Colaborador Invitado - Mark Chillingworth Escritor, Editor y Fundador de la Red de Liderazgo Tecnológico Europeo Horizon CIO.
Dentro del tumulto y el bombo que rodea a los planes para transformar digitalmente las organizaciones, con demasiada frecuencia, la seguridad de la salida queda en el olvido. La salida se percibe como algo que no forma parte de la digitalización, a pesar de que procesos vitales de negocios dependen de salidas físicos y digitales. Por lo tanto, la salida, en todas sus formas, requiere los mismos altos niveles de estrategia en seguridad que los procesos puramente digitales, tales como el comercio electrónico y la seguridad de datos — ambos dependientes de la gestión de salida.
"Lo primero que recibes al ingresar como paciente sanitario es una pulsera de identificación", explica Guy Tucker, arquitecto de soluciones de LRS. Esa pulsera se imprime en el momento y contiene información exclusiva relacionada con cada paciente individual. La digitalización ha cambiado y mejorado numerosos procesos de negocios, pero la necesidad de salida en formato físico y digital perdura en muchos mercados verticales. Esto es igualmente cierto cuando se trata de etiquetar cajas de productos preparadas por un negocio para su distribución, así como de identificar muestras en un laboratorio o de satisfacer las necesidades de accesibilidad de clientes y pares.
La gestión de salida e impresión se ha mantenido como principio central de negocios, porque es rentable. Las etiquetas RFID son costosas y erosionan los márgenes de beneficios de fabricantes que luchan contra niveles récord de inflación. La gestión de salida no se limita a la impresión. La creación de un documento de flete en PDF elimina la impresión de una copia, pero continúa exigiendo los mismos niveles de gestión de salida que la impresión corporativa.
Vulnerabilidades digitales
Las vulnerabilidades surgen cuando la gestión de salida no se considera como parte de la transformación digital de una organización. En 2023, vulnerabilidades en tecnología de salida condujeron a permitir el acceso a organizaciones por puertas traseras relacionadas con la autenticación, exponiendo estados tecnológicos a inyecciones de SQL y riesgos de XSS (cross-site scripting). Una vulnerabilidad expuso a organizaciones a 18 tipos diferentes de ataques. Otras vulnerabilidades han expuesto a empresas a ataques SSRF (server-side request forgery), o falsificación de solicitudes del lado del servidor. Esto ocurre en un momento en que el Informe de Liderazgo Digital, emitido por la comunidad de altos ejecutivos de tecnología de la información, cita que un 52% de las grandes organizaciones ha sufrido un ataque significativo de ciberseguridad en los dos últimos años.
"Los ciberincidentes pueden tener serias repercusiones para organizaciones de todos los tamaños, tanto a largo como a corto plazo, desde causar daños reputacionales hasta paralizar por completo las operaciones", dijo Lindy Cameron, Jefa Ejecutiva del National Cyber Security Centre (NCSC), las fuerzas de ciberseguridad del gobierno del Reino Unido. "En vista del aumento de los incidentes, es vital que las organizaciones colaboren con sus proveedores para identificar riesgos en la cadena de suministro y asegurar la implantación de medidas de seguridad apropiadas", añade Ian McCormack, Subdirector del NCSC para Resiliencia Cibernética Gubernamental. Las cadenas de suministro complejas son un hecho en los negocios modernos, y dependen de las tecnologías de salida para compartir y verificar información.
Guy Tucker de LRS opina que parte del problema se debe a que la salida es considerado como una utilidad, y las organizaciones y sus empleados no son conscientes de los riesgos. "Si tienes un informe que debes imprimir, eso puede representar un flujo de datos abierto, y esos flujos deben ser autenticados", comenta. La empresa analista de tecnología, Gartner, descubrió en 2022 que un 69% de los empleados evita las guías de ciberseguridad de su organización, y que un 74% pasará por alto gustosamente la ciberseguridad con el fin de hacer su trabajo. Las tecnologías de salida, si no se gestionan eficazmente, pueden permitir que los empleados se salten las reglas de seguridad poniendo en peligro la organización.
