Tecnología y empresas, las amenazas que se ciernen tras el covid-19
Por Alberto G. Luna
Madrid. Una escuela de negocios de reconocido prestigio invita a un grupo reducido de directivos a una charla sobre tecnología y su uso en las empresas. El objetivo, asesorarlos sobre cómo utilizarla de forma correcta tras la crisis del coronavirus. Entre los asistentes se encuentran compañías del Ibex 35, tecnológicas y grandes consultoras. Todos son altos cargos. Ni un solo mando intermedio. En mitad de la sesión, un invitado no deseado entra y, ante la estupefacción de los allí presentes, accede a toda la información sensible relacionada con sus actividades profesionales, además de otros datos personales como sus nombres y apellidos, cargos y correos electrónicos. Acto seguido toma el control de la cámara y micrófono, y comienza a exhibir una serie de imágenes de dudoso gusto acompañadas de una magistral música de Black Sabbath. El encargado de liderar la presentación carraspea, atónito, y propicia una serie de disculpas ininteligibles mientras trata de recuperar el control de la charla y se pregunta qué ha podido salir mal.
Pocos días después, un grupo de cibercriminales hace público en un blog de la dark web que ha robado 800 GB de información privada de Adif. La empresa pública tarda más de la cuenta en reconocer el ataque y ofrecer explicaciones, por lo que varios medios de comunicación publican la información y los cibercriminales parte del material robado.
En muchos casos, detrás de un ciberataque se esconde una falta de preparación o gestión de la comunicación por parte de una compañía. Desde EC Brands, la agencia de comunicación de El Confidencial, continuamos con el mapa de los riesgos que amenazarán al tejido empresarial español durante este 2020. Tras mostrar los del sector de la salud y bancario, estos son los próximos que ya se atisban relacionados con la tecnología.
Incremento de los ciberataques
Según Mimecast, el número de ciberataques se incrementó un 33% solo entre enero y finales de marzo de 2020. En ese mismo periodo de tiempo se detectaron 60.000 nuevas webs fraudulentas e IBM observó un aumento del spam, que se disparó un 6.000%, además de cuentas falsas en redes sociales, apps para móviles maliciosas (como Coronavirus Finder), troyanos bancarios (Ginp) e incluso suplantaciones de organismos públicos como el del Ministerio de Sanidad o la Generalitat.
“Los empleados de muchas empresas que trabajan desde sus casas carecen de equipos y protocolos seguros”
Todos ellos compartían un mismo denominador común: el covid-19. Fenómeno que también ha puesto de manifiesto el informe 'Exploiting a crisis: How cybercriminals behaved during the outbreak', de Microsoft, y que según el 'Threat Landscape Report' de S21sec, ya se ha cobrado algunas víctimas como Easyjet, la cadena de hoteles Marriot, T-Mobile o Enel, entre otras.
Preguntamos por estas cifras al Instituto Nacional de Ciberseguridad (Incibe), pero todavía manejan números de 2019, por lo que no nos pueden dar datos de España. Lo que sí nos corroboran es que actualmente los ciberdelincuentes están haciendo su agosto con la pandemia y que hay un colectivo especialmente vulnerable: las pymes.
"La mayoría de ellas no está preparada. Se han visto forzadas a adoptar políticas de teletrabajo en un corto espacio de tiempo, con los numerosos desafíos que esto supone en cuanto a la ciberseguridad se refiere. El principal problema al que se enfrentan es que los empleados que trabajan desde sus casas carecen de equipos y protocolos seguros”. El que nos habla es Marco Lozano, ingeniero de software y responsable de Servicios de Ciberseguridad para Empresas de Incibe. Las pymes que han acudido a sus cursos de formación en seguridad informática y que ya suponen una muestra de más de 3.000, a día de hoy están en las antípodas de lo que se puede entender por un entorno laboral seguro (trabajan desde casa con routers con la contraseña de fábrica -o sin ella-; carecen de antivirus o emplean sistemas operativos obsoletos y programas no autorizados que pueden permitir a terceros acceder a su información personal).
El 76% de las organizaciones carece de un plan de respuesta a incidentes de seguridad informática
Por descontado, tampoco cuentan con un plan director de seguridad. Algo que parece ser una tendencia no solo dentro de nuestras fronteras. Según un informe de IBM, el 76% de las organizaciones carece de un plan de respuesta a incidentes de seguridad informática (CSIRP en sus siglas en inglés). "Enviar un mail cada año a tus empleados con medidas de concienciación no sirve de mucho. Hay que llevar a cabo acciones concretas y simulaciones periódicas para que estén preparados”, expele Lozano desde el otro lado de la línea de teléfono.
