De un lado, Microsoft, el gigante tecnológico cofundado por Bill Gates en 1975 que ahora, también, se mete de lleno en el mundo de la Inteligencia Artificial y en cómo esta puede revolucionar la forma en la que trabajamos. Del otro, KPMG, una red mundial integrada por más de 265.000 profesionales que prestan servicios de asesoramiento, impuestos y legales, y auditoría en 143 países. Juntos gestaron una alianza para acelerar la transformación digital y los servicios en la nube.
En un mano a mano, Fernando López Iervasi (FLI), Gerente General de Microsoft Argentina, y Néstor García (NG), presidente & CEO de KPMG Argentina, dialogaron con Forbes acerca de cómo este acuerdo busca dar respuesta a los desafíos de la transformación digital frente a la ciberseguridad.
-¿Qué hay detrás de esta alianza?
NG: La alianza que hemos hecho con Microsoft la consideramos clave, porque creo que es una combinación de capacidades que tenemos ambas compañías: la tecnología Microsoft y los servicios KPMG. Nos complementamos excelentemente, es una alianza internacional donde nosotros acá, en Argentina, ya estamos hace un poquito más de dos años trabajando juntos ya con clientes de diversas industrias, como energía y recursos naturales, servicios financieros, salud y retail. Ya tenemos un camino andado y estamos funcionando de una manera perfecta. Nos complementamos excelentemente porque cada uno tiene tecnología y servicios de primer nivel, reconocidos a nivel mundial.
FLI: En los últimos 15 años vimos que la transformación digital estaba en todos lados. Hoy sigue estando. Pero, si miramos al board de las compañías, el tema que cobra mayor relevancia para seguir acelerando la transformación digital tiene que ver con que las organizaciones se sientan seguras de la tecnología que están adaptando. La ciberseguridad hoy es el tema principal de todos los boards.
De hecho, agrego algunos datos: este año desde Microsoft pudimos analizar 62 trillones de señales. El número quizás no es tan relevante, lo más llamativo es que hace dos años esta cifra era 8 veces menor. La cantidad de señales y patrones que tenemos que analizar es de escala mundial.
-¿Esto es a nivel global, no?
FLI: Sí. Pero al punto que quiero llegar es que hoy es un tema super relevante para los boards de las compañías y a la hora de que un cliente y una empresa grande adopte la política de governance correcta de punta a punta hay que hacerlo con empresas de clase mundial. Ahí la alianza nuestra cobra relevancia porque hoy el conocimiento es global aplicado a problemas locales del cliente. El complemento es total porque nosotros tenemos la pata tecnológica y ellos son una compañía que tiene múltiples negocios, sobre todo el de consultoría, que está embebido en las agendas C-level de todos los clientes más importantes de Argentina.
-Es notable cómo se incrementó la cantidad de eventos vinculados a delitos de ciberseguridad desde el comienzo de la pandemia y, con ello, la preocupación de las empresas para ofrecer mayor seguridad ante los riesgos.
NG: En las encuestas nuestras de KPMG global, que llamamos CEO Outlook, salía entre las principales preocupaciones de los CEOs la ciberseguridad, junto con ESG. Como todas las compañías también están innovando y están en un proceso de transformación tecnológica, la parte de seguridad con cyber security es fundamental.
-Clave tener un protocolo de acción frente a algún riesgo.
NG: Si no, tenés que apagar todas las máquinas, empezar a rastrear… cuando está parada la compañía, las pérdidas son cuantiosas, más allá de también la pérdida de reputación y otros temas adicionales que son tan importantes como los costos que se producen.
-¿Cómo es el proceso de trabajo conjunto?
FLI: Para retomar el punto, nosotros tenemos tecnología y tenemos principios de diseño, hoy hablábamos de lo que es cero confianza (o zero trust en inglés), que es nuestra política de ciberseguridad aplicada a tecnología. Ahora, eso después cómo vive en un cliente ahí es donde entra todo el despliegue de nuestra solución ya de producto, pero desplegada en un cliente. Entonces todo lo que es el despliegue es donde entra el brazo más fuerte de KPMG porque es lo que saben hacer ellos. Nosotros sabemos crear tecnología, también sabemos ayudar a que los clientes desplieguen, pero que el producto ese viva en el cliente y que el cliente realice el valor de la tecnología se logra a través de un proyecto bien ejecutado de consultoría.
