El ejecutivo de la firma alemana de logística global detalla las acciones que esta realiza tanto con clientes como proveedores y –especialmente– su recurso humano para prevenir los cada vez más frecuentes ciberataques. Y revela que los requerimientos en materia de ciberseguridad hoy pueden incluso definir los procesos de licitación.
Aunque es ecuatoriano de nacimiento, los 23 años que Alejandro Palacios —CIO, SVP BPO y Aduanas para DHL Global Forwarding de Américas— lleva en Miami han hecho algo de mella en su acento latino. El cuarto de siglo que tiene en la firma global de logística le ha hecho transitar por varias posiciones, hasta llegar a su actual rol, en el que comanda un equipo de más de 200 personas, focalizado en TIy Business Process Optimization. Desde ahí, le ha tocado coordinar las acciones de ciberseguridad de la firma, creando un lazo cercano con trabajadores y clientes, para concientizar y prevenir el posible impacto de los ataques cibernéticos en la industria. Ataques que fueron evidentes tras el sonado caso de NotPetya de 2018, que afectó a distintos puertos y compañías navieras.
En esta entrevista, el ejecutivo detalla a américaeconomía las particularidades de la ciberseguridad en el negocio logístico y las actividades emprendidas para la protección de la cadena de suministro y la privacidad de sus clientes.
-¿Cuán relevante es hoy la amenaza de los ciberataques para el sector logístico?
Hemos sido testigos de ataques dirigidos tanto a compañías de logística y navieras como a oficinas de aduanas en varios países y a gobiernos. Esto, sin duda, nos ha afectado a todos, como industria, de una u otra forma.
Desgraciadamente, estos ciberataques pueden surgir a través de distintas modalidades y provenir desde múltiples lugares, porque mientras más puntos de conexión se tengan, más vulnerabilidades se abren. Estos puntos de conexión existen en toda la cadena: desde el proceso de manufactura de nuestros clientes, donde se definen inventarios, producción y material, hasta la transmisión de esa información, el movimiento y manejo de la carga, la entrega final, la facturación y los pagos.
-¿Cómo son estos ciberataques? ¿Cómo afectan el negocio core de las empresas?
Simplificando y detallando el mundo de los ciberataques, estos pueden ser de determinados tipos. A nivel de información, pueden ser de comunicación de la información, manejo y almacenamiento. También pueden darse a nivel de infraestructura, pues absolutamente todo, desde un teléfono, un reloj, una impresora o cualquier máquina que tenga un chip que recibe y envía información, tanto personal como de nuestros clientes, puede ser vulnerada.
En términos de impacto, puedes tener una paralización inmediata del negocio o una pérdida o secuestro de información —tipo ransomware—, que puede o no impactar en el proceso inmediato de la compañía. Pero sabes que esa información, al ser muy crítica, puede afectarte en algún momento. O puedes incluso tener instancias donde no sabes que la información ha sido afectada, lo que es mucho más grave.
-¿Qué acciones e inversiones ha desplegado DHL para protegerse de estos ciberataques?
Uno de nuestros principales focos es la protección de los datos de nuestros clientes y los procesos. Por esto, lo dividiría en dos partes. A nivel macro, comenzamos por identificar los activos y sistemas que tenemos que utilizar. Suena una cosa muy simple, pero en la práctica no lo es. Básicamente hablo de las aplicaciones que todo el equipo está usando. Si yo tengo un teléfono de la compañía, no le puedo dejar a cada persona que instale lo que quiera en el teléfono. Porque cualquier pequeña aplicación que parece muy divertida, útil o gratuita puede ser un punto de acceso para después entrar a nuestros sistemas. Entonces, el primer frente es la identificación de activos y sistemas. Luego, se debe analizar las vulnerabilidades de cada uno de esos activos y sistemas para saber cuáles son los riesgos y su posible impacto: riesgo mayor, menor o desinformación. Posteriormente, se toman las acciones necesarias para mitigar y limitar esos riesgos. Así es en todo el ecosistema, incluso en sistemas de nuestros clientes. Una vez que ya tienes esto, puedes definir, específicamente, cuáles son las medidas preventivas y correctivas que se deben tomar.
-¿Cómo alinear al personal y a los proveedores en este esfuerzo?
Para los colaboradores de DHL —600.000 a nivel mundial—, proveedores y clientes tenemos procesos y herramientas de capacitación en ciberseguridad, que inician al momento de la contratación, como parte del proceso de onboarding. Hacemos capacitaciones obligatorias todos los años, además de simulacros de phishing en los que se mandan e-mails para simular varias situaciones de ataque con señuelos: el que indica que se ha ganado un premio, un correo que envía un supuesto gerente o cualquier otra versión. Asimismo, en las comunicaciones de la compañía hacemos artículos e historias para mostrar estos peligros. Todo esto involucra, indudablemente, a la totalidad del recurso humano, todos los líderes y los gerentes tienen que estar involucrados en el mismo nivel que todos los empleados.
Acceda al PDF del Especial de ciberseguridad de la edición de febrero de AméricaEconomía aquí.
-Imagino que existe también una coordinación institucional e incluso a nivel de la industria.
