Durante muchos años hemos hablado de planes de continuidad de negocio, de continuidad de tecnología, gestión de crisis y otros varios. Recientemente, la familia ha crecido y dados los acontecimientos mundiales debemos sumar ahora a un nuevo miembro: el Plan de Ciber Resiliencia.
Hoy en día, ya no son sólo estamos expuestos a desastres naturales, fallas inherentes a la tecnología, la gente o la infraestructura. Para nadie es un secreto que los ataques a la seguridad de las empresas vienen en crecimiento y este 2019 no es la excepción. Según un estudio de la empresa SearchInform para 2018, las principales causas de incidentes de seguridad que afectaron a las empresas incluyen: contagio de virus en un 53%, problemas propios de los equipos en un 35% y ataques desde el exterior en un 31%. Esto provocó que se filtraran datos personales y secretos comerciales en un 14% de las ocasiones según lo evaluado por las mismas empresas; sin embargo, y peor aún, un 33% de las empresas no tienen información sobre los ataques de las que son objeto.
Otros datos interesantes del estudio indican que en un 60% de los casos, los atacantes vienen del mismo interior de las empresas (empleados regulares), mientras que en un 30% vienen del exterior.
Debemos entonces reorientar nuestros esfuerzos y mejorar nuestros planes de continuidad del negocio, considerando este tipo de eventos de seguridad que sin duda vienen a sumar un dolor de cabeza más para los gestores de seguridad y de continuidad del negocio.
Y es que, durante los últimos años en procesos de revisión y evaluación de planes de continuidad del negocio en los que he participado, no he visto una preocupación considerable por incorporar este vórtice en la gestión; se sigue pensando mucho en los tradicionales eventos de interrupción. Quizá las entidades financieras son las que en algún nivel más lo han desarrollado (claro, son sujetas de ataques a la seguridad todos los días), pero se ve más y aisladamente en los planes de gestión de seguridad informática, pero de cualquier forma siempre estaremos sujetos a que algo pueda materializarse afectando la seguridad de la información y la continuidad del negocio.
¿Cómo deberían actuar entonces los gestores de continuidad del negocio/tecnología? La respuesta es incorporando este tipo de eventos en los planes de respuesta, principalmente en planes de gestión de crisis, planes de comunicación en caso de crisis y en los planes de continuidad de tecnología de información. Uno de los principales activos de cualquier empresa, su reputación, debe ser protegida, y es que ya hemos visto recientemente varios casos de organizaciones en todo el mundo que se han visto afectadas por situaciones de ataque a su seguridad, lo que pone más en alerta a sus clientes y a la sociedad por la sensibilidad que hoy tienen los datos personales, comerciales, industriales y empresariales; algo por tratar a nivel del Plan de Crisis.
El Plan de Ciber Resiliencia como parte del Plan de Continuidad del Negocio, deberá considerar eventos asociados con entre otros: virus en los servidores o en las estaciones de trabajo, pérdida de la integridad de los datos, ataques al sitio web más aún aquellos transaccionales, ataques simultáneos a la seguridad en sitios primarios y alternos.
Otros aspectos por considerar en el Plan de Ciber Resiliencia son: procesos de reporteo, observación y análisis de incidentes, procesos de mejoramiento e inversión en soluciones de ciber resiliencia, protección de datos contra ataques a su integridad, confidencialidad y disponibilidad, para lo que se debe disponer de respaldos adecuadamente protegidos en sitios remotos desde donde serán recuperados como parte de la gestión de la crisis.
Debemos apoyarnos para todo esto en un equipo especializado de ciber resiliencia que permita responder efectiva y eficientemente a eventos como los antes descritos. Este equipo sería el responsable de activar el Plan de Ciber Resiliencia, el cual debe incorporar estrategias de prevención y protección en ciber resiliencia, aprobadas previamente por la Administración Superior. Personal involucrado en el proceso incluye: el gerente de seguridad de información, el gerente de riesgos, el gerente de continuidad de negocio, el gerente de comunicación interna y externa y un gerente legal. Todos ellos pueden conformar el equipo de ciber resiliencia.
En respuesta a una situación de crisis, es necesario tomar en consideración: reunir a los responsables para evaluar el evento que la gatilla, activar las estrategias de ciber seguridad previstas, asegurar la protección y recuperación segura de los sistemas y de los datos, velar por la adecuada pero oportuna comunicación de lo sucedido y proteger la imagen y reputación de la empresa.
Es así como con el pasar del tiempo, nuestro Plan de Continuidad del Negocio se va viendo fortalecido, involucrando más actores, más estrategias, más presupuesto, pero la realidad es sólo una, cada día hay mas amenazas a la continuidad del negocio de las empresas, y eso es en todo el mundo.