Viernes negro de la tecnología

¿Problema técnico o sistema frágil?

Seguiremos preguntándonos por el Black Friday tecnológico en las próximas semanas, las dudas y la perplejidad seguirán presentes. Estábamos incrédulos e indefensos hace unos días, seguimos perplejos y recelosos. Nos explicaron, o al menos intentaron convencernos, de que no se trataba de un ciberataque, no hay un actor malicioso como en los casos de ciberataques, sino de una actualización del Falcon de CrowdStrike, que al parecer habría minimizado las filtraciones de datos de todas formas, un problema técnico. Sin embargo, ¿dónde están las pruebas de las actualizaciones en un grupo restringido de entidades, antes de su lanzamiento?

Entonces nos hemos dado cuenta más claramente de que el oligopolio de los gigantes del suministro cibernético e informático hace que demasiadas infraestructuras críticas (públicas y privadas) dependan de la calidad de las actualizaciones y parches lanzados por uno o dos actores del mercado. La cadena de suministro creada por Microsoft a lo largo de décadas hace que no sólo las empresas, sino también los Estados dependan de ella; Rusia y China, sin embargo, salen indemnes.

Por tanto, el sistema puede ser frágil. Fue, según los expertos, la debacle más grave de la historia de la informática: la pantalla azul de la muerte apareció en miles de PC.

¿Cuáles son las consecuencias jurídicas? Serán -los próximos- días y meses de peticiones y preguntas parlamentarias en todos los países afectados por un apagón de infraestructuras críticas. Sólo unas semanas más, dicen los expertos, para restaurarlo todo mientras explican cómo.

Las agendas digitales de los países occidentales tienden cada vez más, afortunadamente, a modernizar la prestación de servicios a los ciudadanos. Pero lo hacen confiando siempre en las mismas enormes empresas privadas de software, de las que se hacen dependientes, quitándoles responsabilidad.

¿Infraestructura en cloud o local?

El acontecimiento mundial reabre escenarios y genera preguntas. ¿La infraestructura informática debe ser interna o en la nube? Como siempre, ventajas e inconvenientes, riesgos y oportunidades. La evolución digital, la IA, requieren potencia de cálculo, y las infraestructuras en la nube mejoran la defensa, son flexibles, racionalizan los costes, aligeran la carga de las estructuras internas: el software como servicio es el modelo. ¿Podemos volver atrás y abordar el problema internalizándolo, con infraestructuras in situ? La interconexión de sistemas, plataformas, lo que nos rodea, lo que utilizamos cada día está completamente digitalizado aunque los sistemas sean heterogéneos.

Tal vez sea entonces el momento de volver a hablar de las competencias esenciales para crear resiliencia y mantener el control y la gestión dentro de las organizaciones. La UE ha emprendido un camino para poner de relieve la importancia de la resiliencia: el Reglamento DORA y la Directiva NIS 2 son directrices en este sentido. Se trata de obligaciones, normas de gobernanza y organización, responsabilidades, funciones de control, minimización del impacto de los ciberriesgos mediante la aplicación de estrategias, políticas, procedimientos, protocolos y herramientas TIC adecuados. Lo que se necesita, por tanto, son competencias organizativas internas, elecciones estratégicas internas y externas, gobernanza de los procesos, gobernanza de la seguridad tecnológica y digital que no descuide la cadena de suministro y pueda elegir conscientemente entre el despliegue de la nube o la nube híbrida: no hay vuelta atrás. Gobernar los riesgos manteniendo el control de las infraestructuras tecnológicas es el único camino a seguir.

Giuseppe Calabrese, CEO Secursat