Somos más fuertes y estamos mejor protegidos si compartimos la información con todos los ecosistemas y en todos los procesos. En la actualidad, hacemos pruebas en conjunto con nuestros clientes, porque creemos que, mientras más comunicación estructurada tengas con agencias de gobierno y terceras partes, es mejor. Además, tenemos conversaciones específicas con nuestros clientes sobre las posibles vulnerabilidades y sus eventuales consecuencias. Pero todo esto funciona sólo si estamos dispuestos a compartir mejores prácticas y hallazgos, con el fin de trabajar juntos en interacciones constantes con las aduanas y gobiernos de los diferentes países.
-¿Es distinto el tipo de ataques que llegan a Latinoamérica o realmente no hay diferencia?
Existe cada vez menos diferencia. Esto empezó mucho con objetivos grandes en países de mayor tamaño. Instituciones o compañías grandes en Estados Unidos o en países de Europa, porque el beneficio financiero es mucho mayor. Pero el cibercriminal buscará cada vez más firmas donde no hay sistemas de seguridad. Muchos ciberataques buscan los lugares donde las vulnerabilidades son más obvias y fáciles de acceder. Y, como todo está cada vez más interconectado, cualquier sitio, en cualquier parte del mundo, teóricamente, podría ser un punto de entrada.
-¿Actualmente hay mayor conciencia sobre los ciberataques que hace algunos años?
Ahora es un tema que no solo es constante en discusiones con nuestros clientes o la gerencia, sino que también ha llegado a los procesos de licitaciones. Ya te hacen preguntas sobre cómo te proteges y qué políticas tienes como empresa. Es un factor de calificación. Es algo que ya está en el compliance de las empresas. Cada vez es más un estándar, por lo que mayor número de organizaciones tienen claro la importancia del trabajo colaborativo en la materia. Hay que ayudarnos los unos a los otros porque, de una manera u otra, estamos interconectados.
-La ciberseguridad se está viendo como uno de los criterios ESG de las compañías.
Justamente. Hoy en día una firma debe tener un mínimo de medidas de ciberseguridad y procesos que tienen que ser compartidos para calificar como proveedor. Porque una vulnerabilidad o ataque puede poner en riesgo mi operación. Por esto, cada vez son más comunes las conversaciones con nuestros clientes pidiéndoles transparencia en sus procesos cuando nos contratan, porque es de interés mutuo.
En DHL medimos nuestra performance en ESG con ciberseguridad, usando el Mid-Site Rating, que es un número objetivo medido por una organización externa. Nuestra calificación es de 750 puntos y es la más alta de todas las empresas del mundo. Y al final también acaba siendo una fortaleza que puedo comunicar a mi cliente.
-¿Cómo abordan el tema de la ciberseguridad con un cliente?, ¿Cómo incide en el negocio?
Como empresa, DHL tiene un fuerte foco en compliance, en el medio ambiente y en el respeto y manejo seguro de la información. Desde el momento que logras eso, no es solamente qué haces, sino por qué lo haces. Es fundamental que las personas tomen conciencia de sus acciones. Por ejemplo, el año pasado implementamos el Two-Factor Authentication, que es lo mismo que muchas de las personas hoy tienen activado en su cuenta bancaria o aplicación. Abres la cuenta de banco, el teléfono te escanea la cara y, luego, te pide que mandes el código. Entonces, lo que les explicamos a nuestros colegas es que la misma disciplina que les pedimos en la empresa deben tenerla en sus casas para protegerse. Llevado eso a discusiones con nuestros clientes, en ciertos temas ellos ya tienen un cierto nivel de madurez y entendimiento, pero en algunos casos no. Es importante mantener el tema en la mesa y explicar cuál es el impacto, las consecuencias en materia de ciberseguridad.
Estamos en una industria donde cada vez más elementos pueden convertirse en commodities, donde cada vez más discusiones pueden ser solamente a nivel de precios. Entonces, ¿cómo te diferencias? Asegurándole a tus clientes que no solo les entregas lo que les prometiste, que es visibilidad y digitalización, sino también continuidad y seguridad.
-¿Cómo ve la ciberseguridad para el sector logístico y para DHL en los próximos años?
Nuestra estrategia a 2025 se llama ‘Entregando excelencia a un mundo digital’. Y, si tiene la palabra digital, tiene también considerado el riesgo digital. Estoy seguro de que la estrategia 2030 va a tener elementos sobre esto, porque no es algo que va a desaparecer. Por el contrario, se va a sofisticar cada vez más, ya que es un tema que va creciendo y evolucionando diariamente. Creo que vamos a usar cada vez más herramientas, como la inteligencia artificial, para ayudarnos en los procesos, ya que te permite escalar el número de controles exponencialmente.
Hablamos mucho de prevención y mitigación del riesgo. Pero, ¿qué pasa cuando algo sucede? ¿Cuál es el plan de recuperación? ¿Cómo detienes o neutralizas el ataque? ¿Dónde tienes los respaldos de la información o redundancias de los sistemas? Ese es el último eslabón que también es importante ir construyendo y considerando, a medida que va madurando el proceso. Porque, de una u otra manera, todos somos susceptibles, hagas lo que hagas.
