¿Qué son las operaciones digitales en la empresa?
Entendemos como operaciones digitales todas las operaciones relacionadas con la transformación digital de una empresa.
¿Qué ventajas puede aportar la transformación digital?
Algunas de las ventajas de la transformación digital:
- Aumento de la productividad.
- Mejor comunicación interna durante la ejecución de procesos.
- Mejora de los procesos (en general).
- Mejora la comunicación con los clientes.
- Mayor competitividad (en general).
- Mayor agilidad operativa.
Como vemos las ventajas de la transformación digital son varias y con bastante valor empresarial.
Ejemplos de casos de éxito en transformación digital
A lo largo de la historia han sido muchas las empresas que han tenido un proceso de transformación digital exitoso. Por citar algunos ejemplos:
- Toyota: una de las empresas pioneras en transformación digital. Propuso desde la creación de metodologías de trabajo como la inclusión de tecnología en todos los procesos de manufacturación y trato con el cliente. En los últimos años es sabido que Toyota tiene muy en cuenta el “machine learning” dentro de sus operaciones digitales.
- Zara: integración de la tienda online. A día de hoy, de hecho, la estrategia que parece estar siguiendo Zara es priorizar el comercio online y reducir el número de tiendas físicas.
- UPS: se presenta como un caso de estudio ya que tanto sus directivos como sus trabajadores deben tomar cientos de decisiones diarias, por esto, la directiva de UPS decidió aplicar la transformación digital mediante un programa interno de transformación digital llamado “EDGE”. Gracias a “EDGE” los trabajadores mejoraron su experiencia en la toma de decisiones y los clientes mejoraron su experiencia con el servicio de mensajería.
- BBVA: durante los últimos años ha apostado por la banca online siendo uno de los principales pioneros en introducir la tecnología en operaciones bancarias.
Importancia de la transformación digital segura
A la hora de empezar un proceso de transformación digital, debemos tener en cuenta la seguridad de los procesos tecnológicos que vamos a crear.
Desde hace años, y más hoy en día, hemos visto múltiples casos de incidentes de seguridad tanto en pequeñas empresas como en multinacionales o gobiernos. Este tipo de incidentes pueden producirse si la seguridad informática no está presente en nuestra empresa y, como es normal, cuantos más procesos y operaciones digitales tengamos, más puntos de fallo y potenciales incidentes de seguridad podremos tener. Por esta razón siempre hay que priorizar la ciberseguridad en las operaciones digitales.
Como se suele decir en este caso: «la ciberseguridad no es opcional».
¿Cómo realizar un proceso de transformación digital seguro?
En primer lugar, para garantizar un proceso de transformación digital seguro y una creación de operaciones digitales seguras hay que tener en cuenta, como hemos dicho, que «la ciberseguridad no es opcional», por lo que la integración tendrá que estar pensada siempre desde dos puntos de vista: los procesos y la ciberseguridad.
Algunos de los elementos más importantes desde el punto de vista de la ciberseguridad podrían ser:
1. Incluir personal experto en ciberseguridad en la creación de las operaciones.
Contar con personal experto en seguridad asegurará una visión desde el punto de ciberseguridad correcta, ya que este personal estará informado de las últimas tendencias en seguridad, así como de los ataques más comunes y más usados en el momento. La opción ideal de este personal es que ya cuente con conocimiento sobre los procesos empresariales que se van a crear o adaptar, sin embargo, siempre pueden apoyarse en los encargados de realizar estas tareas de creación o adaptación.
2. Usar tecnología y software auditados.
Un punto importante en la transformación digital es no reinventar la rueda, en vez de eso es recomendable utilizar tecnologías y software probado y auditado siempre que sea posible, ya que a la hora de crear nuevo software se multiplican las posibilidades de crear nuevos fallos de seguridad en este software y aumentan los potenciales costes de auditoría.
Si hablamos de crear nuevo software haría que enfocarse en realizar procesos de seguridad durante el análisis (por ejemplo, modelados de amenazas), durante el desarrollo (por ejemplo, código seguro y testing) y durante el despliegue y explotación (pentesting, análisis de vulnerabilidades). Por otro lado, si hablamos de software propio que ya estamos utilizando, lo ideal sería centrarse en mantener ese software actualizado y auditado (pentesting y análisis de vulnerabilidades).
