que en crecer en agencias y sucursales, y en el que los conciertos, premieres de películas y clases universitarias comienzan a estar cada vez más en el mundo digital; desencadena un grupo nuevo de riesgos que solo viven en él: los ciberataques.
En un mundo analógico no existen ciberataques. Un expediente digital en papel puede ser violentado usando una fotocopiadora, pero extraer información análoga de, digamos, 100,000 pacientes, es virtualmente imposible. Pero el mundo digital abre millones de portillos a través de los cuales un atacante con conocimientos tecnológicos puede poner de rodillas a muchas instituciones que han comenzado su proceso de digitalización. Ese es el mundo en el que hoy vivimos, aumentado y multiplicado hasta el infinito por la crisis del Covid-19, que ha obligado a hacer digital aquello que hasta febrero del 2020 aún no lo era: el teletrabajo masivo, el acceso a sistemas de manera remota, el desarrollo de capacidades de e-commerce, y muchas más.
Marzo del 2020 aceleró el camino a la Transformación Digital de las empresas, y también a la proliferación de los riesgos de mis activos digitales, como bases de datos, sistemas de email, acceso a cuentas bancarias, e incluso a información personal. Ya en el 2018 los hackers habían sustraído 500 millones de registros personales de bases de datos que se creían protegidas, más del 75% de las empresas de salud y del 90% de los bancos fueron atacados por algún tipo de código malicioso, y se calculaba que para el 2021 la inversión en protección de ciberseguridad llegaría a $ 6 billones en todo el mundo. Es seguro que estas cifras serán mucho más altas debido a la explosión de ataques desencadenada por la pandemia.
La pregunta que aún muchas organizaciones no saben responder es: ¿cuál es mi nivel de madurez en términos de ciberseguridad? Muchos departamentos de tecnología han caído en la trampa de comprar equipos, licencias y soluciones que protegen algunos dominios digitales de sus empresas, pero tradicionalmente las decisiones de ciberseguridad son tomadas al final de los procesos de diseño de soluciones y arquitecturas, talvez como una herencia del mundo análogo en el cual no era necesario preocuparse mucho por los atacantes que ponían en riesgo mis sistemas. Entonces hay portillos que se dejan abiertos, riesgos que no son cuantificados, y en consecuencia vulneraciones costosas en manos de los atacantes. Por lo tanto, la primera iniciativa enfrentando un mundo más plagado de riesgos digitales es comprender cuáles son nuestras capacidades, para así elaborar una hoja de ruta de correcciones y maduración.
Piénselo bien. ¿Sabe su empresa cuántos ataques pudo repeler el mes pasado? ¿Cuántos de sus colaboradores recibieron un email sospechoso? ¿Cuántos lo abrieron? O lo más importante, ¿sabemos cuánto tiempo tardaremos en volver a un modelo operativo viable luego de un ataque violento de un hacker sofisticado? El fallar en responder a estas preguntas implica responder de manera reactiva, con altos costos y poca certeza de éxito, a un ataque que sin duda ocurrirá.