Llegamos a ustedes gracias a:



Reportajes y análisis

5 pasos para crear un plan efectivo en caso de desastres

[22/04/2020] En las últimas semanas, organizaciones alrededor del mundo han tenido que ponerse al día rápidamente sobre cómo manejar eventos imprevistos. El coronavirus ha afectado prácticamente todos los aspectos de la vida y ha obligado a muchas empresas a cambiar sus operaciones básicas de maneras que prácticamente nadie podría haber previsto.

Esta ha sido una lección sobre la necesidad de preparación en caso de desastres, y también puede ser un momento de enseñanza para mejorar los planes de preparación para el futuro.

Construyendo un plan de preparación de seguridad

Cuando ocurre una crisis como una pandemia o un huracán, los CISOs y otros líderes de seguridad deben tener en cuenta estos factores al ayudar a crear y ejecutar un plan de preparación.

1. Disrupción del personal reducido: Una crisis como la actual puede conducir a una reducción en el personal de TI y seguridad debido a la incapacidad de las personas para trabajar por varias razones. Una solución a corto plazo es aprovechar la ayuda externa, como un proveedor de servicios de seguridad administrados, hasta que las cosas vuelvan a la normalidad. Entonces, estar preparados para contratar a terceros cuando surja la necesidad debería ser parte del plan.

La ayuda también puede venir de adentro. "Una nueva situación de pandemia crea desafíos con los empleados o contratistas al no poder realizar sus tareas en condiciones normales de trabajo, señala Selim Aissi, vicepresidente senior y CISO de Ellie Mae, una compañía de software que procesa las solicitudes de hipotecas.

"Además, es posible que algunos de los empleados no puedan trabajar debido a una enfermedad, condiciones familiares, transporte o simplemente no pueden trabajar de forma remota por algunos desafíos tecnológicos, comenta Aissi, y agrega que el equipo de trabajo contra desastres del CISO debería identificar y prepararse para todos los escenarios posibles para evitar la disrupción del negocio.

Ese grupo de trabajo debería estar establecido como parte del programa general de resiliencia cibernética de la compañía, que también debería incluir la recuperación ante desastres, la continuidad del negocio y la gestión de crisis, asegura Aissi. "El grupo de trabajo ya debería haber estado reuniéndose, debatiendo el plan, probándolo, e informando al personal directivo de la empresa mucho antes de esta crisis pandémica específica, indica.

2. Necesidad de asegurar a los trabajadores remotos: De repente, innumerables personas trabajan desde sitios remotos, como oficinas en el hogar. Todos necesitan tener acceso seguro a redes y datos.

Tenga en cuenta que el trabajo remoto podría ser la nueva normalidad, no solo para el equipo de seguridad, sino también para sus pares y socios comerciales, señala Drew Osborne, un ex CISO y ahora consultor de seguridad independiente. Los CISOs deberían revisar los controles y monitorear agresivamente las herramientas de acceso remoto, asegura Osborne. Además, deben implementar una revisión del comportamiento de uso, si aún no lo han hecho, y monitorearlo de cerca. El acceso remoto probablemente sea un buen candidato para cualquier capacidad disponible que TI pueda tener en reserva, indica.

Los adversarios, incluidos los hackers y los ciberdelincuentes organizados, aprovechan los desastres porque las personas tienden a caer en sus trampas cuando trabajan de forma remota en nuevas condiciones, y porque los humanos tienden a reaccionar ante solicitudes urgentes, señala Aissi.

"Hemos visto un gran aumento de ataques de malware con temática COVID-19, ataques de phishing e incluso ransomware, comenta Aissi. Los CISOs deben asegurarse de que todas las conexiones de red utilizadas por los empleados remotos sean seguras, que el acceso a las redes de la empresa se limite a la autenticación multifactor y que aumente la supervisión de las conexiones de red remotas.

3. Necesidad de asegurar nuevos sistemas: Las organizaciones deberán asegurar los nuevos sistemas y servicios en línea e internos incorporados para abordar la crisis. Podrían ser nuevos servicios, aplicaciones o terceros para satisfacer las necesidades de emergencia, indica Osborne. El equipo de seguridad debe esperar que se le solicite proporcionar controles de seguridad, tal vez con personal reducido. La priorización y la eficiencia son clave.

