Ya viene el Día Mundial de la Logística (este próximo 16 de febrero). Qué mejor momento para exponer un tema preocupante para esta industria: históricamente, por sus propias características y necesidades, las empresas logísticas tienen múltiples proveedores de TI con los que cubren necesidades de software y software como servicio (SaaS), infraestructura, servicios gestionados, conectividad y mucho más. Como, debido a esto, manejan redes de TI cada vez más complejas, las vulnerabilidades ocultas ponen en mayor riesgo la resiliencia de los datos y la continuidad del negocio. Esto ocurre porque, al expandir su patrimonio de datos, tienen dificultades para mantenerse al día y dejan, sin darse cuenta, brechas en su resiliencia de datos de las que se valen los ciberdelincuentes.
Con tanto por abordar, ¿por dónde deberían empezar estos negocios? Puede que no sea la respuesta que las compañías de logística desean escuchar, pero lo que necesitan es empezar desde cero. Dada la inmensa magnitud de los patrimonios de datos y las redes de terceros, un enfoque fragmentado sólo empeorará la situación. En lugar de responder de forma reactiva a las amenazas y los cambios en el cumplimiento normativo, hay que abordar la resiliencia de datos de forma integral. De lo contrario, las brechas sólo se multiplicarán.
Para las empresas que buscan gestionar sus patrimonios de datos, la prioridad es lograr una visión precisa de todo su panorama. Pero analicemos esto: según Statista[1], los datos crecen exponencialmente. En 2010, todo el universo digital ocupaba únicamente 2 zetabytes (ZB), mientras que para 2024 ya generábamos 147 ZB; los datos de negocios representan una parte importante, con el explosivo aumento de la última década.
Con la IA ya consolidada, esto no hará sino crecer. Fortune Business Insights[2] calcula que el mercado de gestión de datos empresariales se duplicará de nuevo en los próximos años, pasando de $111,000 millones de dólares (2025) a cerca de $243,000 millones (2032). Por lo tanto, si los negocios logísticos no actúan ya, no podrán ponerse al día. Para muchos, implementar la IA habrá requerido más que unos pocos cambios puntuales en su enfoque de datos, cómo se almacenan y qué herramientas se utilizan con ellos. Y el ritmo al que muchos hayan adoptado esta tecnología tal vez haya provocado que se hicieran varios cambios en los activos sin los procesos más exhaustivos.
Sin querer, esto ha creado silos, pues las áreas usan la IA de varias formas, dejando grandes cantidades de datos fuera de la jurisdicción organizacional tradicional. Las empresas pueden creer que son capaces de verlo todo, pero en realidad carecen de la visión completa. Al final, no tiene sentido aplicar nuevas prácticas de gestión de riesgos si se pierden grandes partes del patrimonio de TI o elementos de su pila tecnológica por no saber que están ahí.
Al abordaje desde cero
La proliferación de datos empresariales no se limita a la pila tecnológica propia y operada por el negocio; el análisis de los patrimonios de datos también debe incluir soluciones de terceros. Según un estudio de CyberRisk Alliance[3], una organización promedio emplea 88 proveedores de TI externos, por lo general confiando al 100% en sus soluciones, pero dichas soluciones suelen ser “cajas negras” que ofrecen poca o nula transparencia sobre los datos que albergan y sobre los métodos de resiliencia de datos utilizados para protegerlos.
Es común contratar a proveedores externos para aliviar parte de la presión que conlleva implementar sus soluciones, pero entonces se centran demasiado en el resultado de la solución, y no en la infraestructura que la provee. Las empresas suelen asumir que los proveedores se encargan de todo, pero sin la configuración de un Modelo de Responsabilidad Compartida definido, podrían estar creando, sin saber, brechas significativas en la resiliencia de sus datos. Deben analizar más de cerca cómo brindan sus proveedores las soluciones.
¿Qué hay del tema regulatorio?Aunque se están introduciendo regulaciones en todo el mundo para abordar la resiliencia de los datos, un estudio de McKinsey sobre resiliencia de datos en las grandes empresas puso de manifiesto que muchas empresas aún presentan deficiencias. Una tercera parte de ellas consideran ser más resilientes que sus capacidades reales de referencia, y esta brecha de conocimiento se debe en gran medida a que no tienen claro el alcance de los patrimonios de datos y los proveedores externos. Cuando esto queda fuera de la ecuación, se generan importantes lagunas en la resiliencia de los datos. No se trata necesariamente de que las regulaciones no sean lo suficientemente exhaustivas, sino de que los negocios en realidad no analizaron previamente sus patrimonios de datos o a terceros con tanto detalle.
Para evitar que los ciberdelincuentes aprovechen las brechas, puntos ciegos o puertas traseras, lo mejor es hallarlos y cerrarlos. No será fácil, pero es vital para que las compañías aborden de forma eficaz sus deficiencias de resiliencia de datos. ¿Cómo lograrlo? Con evaluaciones críticas, tanto de las medidas internas de resiliencia de datos, como de las de sus proveedores, para exponer las vulnerabilidades y dependencias. Deben identificar y abordar los puntos débiles en la cadena de suministro de terceros, los silos de datos ocultos y cualquier otra brecha antes de que un atacante pueda tomar ventaja de su existencia.
Esta gran tarea no puede hacerse a solas; evaluar y mejorar la resiliencia de datos a esta escala requiere que la empresa y sus proveedores externos colaboren. Como en cualquier situación de este tamaño y complejidad, contar con el marco adecuado representa la diferencia: el Modelo de Madurez de Resiliencia de Datos (DRMM) es un estándar industrial independiente del proveedor que incluye una sólida autoevaluación y un marco para desarrollar un plan que fortalezca la resiliencia en el tiempo. Al seguir un enfoque interfuncional basado en modelos como éste, los negocios logísticos pueden desarrollar un plan que reúna a los equipos de TI, Seguridad y Cumplimiento para garantizar que todas las áreas de su patrimonio de datos y la red de terceros estén cubiertas.
Y cuando se hayan introducido estas nuevas medidas, hay que seguir haciendo pruebas. Madurar la resiliencia de los datos de una organización es un ciclo continuo de aprendizaje y adaptación conforme evolucionan las amenazas. Realizar pruebas periódicas y exhaustivas puede parecer una molestia, pero no será nada comparado con el impacto de un ataque real. Como dicen, cuando una puerta se cierra, otra se abre, así que la industria logística debe asegurarse de que no queden puertas abiertas que podrían atravesar los atacantes.
