Por Hugh Taylor*
A medida que la ciberseguridad se convierte en una preocupación más urgente en el mundo corporativo, el campo está atrayendo talento e ideas externas. Lo estamos viendo con la entrada de especialistas en seguridad tecnológica operacional en el mercado de la ciberseguridad, por ejemplo. Otra empresa que se está abriendo camino en el ámbito de la ciberseguridad es BeST (Be Strategic), que ayuda a las organizaciones a poner a prueba sus planes de respuesta a las crisis.
BeST proporciona un software de simulación de crisis computarizado. La herramienta permite a las organizaciones hacer frente a posibles catástrofes hipotéticas, pero realistas, y tratarlas en tiempo real basándose en sus planes de respuesta existentes. Es un momento propicio para este tipo de servicio. Los altos ejecutivos están empezando a darse cuenta de lo expuestos que están, tanto en términos personales como corporativos, a las consecuencias de un mal manejo de una crisis cibernética.
GDPR, por nombrar un ejemplo, está presentando a BeST una gran cantidad de nuevas oportunidades. A medida que las empresas de la Unión Europea se van familiarizando con las nuevas y estrictas normas de privacidad, se dan cuenta de que deben contar con un plan de respuesta bien definido en caso de que se produzca una violación de datos que implique a los datos personales. Y saben que tienen que practicar el proceso de respuesta o se arriesgan a pagar enormes multas.
“Cien millones de registros de datos privados fueron robados durante mi turno no es un buen constructor de currículos”, dijo Chelsea Zfaz, arquitecto jefe de simulación en BeST. “La gente tiene que estar preparada para la brecha que saben que se avecina”, añadió. El tema no es de planificación, en la mayoría de los casos. De hecho, la mayoría de las grandes organizaciones tienen buenos planes de respuesta a las crisis. El reto es hacer que funcionen en la realidad.
“Según nuestra experiencia, si se tiene un plan, aunque sea bueno, puede ser difícil para la gente seguirlo cuando se produce una crisis grave”, explicó Zfaz. “Hay muchas razones para esto. Por un lado, la crisis casi nunca se parece a la que planeaste. La gente también va y viene, así que el plan podría llamar para que contactes con lo que ahora se ha convertido en un escritorio vacío. O, no se puede contactar a las personas clave. ¿Qué haces cuando no puedes contactar con alguien? ¿Tu plan prevé esta contingencia tan realista? Además, las personalidades tienden a tomar el control. La gente empieza a actuar desde sus instintos, que normalmente no son correctos”.
Alternativamente, una compañía podría carecer de un plan coherente o actualizado. El caso más notorio de esto fue el de British Petroleum y su deslucida respuesta al desastre de Deepwater Horizon. La compañía tenía, según la ley del gobierno de los EE.UU., un largo plan de desastre. Sin embargo, como la empresa manejó mal la crisis, resultó que el plan había sido elaborado por una subsidiaria de Alaska y contenía elementos no consecuentes como la protección de las morsas en el Golfo de México.
El negocio de BeST se originó en una parte separada del mundo corporativo. Su principal trabajo es probar y validar los planes de respuesta a emergencias que son obligatorios por ley. Los bancos, por ejemplo, están obligados a mantener y verificar la eficacia de un plan de crisis en muchos países. BeST permite que este proceso funcione. Ahora, cada vez más se les llama para probar y validar planes de respuesta a crisis cibernéticas.
El enfoque de la empresa es ejecutar una simulación en tiempo real utilizando un software que hace que personas reales tomen acciones concretas. El Editor de Procedimientos de su software modela el plan de emergencia y la estructura organizativa del cliente. Por ejemplo, en una simulación, el CEO podría recibir un correo electrónico notificándole el desastre. Ella entonces consulta su plan y envía correos electrónicos a los contactos designados en el plan.
El programa informático BeST hace un seguimiento de las actividades y las respuestas. Puntúa el proceso de respuesta del cliente basado en las mejores prácticas de la industria. Sus hallazgos pueden poner de relieve dónde una organización está mal preparada para hacer frente a una crisis real. Exponen las lagunas en el plan de respuesta y sugieren formas de remediar las deficiencias del plan.
“Algunos de los problemas que vemos son estructurales”, añadió Zafz. “Hasta hace unos años, era razonable decir, por ejemplo, ‘llama al informático y espera a que vuelva a llamar’ si había una brecha en los datos. Ahora, la gente mayor quiere saber lo que está pasando de inmediato. El proceso de escalada de incidentes en el plan necesita alinearse con la gravedad de la situación. Podemos señalar este tipo de brechas y sugerir formas de arreglarlas”.
“Siempre vale la pena estar preparado”, dijo Zfaz. “Podemos decirte si estás realmente preparado para un incidente”.
Enlace original: https://
* Gerente de Seguridad de Información Certificado (CISM). Además de editar el Journal of Cyber Policy, escribe sobre ciberseguridad, cumplimiento y tecnología empresarial para clientes como Microsoft, IBM, SAP, HPE, Oracle, Google y Advanced Micro Devices. Antes de iniciar su carrera de escritor independiente, desempeñó funciones ejecutivas en Microsoft, IBM y en varias empresas emergentes de tecnología respaldadas por empresas.
Las opiniones expresadas en este artículo son exclusiva responsabilidad de su autor y no reflejan necesariamente las opiniones de Ciberseguridad LATAM.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian