Para las empresas que venden productos digitales a nivel internacional, los problemas de ciberseguridad pueden tener un impacto devastador en las empresas: se puede prohibir a las empresas la entrada a los mercados nacionales, enredarse en la política y ver difamada su reputación en todo el mundo. Sin embargo, no es fácil resolver este tema. Las reglas y las ansiedades varían de un país a otro. En general, la forma en que un país pueda reaccionar depende de: la capacidad nacional de gestionar los ciberriesgos, el nivel de confianza entre el gobierno y las empresas y la geopolítica. Las empresas no pueden controlar estos factores, pero pueden prepararse para ellos. En concreto, una buena estrategia debería implicar: crear una cultura sólida de gobernanza de la ciberseguridad; prepararse para jugar a la política y pulir su imagen de ciberseguridad; desarrollar un plan de salida para los mercados y un plan de reentrada; ayudar a los gobiernos anfitriones a mejorar sus capacidades de ciberseguridad; y aumentar su poder de negociación.
•••
El comercio digital es crucial para casi todas las empresas, pero también presenta nuevas complicaciones. Cuando los productos o servicios que contienen un ordenador o se pueden conectar a Internet —cosa que hacen casi todos los productos o servicios— cruzan las fronteras, surgen riesgos de ciberseguridad. La creciente preocupación de que estados o empresas extranjeros puedan abusar de los productos digitales para recopilar datos de privacidad, sembrar vulnerabilidades o causar daños de otro modo hace que los productos digitales que se venden a través de las fronteras estén sujetos a un mayor escrutinio y controles, y los gobiernos anfitriones puedan prohibirlos, de manera justa o no. Superar y mitigar estos riesgos tiene que formar parte de la estrategia de digitalización de todas las empresas transnacionales.
No tener en cuenta adecuadamente estos riesgos significa cortejar el desastre. Por ejemplo, Alemaniaprohibió tanto la venta como la propiedad de la muñeca «My Friend, Cayla» de fabricación estadounidense activada por voz en 2017, sobre la base de quecontenía un dispositivo de vigilancia oculto eso infringió las normas federales de privacidad alemanas y podría utilizarse para espiar y recopilar datos personales. El equipo 5G de Huawei ha suscitado la preocupación de que el gobierno chino pueda instalar puertas traseras para monitorear las redes de telecomunicaciones críticas, en respuesta a muchos paísesprohibió o restringió el uso del equipo 5G de Huawei.
Esto no es solo paranoia, ejemplos que motivan preocupaciones reales. Por ejemplo,Criptomonedas AG, un fabricante de dispositivos de cifrado, era propiedad de la CIA estadounidense y del BND alemán. Desde 1970 hasta 2018 (o la década de 1990, en el caso del BND), las agencias utilizaron puertas traseras para entrar en los mensajes cifrados de aliados y enemigos.
Para entender cómo las empresas pueden quedar atrapadas en la controversia y cómo pueden sortear estas situaciones, analizamos 75 casos que demuestran que yaun fenómeno mundial que involucra a más de 31 países, incluidas las principales economías, como los miembros del G20 y la OCDE. Hemos observado casos incluidos (entre otros) ordenadores y equipos de red, dispositivos médicos, servicios de videoconferencia, software de seguridad, redes sociales, cámaras de seguridad, sistemas de TI bancarios, drones, teléfonos inteligentes, juguetes inteligentes, software de IA y transferencias internacionales de fondos y sistemas de pago. Quedar atrapado en problemas de ciberseguridad no es cuestión de si sino más bien de cuándo y cómo para empresas transnacionales.
Un conjunto de reglas retazadas —y políticas—
Técnicamente hablando, los riesgos de ciberseguridad inherentes a los productos digitales transnacionales son los mismos en todos los estados. Pero los gobiernosadoptar varias estrategias para abordar estas preocupaciones, como la implementación de limitaciones a la importación, requisitos previos de acceso al mercado y requisitos de servicios posventa para gestionar los posibles riesgos de ciberseguridad. Como resultado, las empresas internacionales deben negociar un sistema fragmentado de normas y requisitos que cambian de un país a otro y, a menudo, día a día, lo que crea riesgos importantes para las empresas que buscan sortearlo.
Por lo tanto, las consideraciones técnicas no son las únicas que dan forma a la política. Las empresas también deben tener en cuenta estos factores fundamentales a la hora de pensar en su estrategia digital internacional.
Capacidad del gobierno para gestionar los riesgos de ciberseguridad. Las reacciones de un gobierno dependen de su capacidad de gestionar los riesgos de ciberseguridad , como las leyes y reglamentos sobre ciberseguridad; la implementación de capacidades técnicas a través de agencias nacionales y sectoriales; las organizaciones que implementan la ciberseguridad; y las campañas de sensibilización, la formación, la educación y las asociaciones entre agencias, empresas y países. Los gobiernos con una alta capacidad de ciberseguridad pueden considerar que el riesgo de ciberseguridad es más gestionable, por lo que es más probable que adopten políticas de comercio digital menos restrictivas.
