Con amenazas cibernéticas comoel ransomware que interrumpen habitualmente las operaciones comerciales en todo el mundo, la ciberseguridad no es solo un problema informático, sino un riesgo empresarial que debe tenerse en cuenta en el plan de continuidad del negocio.
Pero, ¿cómo se hace eso?
Obtenga el apoyo de la dirección
El tono de los altos cargos impulsa el éxito de la continuidad de su negocio y la preparación en materia de ciberseguridad. Si su organización va a fortalecerse y protegerse continuamente de todos los acontecimientos previsibles —y, en ocasiones, incluso imprevisibles—, necesitacontar con el apoyo de los ejecutivos.
También es importante que los ejecutivos apoyen una cultura de colaboración. Los responsables de la continuidad del negocio, los responsables de la seguridad de la información y las unidades de negocio deben ser transparentes entre sí. A veces, eso significa admitir que un proceso bajo su control debe mejorarse. Si los ejecutivos apoyan una cultura de transparencia, las personas estarán más dispuestas a revelar y resolver los problemas en los procesos de su organización. A largo plazo, esto podría ayudar a la organización a mitigar una vulnerabilidad importante.
Sus planes de continuidad del negocio y de respuesta ante incidentes deben incluir:
- Clasificación de diversos incidentes de seguridad.
- Criterios para activar el plan.
- Funciones y responsabilidades de los empleados.
Superar estos obstáculos con muchos empleados trabajando a distancia puede resultar complicado, especialmente si hay problemas de conectividad. Esto nos lleva al siguiente punto.
Conectividad
Independientemente del lugar en el que trabajen, los empleados deben tener acceso a los recursos que necesitan para realizar su trabajo: comunicaciones de voz y datos, electricidad, teléfonos, ordenadores, etc. Tras grandes «tormentas perfectas» (que se están convirtiendoen la nueva normalidad), es posible que no se disponga de conexión a Internet, electricidad o telefonía móvil.
Por ejemplo, después de que el huracán Harvey azotara Rockport, Corpus Christi y Port Aransas en Texas, los daños causados por el viento dejaron sin electricidad y sin comunicaciones a estas localidades. El teletrabajo ni siquiera era una opción para las empresas de esas zonas.
En Houston, el teletrabajo parecía ser una estrategia ideal. Innumerables carreteras quedaron cerradas, las inundaciones se prolongaron durante días y las oficinas quedaron destruidas. Aunque la ciudad sufrió inundaciones sin precedentes, las infraestructuras de comunicaciones y energía demostraron su resistencia. Para muchas empresas, tenía sentido que los empleados trabajaran a distancia. Sin embargo, muchas empresas no habían pensado en la logística que suponía que toda la empresa trabajara a distancia. La repentina afluencia de empleados a distancia supuso una carga para los recursos de la empresa: licencias VPN, disponibilidad de ancho de banda de los concentradores VPN en las oficinas domésticas, etc.
¿Cómo gestionaría todo su negocio trabajando a distancia? Piense encómo respondería a los siguientes problemas potenciales:
- Es posible que los empleados no dispongan del equipo adecuado, ya sea porque no se les ha proporcionado a tiempo el hardware aprobado por la empresa o porque este se encuentra en la oficina de su domicilio.
- La conexión a Internet en los hogares de los empleados no siempre es fiable.
- Un aumento significativo de los trabajadores remotos puede sobrecargar la VPN.
- Los empleados que no están acostumbrados a trabajar desde casa pueden tener problemas para iniciar sesión.
- Es posible que los sistemas telefónicos de la empresa no sean compatibles con los dispositivos personales de los empleados.
- Las conexiones de red vulnerables aumentan el riesgo de exposición de datos confidenciales.
- Los empleados son más propensos a utilizar dispositivos personales sin la configuración de seguridad adecuada.
Cuanto mayor sea tu capacidad para abordar los posibles retos de conectividad, más probabilidades tendrá el teletrabajo de tener éxito. Pero eso es solo una parte de la ecuación.
Evalúa tu plan de respuesta ante incidentes
La forma tradicional de enfocar la continuidad del negocio consiste en considerar la inoperatividad de una instalación, un servicio concreto o una función. Es el peor de los casos. Las amenazas cibernéticas acaban de añadir todo un nuevo abanico de posibles formas de paralizar una operación concreta.
¿Cuenta su organización con un plan detallado de respuesta ante incidentes que tenga en cuenta los distintos tipos de incidentes de seguridad a los que podría enfrentarse? Empiece por analizar el nivel de detalle del plan de respuesta ante incidentes. Muchas empresas se limitan a añadir un breve párrafo sobre la respuesta ante incidentes, tal vez incluso una o dos páginas, a suplan de continuidad del negocio. Tenga en cuenta que eso no es un plan de respuesta ante incidentes completo. Asegúrese de que el plan catalogue al menos los siete o diez tipos de incidentes de seguridad más importantes que podrían interrumpir o detener las operaciones comerciales. Debe proporcionar respuestas y procedimientos específicos relacionados con esos eventos.
También debe determinar qué incidentes activarán los planes de continuidad del negocio y de respuesta ante incidentes. Por ejemplo, un caso de phishing por correo electrónico no necesariamente bloquearía el acceso a datos críticos ni afectaría su capacidad para prestar servicio a sus clientes. En ese caso, podría activar su plan de respuesta ante incidentes, pero no su plan de continuidad del negocio. Por otro lado, un ataque de ransomware podría dejar sus sistemas fuera de línea. Dado que le dejaría sin acceso a datos críticos y sin la capacidad de atender a sus clientes, podría clasificarlo como una interrupción que requiere una respuesta de continuidad del negocio.
Prueba tu plan
Del mismo modo que prueba su plan de continuidad del negocio para los peores escenarios posibles, debeprobar escenarios que integren la continuidad del negocio y la respuesta ante incidentes. Por ejemplo, podría seguir el proceso de respuesta ante un brote de Cryptolocker que cifra una unidad o un almacén de datos y requiere la restauración de esos datos en otra plataforma. Para ver cómo funcionan los planes en un escenario concreto, comience conun ejercicio teórico antes derealizar una prueba funcional.
Nota del editor: Este post fue publicado originalmente en Preparis Business Continuity Software. En octubre de 2024, Mitratech adquirió Preparis, un proveedor líder de soluciones de planificación de continuidad de negocios y respuesta a emergencias. El contenido ha sido actualizado para reflejar la oferta ampliada de productos de Mitratech, los avances de la industria y los desarrollos regulatorios.