“La pregunta no es si me van a atacar, sino cuándo lo van a hacer”, asegura David Marugán en El Enemigo Anónimo. En un mundo en que los ciberataques son inevitables, la clave está en protegerse y tomar el control de la comunicación para evitar posibles crisis reputacionales. Ser capaces de detectar vulnerabilidades de forma temprana y tomar medidas para eliminar o minimizar los posibles efectos, emplear los equipos adecuados, llevar a cabo políticas para evitar cualquier pérdida de información y garantizar la continuidad del negocio, contar con un plan de respuesta a incidentes de seguridad informática o incluso con un comité de crisis que pueda organizarse y tomar decisiones con celeridad son algunas de las medidas, en definitiva, que tienen que tomar las empresas para reducir un posible impacto sobre su negocio. Un riesgo reputacional al que se enfrentan cada día que pasa si no lo hacen.
Caída de confianza
Según el Trust Barometer 2020 de Edelman, la confianza en el sector tecnológico está cayendo una media de cuatro puntos al año. Según Sanjay Nair, presidente de Tecnología de Edelman, "la disminución de la confianza refleja que las empresas de tecnología no están preparando adecuadamente a la sociedad para el impacto de sus innovaciones”.
No es el único que lo piensa. El 61% de los encuestados cree que el ritmo de la tecnología es demasiado rápido y que sus respectivos gobiernos no entienden lo suficiente como para regularla de forma efectiva. Por otra parte, también está aumentando la desconfianza en innovaciones como la Inteligencia Artificial (IA), con el 53% de los empleados preocupados por la pérdida de sus empleos debido a la automatización.
“Tras el coronavirus vendrá otra oleada de automatización que afectará a otros sectores como el hotelero o el transporte”
Para Andrés Ortega Klein, director del Observatorio de las Ideas e Investigador Senior Asociado del Real Instituto Elcano además de autor del libro 'La imparable marcha de los robots': "Ya existió una oleada de automatización entre 2008 y 2014 que impactó en distintos sectores provocando la pérdida de empleos. Tras el coronavirus vendrá otra que afectará a otros como el hotelero y el transporte. Lo que hay que hacer es aprender a vivir con la tecnología. Para eso se necesita una mayor regulación y cuidar los aspectos éticos y filosóficos".
Los principios éticos que han de regir la tecnología llevan tiempo siendo objeto de debate por parte de las distintas culturas, organizaciones y empresas. Detrás hay una carrera geopolítica. ¿Existe un consenso? En absoluto. A principios de 2019 ya había casi 90 propuestas en el G20 en relación a la IA. Detrás de esta nube de ideas hay también una cuestión de influencia y de poder, que irá a más según Andrés Ortega Klein.
Según un informe de la consultora Capgemini, el 86% de los directivos de varios países (entre los que se encuentran EEUU, Reino Unido, Francia, Alemania o China) admite haber observado prácticas éticamente cuestionables en relación a la IA en sus empresas en los últimos dos o tres años. Una encuesta del State of IA refleja que el 70% de los directivos se inclina a favor de la creación de un comité ético. Un ejemplo sobre esto son las iniciativas que han tomado tecnológicas como Google o Microsoft al adoptar unos principios éticos sobre el uso de la IA. Pero, ¿qué principios éticos deben seguir las empresas?
El 86% de los directivos admite haber observado prácticas éticamente cuestionables en relación a la IA en sus empresas en los últimos dos o tres años
Si hay alguien que sabe de ética y tecnología ese es Emilio Suñé Llinás, Catedrático de Filosofía del Derecho en la UCM y autor del libro 'Derecho e Inteligencia Artificial. De la robótica a lo posthumano'. "El problema no es la tecnología, es el ser humano. ¿Cómo determinamos los principios a partir de los cuales regirnos para discernir si algo es o no ético? Dependerá del punto de referencia. Los valores se establecen desde potencias de la psique humana tan profundas que no es posible establecer una ética universal e incontrovertible al gusto de todos". Precisamente por eso, porque se originan en valores o, como diría Hume, sentimientos humanos.
Philippa Foot ideó en una ocasión un experimento ético conocido como el dilema del tranvía. "Un tranvía marcha fuera de control por una vía. En su camino se hallan cinco personas que se encuentran atadas. Afortunadamente es posible accionar una palanca que dirigirá al tranvía por otra vía diferente pero, por desgracia, hay otra persona en las mismas condiciones. ¿Debería accionarse?" La mayoría de los encuestados no dudó en decir que lo haría, siguiendo distintos criterios como el de la ética utilitarista o incluso kantiana. Sin embargo, si la opción de detener el tren consistiera en tirar desde un puente a un hombre a la vía, casi nadie lo haría a pesar de que el número de personas sacrificadas en ambos casos es el mismo. ¿Por qué? "Porque entran en juego los sentimientos de Hume", concluye el filósofo.