Confianza entre los gobiernos y las empresas. Es funcionalmente imposible que un gobierno examine los millones de líneas de software o firmware de cada producto o servicio digital que se vende en sus fronteras. Las decisiones se toman en función de los riesgos percibidos, que se verán afectados significativamente por la confianza entre los gobiernos y las empresas, así como por las relaciones entre empresas. La confianza y la lealtad empresarial desarrolladas con el tiempo pueden fomentar la adopción de un enfoque orientado a la gestión del ciberriesgo por parte de los gobiernos locales y despolítica los ciberriesgos. Nuestra investigación también muestra que esa confianza y lealtad empresarial aumentan el poder de negociación de la empresa con los gobiernos locales, especialmente para los gobiernos con una eficacia gubernamental relativamente baja y un control de la corrupción. En tal caso, las empresas tienen más posibilidades de negociar con el gobierno para evitar, o al menos aliviar, el impacto de las posibles restricciones relacionadas con la ciberseguridad.
Geopolítica. Tomemos los productos 5G de Huawei como ejemplo típico. Estados Unidos tenía motivos de sobra para aceptar Huawei, dada la alta calidad y el bajo coste de sus productos y la necesidad de actualizar las redes de comunicaciones estadounidenses para el 5G. Los riesgos, como ocurre con casi todos los proveedores, podrían haberse mitigado supervisando y detectando cualquier vulnerabilidad. Sin embargo, la prohibición de los dispositivos de Huawei siguió produciéndose, en gran parte debido a la rivalidad geopolítica. Japón y Australia siguieron el ejemplo de los Estados Unidos, dadas sus estrechas relaciones estratégicas con los EE. UU. Del mismo modo, el Reino Unido finalmente prohibió la instalación de nuevos equipos de Huawei. Por otro lado, la capacidad de Alemania para equilibrar la política china y estadounidense se tradujo en un entorno de mercado 5G relativamente equilibrado para todos los proveedores, incluido Huawei. Suiza, un país neutral que no participa en conflictos armados o políticos con otros estados,llegó a la conclusión de que el equipo de Huawei no representaba ningún riesgo significativo y creó una red 5G con los dispositivos de Huawei.
Cabe destacar que para las empresas es un desafío predecir cómo reaccionarán los países individuales ante los riesgos de ciberseguridad derivados del comercio digital, pero las empresas tienen que entender y aceptar esta nueva realidad. En nuestra investigación,hemos desarrollado un método para anticipar los resultados — e identificó las medidas que las empresas pueden tomar para mitigar los resultados desfavorables.
Desarrollar una estrategia activa
Dado lo fragmentado que está el sistema global de gobernanza de la ciberseguridad, las empresas deben adoptar un enfoque activo para perfeccionar su estrategia digital global. Aunque estos esfuerzos no siempre den sus frutos, prepararán a las empresas para abordar los problemas de ciberseguridad cuando inevitablemente surjan. Algunas acciones incluyen:
Cree una cultura de gobernanza de ciberseguridad eficaz. La incorporación de funciones de ciberseguridad a los productos digitales se está convirtiendo en de hecho requisito previo de acceso al mercado para muchos productos digitales transnacionales, especialmente para infraestructuras críticas, como los sistemas de TI financieros o las redes 5G. Las empresas deben cultivar una cultura de ciberseguridad en sus organizaciones, que incluya ambasliderazgos yequipos de desarrollo de productos, para promover el conocimiento de importancia de la ciberseguridad para su éxito en el mercado. Más allá de seguir las normas internacionales, las empresas deberían desarrollar un sistema de gobierno de ciberseguridad flexible que pueda adaptarse y cumplir eficazmente con las diferentes políticas y reglamentos de ciberseguridad de los mercados objetivo.
Prepárese para jugar a la política y crear una imagen cibersegura. Como no es posible examinar minuciosamente el software, el firmware o el hardware de todos los productos, la reputación es fundamental por motivos de ciberseguridad. Los clientes creerán que una empresa con una gran reputación hará todo lo posible para mejorar las funciones de ciberseguridad de un producto digital, no perjudicará a sus clientes al explotar intencionadamente la vulnerabilidad y gestionará un incidente de ciberseguridad de forma responsable si se produce. Por lo tanto, las empresas deberían defender activamente su reputación en el mercado demostrando su compromiso con la ciberseguridad. Nadie quiere que la «inseguridad» forme parte de las marcas corporativas en la era digital. Es importante destacar que una reputación tan alta puede ayudar a una empresa a evitar dejarse atrapar por la politización de los problemas de ciberseguridad.
Esté dispuesto a salir y prepárese para volver a entrar. En un mercado en el que los problemas de ciberseguridad se han politizado y es demasiado caro para las empresas cumplir con los requisitos de ciberseguridad, salir temporalmente del mercado puede ser una buena opción. Pero incluso cuando a una empresa se le bloquea el acceso a un mercado, como a Huawei se le bloquea la entrada al mercado estadounidense o la retirada de Google de China, defender la reputación puede ayudar a mantener su asociación con otros países.
