Cómo influye la deuda técnica en la ciberseguridad

Qué es la deuda técnica

La deuda técnica en proyectos tecnológicos es básicamente decantarse muchas veces por lo más barato para cumplir con un requisito de implementación, ajustarse a un presupuesto tecnológico bajo que, muy frecuentemente existe en las empresas u organizaciones, sobre todo, si estas son pequeñas o medianas empresas.

Y, aunque parezca increíble, también puede pasar en las grandes empresas por el afán de “ahorrarse” dinero.

Pues bien, esto al principio puede funcionar a las mil maravillas, pero a medio o largo plazo se desnudan problemas derivados de una implementación que, en la mayoría de los casos, carece de la calidad, funcionalidad, compatibilidad o ciberseguridad necesarias que va de acuerdo con los estándares internacionales de los factores antes mencionados.

Como consecuencia de lo anterior se paga un precio determinado por cuanto se hayan alejado de esos estándares, y ese precio se transforma en la deuda técnica.

Las consecuencias de la deuda técnica

La deuda técnica puede ser aplicada por seguir empeñándose en trabajar con herramientas obsoletas para continuar con una operación ineficiente y llena de riesgos de ciberseguridad, tanto interna como externa, ya sean estas herramientas de hardware o software. Tarde o temprano se pagará un precio.

Con una amplia variedad de posibles factores, entender cómo los impactos técnicos de la deuda en un negocio puede ser un desafío. En realidad, la deuda técnica no es muy diferente de la deuda económica. Por ejemplo, si se toma un préstamo, se tiene el dinero que necesita hoy para comprar una casa o un automóvil que se pueden estar vendiendo a precio demasiado bajo por tener problemas en los cimientos o algunos problemas mecánicos menores en el caso de un automóvil, y se termina pagando una cantidad más alta si esa casa o automóvil no tienen los estándares de calidad o seguridad mínimos.

De manera parecida, incurrir en deuda técnica mientras se construye un producto que se va a sacar el mercado puede mejorar su tiempo de velocidad de comercialización, pero le costará más a la organización en términos de tiempo y dinero a mediano o largo plazo, y en estos casos, cuando el producto no es para consumo interno, sino que es para clientes de la compañía, se puede terminar pagando un precio enormemente alto en credibilidad y reputación de esta empresa. En realidad puede convertirse en una pesadilla e inclusive podría destruir una empresa, y eso ya se ha visto en la historia de la informática y la tecnología cantidad de veces.

Como ejemplo se pueden mencionar casos de empresas tecnológicas, que no mencionaremos, pero que todos conocemos, que han sacado al mercado productos de defensa contra virus informáticos y amenazas de explotación de vulnerabilidades, y cuando estas vulnerabilidades son explotadas por piratas informáticos en masa alrededor del mundo la credibilidad y reputación de estas empresas se viene abajo, todo por usar mano de obra “barata” sin la experiencia y conocimientos necesarios. O, tal vez, pueden contar con una excelente mano de obra conformada por ingenieros muy experimentados y cada quien experto en su campo, pero debido a la premura de sacar al mercado sus productos, muchas veces se cae en el error de “saltarse” ciertos procedimientos de prueba de calidad y seguridad para cumplir con la salida de un producto al mercado en una determinada fecha por presiones internas, provocando la aceleración de la fabricación del producto en cuestión para que llegue a los usuarios lo antes posible.

Inclusive, productos tecnológicos que requieren hardware especializado, como, por ejemplo, componentes electrónicos muy delicados, algunas compañías pueden decidirse por usar insumos “baratos”, usando materiales o partes de hardware de menor calidad, por ajustarse a un presupuesto bajo o comprometido para que las ventas ofrezcan un margen de utilidad grande, dejando a la calidad de lado, pero la deuda técnica pasa factura tarde o temprano. Hoy en día hay una enorme variedad de competencia en estas ramas y es muy fácil perder la base de clientes que probablemente ha costado años a una compañía en cuestión de meses o inclusive días.

