Enlaces rápidos

    Un dueño de empresa me dijo, con genuino orgullo, que su compañía tenía “la misma ciberseguridad” que su cliente más importante.

    Era una empresa mediana, de logística, que movía mercancía para un par de retailers grandes. Uno de esos clientes le había pasado su lista de requisitos de ciberseguridad para seguir siendo proveedor, algo que es cada vez más común. La cumplió punto por punto, sin atajos, e hizo bien la tarea; de paso adoptó todo lo demás que ese cliente hacía. Me lo contó como quien enseña un diploma.

    Le hice una sola pregunta: si mañana sufres un ciberataque y tienes que parar dos días, ¿cuánto pierdes y cuánto aguantas antes de que el negocio truene? No tenía el número. Nunca se lo había puesto a pensar. La conversación cambió de tono, porque entendió que había copiado las respuestas de un examen sin saber cuál era su propia pregunta.

    Esto pasa más de lo que parece, y no solo en logística. Lo he visto en despachos, en clínicas, en distribuidoras, en cualquier empresa mediana que tiene un cliente grande encima. La empresa mira hacia arriba; al cliente que le exige, al competidor que admira, a la corporación que “sí sabe”, y decide que su seguridad debería verse igual. Suena prudente. Es de las formas más caras de quedar expuesto.

    Mirar al cliente grande sirve, conviene saber qué exige, qué se usa en el sector, dónde está el piso mínimo. La lista que te pasa no está mal. Está incompleta para tu negocio, que no es lo mismo. El error no es voltear a verlo; el error es quedarte ahí, como si su modelo fuera la respuesta y no apenas una referencia.

    Porque lo que ese cliente grande hace tiene dos capas. Una se ve: las herramientas, los procesos, la gente dedicada, el papeleo. La otra no se ve: cuánto está dispuesto a perder, los años y el dinero que llevaron hasta ahí, el equipo que sabe operarlo, y las razones de negocio por las que su seguridad es así y no de otra forma.

    Cuando una empresa copia a otra, copia lo que se ve. Lo que no se ve no viaja, porque no está en la lista de requisitos.

    El retailer protegía los datos de millones de tarjetas de sus clientes porque ahí estaba su exposición real. La empresa de logística no guardaba tarjetas de nadie. Lo que la mataba era otra cosa: que se cayera el sistema que coordina las entregas y se le juntaran los camiones sin saber qué llevaba cada uno. El modelo que copió estaba pensado para proteger lo que le dolía al grande, no lo que la podía hundir a ella. Mismos controles, prioridades equivocadas.

    El resultado es una fachada, y lo más peligroso de una fachada no es lo que le falta atrás. Es la tranquilidad que da por delante.

    Te interesa: Inteligencia artificial obliga a la banca digital a blindarse del cibercrimen en México

    Cuando un dueño cree que tiene lo mismo que su cliente más importante, deja de preguntar. Se relaja. La ciberseguridad pasa de ser un tema vivo a ser una palomita en una lista. Y una empresa que dejó de preguntarse por su propio riesgo está peor que una que sabe que está expuesta, porque esa al menos sigue sabiendo que algo falta.

    He visto juntas de dirección donde el reporte de ciberseguridad era básicamente enseñar que se cumplió la lista del cliente. Nadie preguntaba si esa lista tenía algo que ver con lo que de verdad podía tumbar a la empresa. La conversación giraba en torno a cumplir, no a protegerse. No es lo mismo, y muchas veces ni siquiera apuntan al mismo lado.

    El que lleva el tema de sistemas o de ciberseguridad muchas veces lo sabe, pero no siempre puede decirlo. Decirle al dueño “estamos cumpliendo la lista de un cliente que no se parece a nosotros” suena a que no quiere trabajar, cuando en realidad es lo más útil que podría decir. Y casi nunca calla por cobardía; calla porque nadie le hace la pregunta que lo autoriza a hablar. Esa pregunta no la hace el área. La hace el dueño, o no la hace nadie.

    La pregunta no es si tienes lo que tiene tu cliente grande. Es qué necesita proteger específicamente este negocio, con este flujo de caja, esta operación y este margen para aguantar un golpe; y si lo que armaste está pensado para eso. Esa pregunta no se puede copiar, porque la respuesta solo existe adentro de tu propia empresa.

    Diseñar la ciberseguridad desde el propio negocio cuesta más que copiarla, pero no cuesta más dinero. Cuesta más decisión. Obliga al dueño o tomadores de decisiones a poner un número a cuánto están dispuestos a perder y en qué. Obliga a entender dónde se gana y dónde se lea va el dinero a su empresa, no a la de enfrente. Copiar se salta todas esas conversaciones, y por eso es tan cómodo.

    Y se empieza por algo más simple de lo que parece: sentarte una hora y escribir qué tres cosas, si se detienen, te dejan sin negocio. No la lista del cliente. Las tuyas. Casi nadie lo ha hecho, y el que lo hace descubre rápido que su ciberseguridad estaba cuidando otra cosa.

    Aquel dueño no tenía mala ciberseguridad. Tenía la ciberseguridad de otra empresa, montada sobre la suya. Esa diferencia no sale en ninguna auditoría ni en la lista de ningún cliente. Sale el día del problema, cuando el modelo prestado tiene que sostener un negocio que nunca fue pensado para sostener. Y ese día la pregunta ya no la hace el cliente que le pasó la lista. La hace el camión detenido, el pedido que no llegó, y el cliente que ya está buscando a otro proveedor. Y ahí ya no hay nada que copiar.

    Sobre el autor:

    Correo: [email protected]

    LinkedIn: https://www.linkedin.com/in/andresvelazquez/

    Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.

    ¿Te gusta informarte por Google News? Sigue nuestro Showcase para tener las mejores historias