Jueves, 10 octubre 2019

Riesgos digitales: cómo conocerlos y gestionarlos

Se habla continuamente de transformación digital en las empresas. De subirse al carro de la digitalización para no quedarse atrás. De empezar a aplicar procesos digitales porque “hay que hacerlo…” sin más.

Lo que muchas veces se olvida es que todo cambio implica riesgos. Y más vale conocer a fondo lo que se pretende hacer para poder controlar la mayor cantidad de variables y evitar consecuencias negativas.

Ser digital en la empresa

Aplicar un proceso de transformación en la empresa requiere un cambio de mentalidad antes de ir a la acción. Exige analizar el estado del cual se parte. Ser digital en una empresa implica conocer los riesgos, amenazas y posibles sanciones que pueden ocurrir al desarrollar la actividad.

Por eso es tan importante elegir la tecnología adecuada, los proveedores y herramientas acertados. Así se evitará incurrir en riesgos de costes, tiempo, problemas de integración, incompatibilidad, ciberseguridad, privacidad o compliance.

José Luis Gallego, consultor, experto tecnológico y profesor del Programa de Transformación Digital de UNIR, lo explica muy bien. Con frecuencia las empresas pretenden “hacer digital antes de ser digital”, es decir, buscan soluciones tecnológicas para subirse a ese poderoso carro de la digitalización porque sí.

Conociendo los riesgos digitales

Existe una serie de riesgos frecuentes a la hora de adoptar herramientas y procesos tecnológicos. Una serie que, de acuerdo con la experiencia de Gallego como consultor, son recurrentes y suelen aparecer uno detrás de otro.

Los riesgos digitales suelen ser recurrentes y aparecen uno detrás de otro.

  • – Riesgo 1: intentar “hacer digital” antes de “ser digital”. Se debe analizar primero dónde está el problema, luego aplicar una solución tecnológica que se incorpore a los procesos y aporte utilidad.
  • – Riesgo 2: adoptar herramientas sin revisar procesos. Está relacionado con el punto anterior, los procedimientos se deben ajustar a lo realmente necesario y eliminar pasos superfluos, inútiles y que no aportan valor.
  • – Riesgo 3: olvidarse del cliente cuando hacemos selección de herramientas tecnológicas. Gallego lo explica así: “Todo proceso, proyecto, plan o estrategia de transformación digital debe ir enfocada en, por y para el cliente. Estar donde está el cliente, usar los canales que usa, y en base a esa premisa, ir transformando los procesos que tienen algún paso o punto donde uno de los actores que intervienen es el cliente”.
  • – Riesgo 4: relación con proveedores tecnológicos y flexibilidad/facilidad de integración, importación y exportación de la información. Para que, en casos de dificultades, las soluciones aparezcan de manera fluida.
  • – Riesgo 5: seguridad, privacidad y cumplimiento normativo. Un punto delicado en cada empresa y que genera no pocos dolores de cabeza.

La seguridad digital: ciberamenazas y el reglamento RGPD

Como ya se señaló, es un aspecto delicado y muy amplio a la hora de tratar en cada empresa. A grandes rasgos, es elemental educar a los empleados en ciberataques por ingeniería social. Deben difundirse en la organización los procedimientos adecuados básicos de seguridad: contraseñas, accesos físicos a edificios, qué y cómo se comparten cosas por internet en sistemas empresariales o en redes sociales.

 

También hay que auditar todos los accesos y todos los sistemas, tanto sensibles como no sensibles; así como limitar esos accesos sólo a los roles o grupos necesarios.

Otra medida es automatizar la aplicación de políticas, y replicarla en los sistemas de forma periódica por si ha existido alguna acción “manual” fuera del proceso. Por último, se debe educar a los ingenieros de software y desarrolladores para garantizar que las soluciones que desarrollen tengan la seguridad como una parte intrínseca de la solución, no algo a garantizar a posteriori por los técnicos de operación.

Adaptarse al nuevo reglamento RGPD: datos de los clientes, acceso, tránsito y propiedad.

En cuanto al nuevo reglamento RGPD, José Luis Gallego lo resume en 4 puntos indispensables:

1.- Los datos de tus clientes, cualquier dato, sea el que sea, debe estar almacenado en Europa. Cualquier país de la UE es válido.

2.- El acceso a estos datos debe ser restringido, auditado y supervisado, y solo puede hacerlo alguien de tu empresa o compañía. Nunca un tercero. Si quieres o necesitas que lo haga un tercero, tu cliente debe de forma expresa aceptarlo, y debe saber qué empresa, para qué, cuánto tiempo, y a qué datos va a acceder.

3.- El almacenamiento también es aplicable al tránsito, es decir, por dónde viajan los datos. No vale que un dato vaya de España a Dublín pasando por USA.

4.- El cliente es dueño de sus datos. No tú. Esto ya era aplicable en la LOPD: métodos de acceso, rectificación, eliminación, etc. Y además, el cliente tiene derecho a solicitar un inventario completo de qué datos disponemos sobre él, para qué han sido usados, dónde y cómo.

Qué hacer ante una situación de riesgo

Es importante tener soluciones de contingencia estructuradas y ensayadas, así como planes B para accionar si el principal no está funcionando.

 

Las áreas con más tendencia a los riesgos y errores suelen ser las de ventas y las relacionadas directamente con el cliente. Todo lo que tenga que ver con él es sensible: seguridad, explotación de datos, inteligencia artificial, contact center; y el cliente suele ser poco amigo de los riesgos.

Con frecuencia se pretenden implementar macrosoluciones que resuelvan de todo en el proceso de transformación. Y se trata más bien de escoger una buena alternativa para situaciones específicas en vez de tratar de cubrir varias a la vez. Con ello se puede, más bien, propiciar la aparición de nuevos problemas.

En la 5ª edición del Programa de Transformación Digital de UNIR, los alumnos aprenden a tomar en cuenta los riesgos digitales que pueden presentarse, estudiando ejemplos prácticos de profesores experimentados en empresas como José Luis Gallego.

Él recomienda la mejor solución ante una situación difícil: “Si ya tienes un problema párate, piensa, y respira. No actuar de forma histérica sino controlada para minimizar, mitigar o eliminar el riesgo, sin crear nuevos riesgos mayores.  Y que el pánico no te paralice, no dejes de respirar…”.