No pases por alto el salida
Si la gestión de salida no se considera con regularidad como parte de las guías de ciberseguridad, el vector de amenaza aumenta. Tucker dice que, con excesiva frecuencia, la gestión de salida se ignora cuando las organizaciones planean e implementan estrategias informáticas en la nube. "Un dispositivo de salida es una computadora. No es menos potente que un ordenador portátil, por lo que representa un nuevo punto de ingreso en la red".
Jevern Partridge, Director de Informática (CIO), está de acuerdo: "La gente no piensa en la seguridad de la impresión hasta que tienen una fuga debido a que algo se ha impreso en el dispositivo equivocado". Tucker añade que la fuga de la ficha médica de la estrella del pop, Britney Spears, en el UCLA Medical Center, EE UU, en 2008, debería haber alertado a las organizaciones. La seguridad de los documentos es muy importante.
Una de las causas de los riesgos de seguridad derivados de la gestión de salida recae en que, a menudo, la responsabilidad es compartida entre departamentos. Los equipos de gestión de servicios generales y abastecimiento tienden a acarrear un alto nivel de responsabilidad en cuanto a la tecnología de salida. Sin embargo, con frecuencia, estos departamentos están regidos por indicadores clave de desempeño (KPI) basados en precio y carecen de conocimientos en seguridad de datos. En los peores casos, algunas organizaciones permiten que sus líneas de negocios formen sus propias relaciones en el suministro de dispositivos de salida.
Para los líderes de tecnología de las empresas, el riesgo está en que la gestión de salida se perciba como algo puramente relacionado con la impresión. La salida, tanto si se imprime en papel, etiqueta electrónica o artefacto digital, es importante y debe evaluarse y gestionarse con los mismos altos niveles de ciberseguridad que el email, las redes, las bases de datos y los sistemas de comercio electrónico.
Un planteamiento estratégico
Para muchas organizaciones, la respuesta no es que la propiedad recaiga en un solo equipo. Los resultados de las empresas siempre son un esfuerzo conjunto. Es más importante que las organizaciones cuenten con un planteamiento estratégico para la gestión de salida, que defina y refleje las necesidades del negocio y los riesgos de seguridad presentados por la información contenida ahí.
La ciberseguridad está comenzando a comprenderse como un riesgo para los negocios situada al mismo nivel que otras amenazas, tales como el cambio climático y los desastres naturales. La gestión de salida debe considerarse parte del mismo círculo. Las organizaciones maduras se están dando cuenta de que la ciberseguridad no se limita a los departamentos de informática o es un problema exclusivo del director de seguridad de la información (CISO), sino que todos los miembros de la organización tienen una función a la hora de hacerle frente. Asegurar la salida debe seguir la misma ruta.
"La gestión de salida requiere que la administración del usuario final disponga de fuertes capacidades en todas las disciplinas, tales como bases de datos, redes y dispositivos", dice Tucker. Partridge, CIO, concuerda: "Implementa todo lo básico en seguridad y hazlo bien". Él recomienda a sus pares que utilicen las funciones de seguridad contenidas en las herramientas de creación de documentos para, de esa forma, configurar la seguridad al nivel del documento; eso evitará impresión innecesaria o que se comparta información sensible. "Si marcas un documento como confidencial, no podrá imprimirse, copiarse o enviarse", expresa.
Con respecto a la política sobre seguridad, Partridge añade: "Es una cuestión de educación, educación, educación y de mostrar al personal de tu organización ejemplos de la vida real, porque todos bajamos la guardia".
La digitalización continuará cambiando los procesos de negocios. La creación de salida digital y físico seguirá siendo un factor clave dentro de los procesos de negocios. Si se pasa por alto, la gestión de salida podría ser la puerta abierta que un cibercriminal busca y resultar en daños significativos para las finanzas y la reputación del negocio. Por lo tanto, la gestión de salida debe considerarse como parte de la estrategia holística para que el negocio sea más eficaz y seguro.
Las organizaciones no pueden permitirse considerar la gestión de salida como algo externo a sus ambiciones de transformación digital o a las medidas de protección de ciberseguridad del negocio. Crear un entorno informático eficaz y seguro requerirá una mayor colaboración y un planteamiento estratégico de la gestión de salida.