En el campo de la tecnología y la informática son relativamente pocas las compañías que se preocupan por mantener un estándar de calidad alto, porque tienen que competir en precio con otras compañías que abaratan sus precios para hacerlos más atractivos para el consumidor, pero por eso sus nombres son sinónimos de excelencia y calidad en su rama y nadie pone en duda la inversión en sus productos, ya que su rentabilidad a mediano y largo plazo está prácticamente garantizada.

Relación directa entre deuda técnica y ciberseguridad

La deuda técnica puede provocar muchos problemas derivados de la misma, pero pocos tienen un impacto tan profundo como lo tiene en la ciberseguridad. En una encuesta hecha en más de un millar de empresas que tienen sus oficinas principales en Estados Unidos, Reino Unido, Australia, Alemania y Francia, el 48% admitieron que han tenido un incidente de ciberseguridad causado solamente por tecnología en obsolescencia en uso en estas empresas.

Muchas veces las empresas tienden a subestimar la ciberseguridad por considerarla un mecanismo preventivo que no forma parte de una operación diaria de una empresa, pero el no implementarla de una manera debida puede generar una deuda técnica enorme si los procedimientos y operaciones no están alineados con estándares de seguridad internacionales.

En estos tiempos en el que todos los procesos y operaciones están atados a la tecnología la ciberseguridad es vital, los CISOs (Chief of Information Security Officers), que en idioma español son los Jefes de Seguridad de la Información son una parte importantísima para que la ciberseguridad tenga un alto nivel y que la deuda técnica sea manejable y no se convierta en uno de los mayores problemas en la empresa u organización.

Riesgos potenciales en ciberseguridad por la deuda técnica

La deuda técnica puede comprometer a la ciberseguridad de una empresa u organización de diferentes maneras, a continuación, expondremos algunos riesgos más comunes que se corren en empresas alrededor del mundo que pueden generar deuda técnica:

• Gerencia de TI débil: Una ocurrencia que se da frecuentemente en las empresas y organizaciones, es un líder tecnológico que no está preparado para tomar las riendas de un departamento de TI e incurre en muchos errores por falta de visión, experiencia o inclusive falta de acción, la inacción al subestimar un evento que pueda potencialmente poner en riesgo la ciberseguridad puede ser fatal.

• Canales de comunicación ineficientes: La comunicación en las empresas u organizaciones es muy importante para operar de una manera eficiente, pero la comunicación entre el Departamento de TI y el resto de los departamentos es vital para que la ciberseguridad esté a un buen nivel. Es muy importante ofrecer capacitaciones constantes sobre los productos nuevos y potenciales que pueden llegar a la empresa u organización para que los departamentos ya vayan considerándolos como una nueva herramienta que los va beneficiar en sus operaciones diarias y saber manejarlos bien y no originar una brecha de seguridad por el mal manejo del nuevo producto. Igualmente es muy importante que los otros departamentos alerten al Departamento de TI a través del CISO, y ver la factibilidad de una implementación para evitar que un riesgo se convierta en una brecha de seguridad.

• Conflictos entre gerencia de TI y la jefatura de la seguridad de la información: Gerencia de TI y el CISO deben conformar un equipo altamente integrado para salvaguardar la continuidad fluida de las operaciones y una ciberseguridad eficiente. En muchas ocasiones en las empresas la ciberseguridad no está alineada con los objetivos del departamento de TI y eso puede originar una deuda técnica importante si ambos no están de acuerdo en puntos importantes para implementaciones de proyectos medianos y grandes.

• Resistencia a la modernización: Muchas veces en las empresas u organizaciones la resistencia a la modernización y la innovación bloquea el poder mejorar la eficiencia de la operación e inclusive se puede convertir en un riesgo grande para la ciberseguridad de la empresa. El tener equipo u aplicaciones obsoletos, o próximos a serlo, puede convertirse en una brecha de seguridad muy importante para la empresa por no contar con los mecanismos de ciberseguridad necesarios para proteger la información que contienen o procesan. El espionaje externo e interno, la caducidad de equipo y software que contienen información sensible, potenciales ataques cibernéticos, ransomware (secuestro de la información), virus y otras amenazas no les permiten a las empresas u organizaciones de darse el lujo de resistirse a la modernización en este mundo en el que todo está atado a la tecnología, y como consecuencia directa, la deuda técnica que puede generarse puede ser muy alta.