El rol de la seguridad no debería enfocarse en hacer cumplir las reglas, sino en proporcionar soluciones seguras. Esto es especialmente cierto en tiempos de crisis, señala Osborne. Priorice los esfuerzos donde la organización tiene el mayor riesgo, las aplicaciones más críticas y los datos más confidenciales.

4. Vulnerabilidades que pueden surgir entre socios o proveedores: Las organizaciones deben estar al tanto de lo que sucede con sus principales socios comerciales, como los proveedores. Dado esto, parte del plan de preparación debe abordar la comunicación y la colaboración con los socios.

"Es fundamental que la empresa solicite a todos sus proveedores críticos información sobre la preparación para una pandemia, indica Aissi. "Por lo general, la clasificación de estos proveedores críticos la realiza un equipo/programa dedicado de gestión de riesgos de terceros en la organización del CISO.

El plan también debe cubrir cómo hacerse cargo de los clientes. "Los clientes deben estar informados sobre el nivel de preparación de la empresa contra cualquier posible disrupción causada por la pandemia, asegura Aissi.

5. Necesidad de actualizar los programas de capacitación: Es posible que las organizaciones deban hacer cambios en sus programas de capacitación de concientización sobre seguridad, debido a que los phishers aprovechan la crisis, por ejemplo. Considere una campaña enfocada en las preocupaciones de seguridad relacionadas con la crisis, como los ataques de phishing disfrazados de comunicación sensible, indica Osborne.

Brechas reconciliadoras

Indudablemente, las organizaciones notarán brechas entre las crisis que han planeado y la que están experimentando actualmente, señala Osborne. Es una buena idea llevar un diario o documentar todo lo que las empresas necesitan mejorar desde ahora hasta la próxima crisis.

La buena comunicación entre seguridad y las líneas de negocio es clave. "Los CISOs deben mantenerse en contacto cercano con el personal comercial en todos los niveles de la empresa para comprender cómo la crisis está afectando a los sistemas y a las personas, indica Amy Worley, socia gerente de Berkeley Research Group.

"¿Las redes de comunicaciones responden como se espera, o son lentas o inestables? se pregunta Worley. "Prepárese para que los 'malos' aprovechen una crisis y asegúrese de que el negocio esté listo para ataques cibernéticos, como la denegación de servicio o estafas de phishing relacionadas con la crisis.

Los CISOs deberán continuar educando a los ejecutivos acerca de estos riesgos y cómo mitigarlos, incluso si los líderes senior se preocupan solo por sus ingresos inmediatos, indica Worley. "Trabaje con equipos de comunicaciones internas para asegurarse de que los empleados comprendan cómo usar las tecnologías que mejoran la seguridad, como las conexiones VPN y la autenticación de dos factores, mientras trabajan de forma remota, señala Worley. "Debido a que las personas se mueven rápidamente para mantener a flote los procesos de negocios, los compañeros de trabajo pueden olvidarse u omitir la privacidad y seguridad -a menos que se les recuerde en las comunicaciones en caso de crisis.

Prepararse para el futuro

Los líderes y los equipos de seguridad pueden usar una crisis como una experiencia de aprendizaje para estar mejor preparados en el futuro. "Las lecciones podrían ser: proporcionar una mejor comunicación, habilitar las herramientas necesarias para los empleados remotos, o simplemente encargarse de los empleados infectados, señala Aissi. "Siempre es una buena práctica realizar un ejercicio de 'lecciones aprendidas' después de una pandemia. Los aprendizajes deben discutirse abiertamente, documentarse y rastrearse.

La oportunidad en una crisis "es aprender qué funciona y qué no en su plan ante crisis, señala Worley. "Tenga en cuenta lo que va bien y lo que necesita mejorar a medida que se desarrolla la crisis. ¿Se necesitó más ancho de banda para soportar tantas reuniones virtuales? ¿Había demasiados empleados sin laptops o docking stations? ¿Hubo intentos exitosos de phishing?

Los ejecutivos de seguridad deben asegurarse de recibir aportes de otros stakeholders sobre su experiencia. "Una vez que las cosas vuelvan a funcionar como de costumbre, tome la documentación y conviértala en educación ejecutiva sobre las necesidades actuales de mitigación de crisis, aconseja Worley.