Además, las empresas deben prestar atención a laestrategia de reentrada después de salir del mercado, especialmente cuando la prohibición del mercado solo cubre un subconjunto de las actividades de una empresa o se debe a influencias políticas externas. Cada vez es más común que las empresas globales vuelvan a entrar en los mercados extranjeros, por lo que una estrategia de reentrada eficaz, como mantener el conocimiento y el aprendizaje de los mercados, preparar el modelo de reentrada con nuevos productos ciberseguros y monitorear el entorno de politización en los mercados objetivo, es fundamental para que las empresas puedan regresar.
Enseñe a los gobiernos anfitriones a pescar. Como los riesgos de ciberseguridad derivados de las ofertas digitales son inevitables, las empresas deberían adoptar un enfoque activo para ayudar al gobierno anfitrión a desarrollar la capacidad de gestionar los posibles riesgos. Por ejemplo, lanzar un centro de transparencia para los clientes, incluidos los gobiernos, para comprobar que los riesgos de ciberseguridad son mínimos se está convirtiendo en una buena práctica. Demuestra la confianza de las empresas y mejora la confianza de los clientes con la ciberseguridad integrada en los productos.
Es importante destacar que una capacidad de ciberseguridad suficiente puede ayudar al gobierno anfitrión a implementar políticas que puedan mitigar los riesgos de ciberseguridad sin introducir barreras irrazonables. Por ejemplo, con un alto compromiso con la ciberseguridad, Alemania estaba dispuesta a correr algunos riesgos con el despliegue de su red 5G, pero los minimizó con un «catálogo de seguridad claramente definido» en el que se especificaban los requisitos de seguridad de todos los proveedores.
Además, ayudar al gobierno anfitrión a desarrollar las capacidades de ciberseguridad vale la pena, ya que se pueden adoptar medidas de protección suficientes a la hora de poner a prueba o probar los servicios ofrecidos en ese mercado.
Aumente su poder de negociación. Con una situación de gobernanza de la ciberseguridad tan fragmentada, el mismo problema de ciberseguridad puede provocar resultados radicalmente diferentes en los diferentes países. Por lo tanto, desarrollar y mantener los mecanismos de confianza y colaboración es fundamental.Muchos enfoques, como reforzar los equipos de cabildeo, comprometerse con las actividades locales de ciberseguridad y actuar como un buen ciudadano corporativo, se han sugerido y adoptado.
Cabe destacar que la complejidad de la ciberseguridad hace que las empresas sean más poderosas en el ciberespacio. Como Google, Amazon y Meta (antes Facebook), algunas empresas controlan con firmeza la infraestructura, el código, los algoritmos o los datos ciberfísicos mundiales. Aunque se enfrentan a una presión política cada vez mayor, tienen de hecho poder para establecer normas de ciberseguridad, incluida la denegación de las solicitudes de ciertos gobiernos. Por ejemplo, WhatsApp y Telegram se han negado a crear puertas traseras solicitadas por algunos gobiernos para acceder al contenido cifrado de los mensajes, lo que habría invadido la privacidad de sus clientes.
Las empresas también pueden aumentar su influencia a través de consorcios que las representen ante los gobiernos o los mercados internacionales, recomienden políticas de ciberseguridad y promuevan las normas internacionales de ciberseguridad. Las empresas internacionales han iniciado diálogos y acuerdos, comoConvención de Ginebra digital yLlamamiento de París a favor de la confianza y la seguridad en el ciberespacio para promover los principios de gobernanza de la ciberseguridad mundial.
En muchos casos, los gobiernos pueden tener la autoridad, pero carecen de la capacidad de ciberseguridad suficiente y, por lo tanto, están más dispuestos a aceptar las aportaciones de los consorcios globales. Por ejemplo,las aportaciones de la Alianza de Software (BSA), y la Fundación de la Información, la Tecnología y la Innovación (ITIF) contribuyó aeliminar los requisitos de localización de datos para la adopción de servicios de computación en nube extranjeros en las instituciones financieras brasileñas.
Todas las empresas cuyos productos digitales traspasen las fronteras necesitan un plan de gobernanza de ciberseguridad eficaz que equilibre la tecnología, las relaciones geopolíticas, la capacidad gubernamental, la reputación en el mercado y las colaboraciones entre el sector público y el privado. Si esa capacidad no existe ahora, los ejecutivos deberían formarse por sí mismos en la preparación o buscar nuevos directores que tengan esa capacidad para incorporarlos al consejo de administración. Es probable que todas las empresas que ofrecen o dependen de productos digitales transnacionales se enfrenten a problemas de ciberseguridad tarde o temprano. Y aunque la preparación no puede mantenerlos fuera del banquillo, puede que marque la diferencia una vez que estén allí.
Reconocimiento: Esta investigación contó con el apoyo, en parte, de fondos de la Fundación Nacional de Ciencias Naturales de China y de los miembros del consorcio Ciberseguridad del MIT Sloan (CAMS). Fang Zhang es el autor correspondiente.