NG: Tenemos, complementando lo que decía, tres pilares: Conected, Power & Trust. Conected es todo lo relacionado con la estrategia y ver cómo está el cliente en esas áreas, que es lo que tiene, qué es lo que no tiene, cómo está. Lo que es Power también, pero en vez de estrategia, bajado a procesos. Entonces con Power está Power Finance, Power IT, Power Recursos Humanos (o People, como cada compañía hoy en día lo quiera mencionar). Se compara contra las mejores prácticas cómo está la compañía. Y Trust es la parte donde entra toda la parte de ciberseguridad porque esto lo tienen que hacer bajo un modelo que sea confiable, entonces toda la parte de confianza está con ciberseguridad. Entonces está toda la tecnología dentro de un producto. Toda la parte tecnológica que nosotros no tenemos, al tiene Microsoft y nosotros trabajamos más en la parte de consultoría.
-¿Y cuál es la expectativa para este año, alrededor de la alianza y de esta coyuntura?
FLI: Está bueno lo que dijo Néstor porque hay una aceleración en los boards de compañías en lo que es ESG, pero ciberseguridad hoy está superpresente. Satya Nadella, el CEO de Microsoft, recientemente anunció que la compañía ya está generando más de 20 billones de dólares de negocio ligado puramente a seguridad. Así que también como negocio nosotros vemos un futuro fuerte porque realmente los clientes lo necesitan, no hay aceleración digital posible sin que las compañías estén seguras de que lo van a hacer de forma segura.
NG: En muchas compañías ciberseguridad está dentro de ESG, dentro de la parte de governance.
FLI: Sí, en las composiciones de los boards de compañías también esa expertise empieza a estar. Hay un cambio muy fuerte que está acelerando sobre todo desde hace dos años. Ahora todo el mundo sabe que sin tecnología no hay innovación y no hay gran futuro, ahora cómo hago para que estén dadas las condiciones para acelerar lo que es la agenda digital y ciberseguridad es el tópico del momento.
-¿Un segundo paso tiene que ver con esta toma de conciencia acerca de las cuestiones vinculadas a dar seguridad también en todos los niveles de las compañías, como ocurre ahora en los boards?
FLI: Sí. Hay como dos grandes aristas de cómo se trata esto. Primero, hay toda una rama que tiene que ver con asegurar que los usuarios y las personas que no saben mucho de tecnología estén equipadas para saber lo que luce bien y lo que luce mal. La mayoría de los grandes ataques ocurren a partir de que algún empleado hizo click en un link y por ahí estuvo instalado en una compañía seis meses hasta que accedió a los niveles más altos de privilegio y un día se apagó todo. Entonces, todo lo que es la rama de educación es una rama superimportante. Y después está la tecnología y el governance porque ellos también una cosa que hacen que es única es toda la parte de forense, cuando ya ocurrió. Eso también es toda una ciencia aparte y hay que saber hacerla para que después no vuelva a ocurrir.
-¿Cómo es eso?
NG: Cyber Incident Response. También ahí teníamos el servicio separado lo que era forensic, que en su momento era lo que más vendíamos dentro de consultoría. Hoy lo que es ciberseguridad es lo que más vendemos. Tenemos un equipo especialista de forensic que está dedicado a ciberseguridad. Hoy en día tenemos nuestra principal fuente de ingresos del área de ciberseguridad, incluyendo ciberseguridad industrial.
-Hay muchas vulnerabilidades dando vueltas y muchas veces las empresas creen que están protegidas y no es tan así.
NG: A veces uno cree que tiene los procesos adecuados y cuando algo sucede se da cuenta de se podría haber evitado o el tiempo de respuesta para volver la compañía a la normalidad tarda una eternidad.
FLI: Y hay temas culturales también. Un clásico que vemos es una figura que cobró una relevancia muy importante en los últimos dos años, el CISO, que es el jefe de ciberseguridad. Desde el año pasado tenemos CISO en Microsoft Argentina. Pero es común en algunas empresas que, frente a una vulnerabilidad importante, se tarde en informar al board o al comité ejecutivo 24 horas, por ejemplo, porque creen que se va a solucionar. Hoy es relevante actuar con velocidad y todavía hay muchísimo por evangelizar en ese territorio.
-¿Cómo se puede evangelizar a las empresas?