• Falta de implementación de pruebas (testing): En un proyecto de alto nivel e impacto organizacional amplio es sumamente importante llevar a cabo pruebas de calidad y seguridad en un nuevo producto antes de su implementación, sea éste para consumo interno o, con mucho mayor razón, para sacar al mercado. Muchas veces se cae en el error de subestimar la importancia de hacer pruebas y no haber hecho suficientes, o haberlas hecho, pero no en el ambiente y condiciones apropiados, y después viene la deuda técnica a pasar factura la cual puede ser muy alta si no se toman con la debida seriedad del caso las pruebas debidas.

• Falta de automatización: La automatización de operaciones es algo sumamente importante no solamente en los procesos y tareas del departamento de TI sino en los otros departamentos de una empresa, es sabido que uno de los factores de seguridad más importantes hoy en día es la automatización, entre más automatizadas estén las operaciones en una empresa hay menos posibilidades de manipulación de información, favoritismo, error humano y fuga de información. Entre más manual sean las operaciones más riesgo habrá en la ciberseguridad y aumenta grandemente la posibilidad de adquirir deudas técnicas fuertes.

Como disminuir la deuda técnica en las empresas

Todas las empresas, no importa si son pequeñas, medianas o grandes tienen que lidiar con la deuda técnica en algún momento y en algún grado, he aquí algunas medidas que ayudarán disminuirla:

• Contratar al personal técnico adecuado para los puestos claves: Muchas veces en algunas empresas se contrata casi solamente a personal técnico clave en base a que su expectativa salarial baja, y creen que con eso están ayudando al bienestar económico de la misma cuando en realidad lo que están haciendo es exactamente lo contrario, en las empresas debe de existir una combinación entre experiencia y juventud para que ambas se complementen a la hora de encarar proyectos grandes y complejos, y puedan compartir eficazmente responsabilidades y delegar tareas que requieren mucho análisis y determinación para llevarlas a cabo con la debida confianza. Al casi solamente tener personal inexperto se corre el riesgo de generar una deuda técnica fuerte.

• Mejorar las políticas de la empresa en cuanto a tiempos de entrega de proyectos de TI complejos: No siempre más rápido es mejor, se está en una época en la que casi todo debe ser hecho rápidamente, sin importar si realmente hay una urgencia, solo porque las políticas de las empresas empujan a implementar rápidamente proyectos complejos que deben de tener una duración de implementación lógica y no esperar que sean completados en tiempos no-realistas. Los proyectos complejos deben de tener controles de calidad y de seguridad muy estrictos para evitar que se conviertan en generadores de deudas técnicas a mediano o inclusive corto plazo.

• Mejorar los canales de comunicación entre el personal técnico y el personal operativo y administrativo: Debe de existir una retroalimentación adecuada de parte de todos los departamentos y las gerencias para poder alinear los objetivos de la empresa juntos, y de esta manera poder priorizar las necesidades tecnológicas de TI de cada uno de ellos de manera ordenada y escalada, y así no caer en roles de “apagafuegos”.

• Capacitación constante sobre las herramientas más complejas: Hay que brindar capacitación de manera frecuente, sobre todo a personal clave de la empresa que utiliza este tipo de herramientas ya que en la complejidad de una herramienta hay un alto grado de riesgo de caer en deuda técnica si se incurre en errores o mal uso de estas. Dar capacitación frecuente a personal administrativo y operativo es algo imprescindible cuando se están implementando herramientas complejas.

• Gerencia de proyectos de TI eficiente y colaborativa: La Gerencia de Proyectos de TI debe de llevarse a cabo con un seguimiento muy minucioso para que no se caiga en errores de implementación, debe de estar bien alineada con los departamentos involucrados de la empresa, la Gerencia de TI y el CISO para evitar caer en deuda técnica a mediano o largo plazo, así como también llevar a cabo la inclusión de controles de calidad y ciberseguridad en las diferentes etapas del proyecto.