3. Mantener el software actualizado.
Relacionado con el punto anterior entra en juego la auditoría de versiones del software utilizado en los procesos. Es recomendable y casi obligatorio usar un software actualizado, ya sea a sus últimas versiones o en sus versiones LTS. Usar un software actualizado minimiza la posible aparición de vulnerabilidades y vulnerabilidades “Zero day” (las vulnerabilidades Zero Day / 0 Day son aquellas que no han sido descubiertas en los procesos de auditoría, por lo tanto, cuando se descubren son vulnerabilidades “recién” descubiertas en software en producción).
4. Tener en cuenta la criticidad de los datos gestionados en los procesos y operaciones desde un puto de vista legal y seguro.
Hay que tener en cuenta que es muy probable que muchos de los procesos creados o adaptados tengan que manejar datos, tanto en procesamiento como en almacenamiento, por esta razón también es importante tener en cuenta los reglamentos y leyes de protección de datos del lugar donde se esté realizando la operación, por ejemplo, en el caso de la Unión Europea, tener en cuenta el RGPD.
5. Formar a los empleados encargados de la realización o supervisión de los procesos en ciberseguridad.
Otro de los puntos importantes una vez implementados los procesos de operaciones digitales es formar a los empleados encargados de utilizar estos procesos con conocimientos básicos en ciberseguridad o en su defecto con sesiones de concienciación (https://www.helloworld-school.com/programas-formativos/ciberseguridad/concienciacion-en-ciberseguridad-nivel-intermedio ) en la misma materia. Formar a estos empleados reducirá potenciales errores a la hora de trabajar con los procesos y operaciones desarrollados (desde el punto de vista de la ciberseguridad).
6. Implementar una estrategia de confianza cero o Zero Trust.
Por último, vamos a tratar uno de los puntos más importantes no solo en operaciones digitales seguras si no en ciberseguridad en general. Este concepto es el concepto de confianza cero o “Zero Trust”. Este concepto se basa en tener la visión de que ningún recurso interno o externo es confiable, es decir las amenazas pueden venir tanto de dentro como de fuera de nuestro entorno de confianza, en este caso nuestra empresa.
Algunas de las políticas detrás de las estrategias de “Zero Trust” son:
- Segmentación de redes.
- Control de software.
- Control de usuarios.
- Control de dispositivos USB.
- Monitorización de red (SIEMS, listas blancas, listas negras, etc.).
- Restringir tipos de archivos.
- Control de acceso a recursos (mediante roles, por ejemplo).
Las estrategias de “Zero Trust” son altamente eficaces, pero tienen un contra que hay que tener en cuenta. No podemos aplicar una estrategia de “Zero Trust” excesivamente restrictiva debido a que si aplicamos unas políticas excesivamente restrictivas estas van a influir negativamente tanto en la producción como en la motivación de los empleados, ya que van a generar que realizar ciertas acciones a menudo necesarias para el desempeño del trabajo sean incómodas de realizar (envío de ficheros, mantenimiento de software, utilización de dispositivos USB, etc.)
Conclusión
La transformación digital y la creación de operaciones digitales es un proceso que puede dar muchísimas ventajas estratégicas a una empresa, sin embargo, si esta transformación no está planteada y ejecutada de una manera segura puede llegar a crear más inconvenientes (en forma de problemas de seguridad) que ventajas. Por esta razón siempre es importante contar en el proceso con personal especializado en el mundo de la ciberseguridad o en su defecto formar personal en esta área antes de empezar a plantear la transformación digital o la creación de operaciones digitales.
Una vez llevada a cabo la transformación digital nuestra empresa tendrá nuevos procesos formados por operaciones digitales que serán usados / supervisados por empleados. Otro punto importante es formar y concienciar a estos empleados para reducir los potenciales problemas de seguridad que se puedan originar durante el uso de las nuevas operaciones y procesos digitales.
Por último, también es destacable que si en nuestra estrategia de transformación digital tenemos pensado establecer una política de “Zero Trust” deberemos hacer un análisis previo de qué medidas incorporaremos en la misma, ya que deberemos ser flexibles con la ecuación seguridad – usabilidad (comodidad).
Con estas recomendaciones estaremos un poco más cerca de una transformación digital segura.