NG: Hay muchas herramientas, como simulaciones de penetraciones, simulacros de qué es lo que sucede, qué se detecta. Y se trabaja con capacitaciones. Hasta se pueden armar dos grupos de trabajo, uno que intenta penetrar de distintas maneras a la compañía y el otro tiene que tratar de evitarlo.
FLI: En nuestro entrenamiento, los equipos especializados son dos, el bando azul y el bando rojo, y se atacan durante un período de tiempo. Hay mucha simulación, pero real, es como un equipo de hacking interno, pero es la forma de que crezca la tecnología, que la gente se entrene.
Retomando, un punto que agrego es que el CISO, por ejemplo el CISO nuestro, parte de su agenda central es evangelizar.
FLI: Cuando hablaba antes de zero trust es que nuestra política, por ejemplo, tiene tres pasos. Uno es que todo se verifica, no se asume que algo está bien, por ejemplo si alguien intenta ingresar a algún lugar, mismo por ejemplo en Microsoft, yo tengo que poner o mi huella o volver a reautenticarme. Nada que queda librado al azar. Después se asume que hay que trabajar en los niveles de menor privilegio, que puede ser más vulnerable. Y la tercera pata que se asume que ya te vulneraron, básicamente, y esa es parte del zero trust. Y a partir de ahí se crea toda la tecnología.
-Los cambios culturales también son grandes…
FLI: Lo que cambió es que hace cuatro años (ya hace bastante) toda la tecnología era acerca de construir muros y hoy es acerca de entender que te vulneraron y remediarlo en tiempo real. Eso es un cambio cultural y un cambio tecnológico y por eso es que asumir que ya te vulneraron es parte de un estadío saludable dentro de lo que es mirar la ciberseguridad, porque los agentes malignos que se instalan no actúan en el minuto uno, pueden estar meses accediendo a mejores privilegios hasta que de repente pueden vulnerar a la compañía completa. Así que creo que tiene que ver con esto, con actuar desde el punto de vista que ya te vulneraron y cómo se remedia en tiempo real.
NG: Por eso tiene que tener todos los protocolos establecidos.
FLI: De hecho en 2022 hubo 32 billones (antes hable de trillones, estos son billones) de intentos de vulnerabilidad de password en el mundo Microsoft data, cuando el año anterior habían sido 12, o sea que es un crecimiento muy fuerte, estamos hablando de una partecita que son las password, imaginate tu identidad… hay un montón de puertas que se pueden vulnerar.
NG: Es muy importante la tecnología, que tiene que ser de primer nivel, con la estrategia y los procesos de altos estándares globales. Y, después, en el caso de que te suceda algo, igualmente hay que ver cuán rápido reaccionás al hecho, cómo lo detectás y volvés a la normalidad.
-¿Hay algún tipo de industria que sea la que está como más expuesta en la Argentina?
FLI: Quizás más expuesta no es la definición, pero donde más estamos trabajando es en Energía y financial services, que por su naturaleza son muy atractivas para los delincuentes.
NG: Esa unidad igual siempre esta al tope de todo lo que es parte tecnológica. Lo mismo Energía o Salud.
FLI: Mirando para adelante, porque la tecnología se va a seguir adaptando, cuando uno mira industrias de utilidades (por ejemplo, industria de las distribuidoras eléctricas, distribuidoras de agua, de gas) todo eso va transitando un camino cada vez más tecnológico y eso realmente ya puede tener impactos mayores en la población y los servicios a los ciudadanos.
NG: Eso es lo que yo llamé ciberseguridad industrial (también tenemos especialistas en ciberseguridad industrial), que justamente hackean una planta y te quedás sin luz, te quedás sin agua. El impacto puede ser terrible para la compañía, para la sociedad, para todos.
FLI: Para mí es importante que los boards de las compañías y los comités ejecutivos tengan este tema como un punto crítico de governance. No es tecnología esto, es el ADN de cómo gobernar una compañía en un mundo cada vez más tecnologizado. Es la responsabilidad con todos los stakeholders. Así que afecta en todas las áreas. Repito algo que dije antes: para tener toda una respuesta de punta a punta hoy en día la sinergia de dos compañías globales es un diferencial sine qua non.
NG: Desde el diagnóstico hasta la implementación, con todo, con la parte operativa, con todas las herramientas y capacitación también. Tenés que tener procesos, gente y tecnología. Tenés que tener todo, no es que una u otra.