La Comisión Europea ha publicado recientemente un informe sobre la IA y la ética marcando una serie de directrices a seguir por las empresas. Se trata, en definitiva, de conjugar un correcto cumplimiento normativo con la búsqueda de maneras de actuar más humanas. Los avances tecnológicos encarnan una muestra de lo que podría ser un deseable futuro próximo, pero también se presentan como una amenaza que requiere una revisión de nuestros planteamientos éticos. Será clave, por tanto, que las entidades actúen con transparencia para generar confianza y reducir la incertidumbre. En cualquier caso, la ética no está conformada por principios permanentes, sino que ha ido cambiando a lo largo de diversas culturas y tiempos. Las marcas deben saber que no hay soluciones eternas porque el mundo está en constante cambio.
“Los valores se establecen desde potencias de la psique humana tan profundas que no es posible establecer una ética universal al gusto de todos”
El dilema de la privacidad
El nuevo mundo al que nos lleva el covid-19 ha abierto el debate sobre las posibles ventajas e inconvenientes existentes entre garantizar la protección de la esfera privada (uso y privacidad de los datos personales) y la necesidad de consolidar sistemas de vigilancia digital (control y monitorización permanente de todos los comportamientos de la población). La implementación en países como China o Corea del Sur de apps móviles que utilizan la geolocalización de las personas para controlar la propagación y evitar rebrotes, genera una dicotomía entre la salud pública y el derecho a la privacidad de los datos personales. ¿Hasta dónde alcanza la primera y nace la segunda?
La privacidad es otro de los puntos que más preocupa a los usuarios este 2020. Según un estudio de Ipsos, un 48% cree que el uso de la IA por parte de las compañías debería estar más regulado. Sin embargo, para las empresas y organizaciones esta tendencia a día de hoy no es prioritaria. Según el informe Approaching The Future 2020 solo un 22% de los directivos afirma estar trabajando en la gestión de la privacidad de datos.
Un 48% de los encuestados cree que el uso de la IA por parte de las compañías debería estar más regulado
Emilio Castresana (nombre ficticio) nos recibe en una cadena de cafés cercana al edificio donde trabaja para una de sobra conocida firma como abogado especializado en Compliance. Lleva puesto un traje de color gris oscuro a medida con una camisa azul oxford y una corbata a juego que no para de ajustarse, incómodo. Antes de empezar a hablar, ya sabemos que quiere acabar cuanto antes. “La mayoría de empresas no tiene en cuenta la protección de datos porque limita su capacidad de creación de nuevo negocio. Es decir, de ingresos. Me encuentro a diario con contratos firmados con proveedores que no cumplen con la protección de datos. En estos casos alertamos de que se está incumpliendo la normativa y que nos estamos arriesgando a cuantiosas multas”.
Por otra parte y según un informe realizado por Osano, las marcas con malas prácticas en privacidad tienen un 80% más de probabilidades de sufrir un cibertataque. Para cumplir con la normativa, según Pablo Fernández Burgueño, abogado of counsel de PwC Tax & Legal Services, “las empresas deberán hacer una foto del flujo de datos que canalizan a diario con el propósito de analizar su origen, trayecto y destino; y establecer por escrito las medidas de seguridad e informativas que mantendrá desplegadas y actualizadas a lo largo de su vida”.
Tecnología y reputación: claves para reforzarla
La importancia de la comunicación de crisis
Los continuos avances tecnológicos en internet han hecho que cada vez sea más difícil para las compañías evitar que cualquier noticia, positiva o negativa, esté presente en cada rincón del planeta. Los medios de información no están limitados a comunidades locales, sino que su impacto es mundial. Esto, unido al creciente número de ciberataques hace que los líderes empresariales deban estar preparados no solo para manejar el tratamiento que hacen de las empresas los medios, sino también para hacer frente de manera proactiva a los grupos sociales que puedan poner en entredicho la reputación de su organización. La explosión de estos en internet hace más vulnerable y volátil el valor de las compañías en el mercado.
La reputación es hoy un factor relevante para la sostenibilidad de las compañías y tiene una importancia decisiva en la cuenta de resultados. Hasta los años 90 del siglo pasado, las organizaciones se gestionaron otorgando el máximo valor al producto o servicio, elementos que eran difícilmente imitables. Lo que venía a explicar por qué los activos tangibles representaban en ese ciclo económico el 80% de su valor. Actualmente, las decisiones de compra están motivadas ya no solo por el producto, sino por lo que representan.
