A través de la newsletter de ISACA, he podido leer el interesante documento «The Cyberresilent Enterprise: What the Board of Directors Needs to Ask«. El documento es accesible sólo para los asociados de ISACA así que espero me perdonen si no lo publico.
De qué va
El documento introduce (por lo menos, para mí, que lo veo como novedad) el concepto de cyber-resilencia (libremente traducido por mí, desde el orginal «cyberresilence«) que consiste en la capacidad de una empresa de anticiparse a las amenazas, resistir los ataques/incidentes, recuperarse de los mismos y, finalmente, evolucionar, aprendiendo de lo sucedido, para mejorar sus capacidades y hacer frente a las futuras condiciones adversas, valiéndose de los recursos disponibles.
Después de unos cuantos años pasados a evangelizar los conceptos de seguridad de la información entre mis clientes y a quien haya querido escuchar (soportar) en la provincia de Alicante, tengo que admitir que se han conseguido algunos tímidos éxitos en este ámbito. Los responsables de las empresas (y de las entidads públicas) ya han asumido una de las grandes verdades de la economía moderna: la seguridad no es sólo cosa de ordenadores.
De ahí, las inversiones en tecnología que, aparentemente, han mejorado la seguridad de la información de las empresas. El aspecto negativo de esta mejora de la seguridad es la sensación, difundida de que el trabajo ya está hecho. Y no, la seguridad de la información no es un trabajo de un día.
Qué toca ahora
Pues, ahora toca ser resilente. Y, en realidad, tampoco se trata de inventar nada nuevo. Las empresas evolucionan y así lo hacen los riesgos y amenazas (tecnológicos o tradicionales). Por lo tanto, debemos volver a analizar en profundidad nuestra empresa (o entidad pública tanto da), para conocer:
- cuáles son los procesos críticos para la entidad;
- a qué amenazas están expuestos estos procesos;
- qué probabilidad existe de la materialización de las amenazas (léase, riesgos);
- qué recursos tenemos para hacer frente a los riesgos.
Con estos deberes hechos, empezaremos a introducir las actividades necesarias para el manejo del riesgo (prefiero el inglés risk management, la verdad) en el día a día de la actividad.
¿Quieren un ejemplo?
Si nuestra empresa tiene una gestión de la captación de la información descentralizada (p.e., tenemos muchos comerciales trabajando en la calle), introducir el risk management en el día a día significa, por ejemplo, introducir medidas para no perder la información almacenada/tratada a pie de calle. ¿Fácil? Pues, pruébelo y verán…
En resumen, nunca hay que perder de vista la importancia de la información en nuestra empresa, incluso en los casos en los que ésta no alcance la dimensión de dato personal. No se trata exclusivamente de riesgos tecnológicos, supuestos o reales, si no de eventos que, de materializarse, afectarían a la dinámica de tu empresa. Ahora que lo sabes,