“La mayoría de empresas no tiene en cuenta la protección de datos porque limita su capacidad de creación de nuevo negocio”
Las crisis son inesperadas y requieren soluciones rápidas y a veces complejas. Contar con una comunicación estratégica en estos casos permitirá a las compañías prever los posibles daños que puedan surgir, anticipar soluciones y no perder la confianza de los clientes. También deberá estar estrechamente relacionada con el propósito y la estrategia global de la compañía. En el proceso de construcción de esa identidad fuerte es crucial tener unos objetivos claros. ¿Qué cambios queremos producir en el mundo? Para definirlos es necesario que el énfasis no se ponga en la marca sino en respuesta de los grupos de interés.
Una transformación digital más humana
Según un informe de Deloitte el reto al que se enfrentan las compañías en el proceso de adopción tecnológica es, principalmente, el para qué. Es decir, saber para qué se necesita. Los siguientes son la falta de madurez y el talento.
A la hora de llevar a cabo con éxito la transformación digital las empresas deberán tener en cuenta no perder de vista al cliente, que representa un espacio crucial para su diferenciación; y por supuesto a los empleados.
Los cambios de hábitos por el confinamiento están provocando una aceleración (aún mayor) dentro de las empresas. El empleado ahora teletrabaja (y no sabemos hasta cuándo), lo que ha convertido la seguridad en una prioridad. Un cambio de paradigma que lleva implícita una revolución cultural y supone movilizar personas, adoptar nuevas formas de trabajo y cambiar viejos modelos del pasado. Según un informe de Randstad los nuevos desafíos de las empresas pasan por gestionar el teletrabajo e invertir en seguridad como por ejemplo los pasaportes sanitarios con tecnología de proximidad y rastreo, o apps para reservar mesas o salas en las oficinas.
Por otra parte, todos los índices señalan que cuanto más lejos se encuentren los empleados (en otros países o teletrabajando), más importante será reforzar la cultura corporativa. Es por esto que las marcas necesitan contar con unos valores capaces de generar orgullo de pertenencia entre sus trabajadores para que, al compartirlos, se ganen la confianza de los usuarios.
La celeridad a la que cambian los entornos de trabajo también está abriendo brechas entre los empleados, de forma que algunos pueden sentirse aislados. En este sentido ya hay empresas que están creando una nueva figura dentro de sus organigramas para reeducarlos y evitar la fuga de talento. Lo que también está vinculado a otra tendencia: la desaparición de muchos perfiles debido a la automatización y la aparición de otros nuevos. Si las empresas no consiguen captar nuevos perfiles, la brecha puede hacerse aún mayor.
La mayoría de las veces, el éxito o el fracaso de la transformación digital dependen de problemas culturales en lugar de técnicos. Las entidades deberán apostar por situar a las personas, y no al producto, en el centro de la organización. Y solo las que construyan una cultura colaborativa para impulsar ese cambio lograrán retornos reales a corto plazo.
Transparencia
El uso de la tecnología ha posibilitado la comunicación a nivel personal y profesional. Pero, sobre todo, ha demostrado ser más eficaz para mitigar el virus que las medidas más tradicionales de confinamiento y cierre de fronteras; la geolocalización y el estudio de la movilidad ciudadana, el control de la temperatura corporal o la creación de aplicaciones de monitorización de datos en tiempo real reafirman el rol de la tecnología como pieza vital del futuro.
El principal reto al que se enfrentan las compañías en el proceso de adopción tecnológica es, principalmente, el para qué
Sin embargo y debido a la creciente cantidad de información personal que las empresas manejan, es importante transmitir a los usuarios que sus datos se están gestionando de forma responsable. En este sentido, las organizaciones deberán estar ya totalmente adaptadas al nuevo marco de gestión y protección de datos europeo. Según Gartner, esta tendencia requiere que las empresas se enfoquen en trabajar seis ejes: ética, integridad, apertura, responsabilidad, competencia y coherencia.
Por esta razón, una de las tendencias tecnológicas en 2020 será invertir en procesos y tecnologías de gestión de datos que garanticen la ética e integridad en el manejo de la información personal recabada y comunicar de forma transparente para influir favorablemente en los grupos de interés. Para Ángel Alloza, CEO de Corporate Excellence, "desafíos globales como esta pandemia ponen de relieve que en el nuevo mundo no necesitaremos solo de la visión de expertos especializados, como ha sido en este caso el rol de los virólogos y epidemiólogos, sino también de informáticos y especialistas en macrodatos. Aspectos que afectarán al resto de empresas en sus avances hacia la digitalización y que requerirán, en ambos casos, una comunicación transparente y clara”.
El futuro estará marcado, por tanto, por los nuevos modelos de trabajo que facilitarán la conciliación, el cuidado del capital natural y también impulsarán la creatividad y la innovación necesarias para afrontar los próximos retos dentro de un marco ético y de transparencia respecto a la privacidad y propiedad de los datos.