Marzo 20, 2020. La pandemia causada por el Coronavirus ha golpeado los planes de todas las empresas y todos están buscando opciones para mantenerse haciendo negocios y mitigar el impacto económico que la interrupción tendrá. Considero que es altamente probable, que el escenario que estamos viviendo no fuera previsto por los planes de continuidad de negocios. El escenario de una pandemia global, que obligue a que nuestro personal opere en condiciones limitadas y complejas protegiéndose de una bioamenaza, que considere que nuestros clientes reducen su volumen de negocios con nosotros porque su prioridad es sobrevivir la pandemia, y que incluya el mandato de una autoridad gubernamental de modificar, limitar y hasta suspender las operaciones del negocio por un tiempo determinado. Esto quiere decir, que la mayoría de las empresas en este punto, están operando con un plan de continuidad que tuvo que ser pensado sobre la marcha. Dura lección de aprender, pero esto nos enseña que independientemente de la preparación que la dirección de una empresa hace para planificar la continuidad de negocios, cuando un evento adverso se materializa, siempre se tiene que hacer un plan de continuidad de negocios. Es obvio, que al no pensar escenarios antes, el nivel de reacción es más lenta, menos eficiente, más costosa, dado que las fases de preparación y activación del plan tienen que hacerse mientras se desarrolla el evento. Esta forma crea más estrés, más trabajo, pero en este caso, es lo que ha pasado.

Pero no todo debe de estar perdido o verse de forma negativa. Es momento de mantenerse atento a las oportunidades, porque no habrá mucho margen de maniobra en el futuro para aprovechar oportunidades de negocios. Si un plan de continuidad ha sido delineado, la ejecución de las tareas establecidas debe realizarse de la mejor manera y el soporte de la función de TI es crítico. Enumero algunas áreas en las que pienso se debe de estar atento:

1. Establecer un comité que discuta sobre las acciones que la empresa realizará para afrontar el evento. El comité de continuidad de negocios debería de estar definido previamente, pero si no lo está, es imperativo que se definan responsables de gestionar la crisis, de tomar decisiones, de implementarlas y de darles seguimiento a efectos de garantizar su efectividad. El comité deberá de estar atento a nuevos desarrollos y girar las comunicaciones que se consideren necesarias, con una frecuencia que permita a los colaboradores tener una guía de lo que se está haciendo y aclarando todas las dudas que se puedan generar durante la situación de crisis.
2. Identificar que es crítico y darle prioridad. Por ejemplo, en las empresas en las que el teletrabajo es una opción, la función de TI debe garantizar que todos los componentes que soportan los servicios de conexión a la empresa, tales como enlaces de comunicación, VPN y plataformas de colaboración se encuentran funcionando adecuadamente. Si mi prioridad es comunicarme con los clientes por medios electrónicos, los usuarios que administran las redes sociales y sistemas que se soportan en redes sociales pasan a ser VIP, pues el ingreso pasará a depender de ellos. Se trata de soportar las operaciones de continuidad de la mejor manera. Si la empresa ha desarrollado una buena Gestión del Servicio, es necesario revisar los Acuerdos de Niveles de Servicio que resultan especialmente críticos en la coyuntura actual de la organización.
3. Evaluar la capacidad para responder a la demanda actual y futura. En los casos en que el teletrabajo y las ventas en línea era una opción soportada, pero limitada, es imperante evaluar si la capacidad de cada componente va a ser suficiente para los nuevos requerimientos. La empresa deberá de establecer los requerimientos concretos para los servicios de TI de tal manera que la función de TI pueda definir planes de mejora para cumplir con el requerimiento. Como ejemplo, si los vendedores en línea van a duplicarse, es mejor asegurarnos que los nuevos vendedores podrán operar a niveles óptimos. Se trata de que TI proporcione soporte ahora y en el futuro cercano, de adelantarse a posibles interrupciones en el servicio por problemas de capacidad.
4. Prepararse para una situación de operaciones normales “nueva”. En este caso estamos ante una interrupción de los negocios por un largo tiempo. En el caso de China fueron dos meses, pero en el caso de Estados Unidos se está hablando de cinco meses. Creo que de lo que yo recuerdo, estos tiempos exceden el máximo de tiempo para volver a la normalidad de los planes de continuidad de negocios. Si se consideran los tiempos previstos para tener una vacuna, volver a la normalidad podría tomar años. Por lo cual, si se tendrá que vivir con una nueva realidad. Probablemente estos escenarios lleven a que la nueva forma de operar será diferente, por lo que la revisión y actualización de los procesos de trabajo tendrá que ser considerada como parte de la reanudación de servicios.
5. Gestionar el recurso humano. La fuerza laboral es crítica para el buen funcionamiento de una organización y la amenaza de un virus como el que se ha presentado impacta en la población enferma y en la población sana. De esta manera, las organizaciones tendrán personal que también sufre psicológicamente de la situación. Estos puntos deben de ser abordados por un plan que estimule la salud mental del trabajador. En este plan, proporcionar al trabajador la seguridad de que labora de la forma más segura para él ayudará a disminuir efectos adversos. Se deben de crear planes de comunicación que transmitan al trabajador toda la información necesaria para que se siga sintiendo parte de la empresa y se mantenga enfocado en las tareas que tiene que desarrollar para la empresa, así como las tareas que tiene que desarrollar para mantenerse sano. Es tiempo de ocuparse y no de preocuparse.
6. Considerar el obtener retroalimentación. Ante una situación nueva, es conveniente que el desarrollo de nuevos planes vaya acompañado de una retroalimentación temprana sobre los resultados de las nuevas medidas. En este sentido, la realización de encuestas o consultas al personal, los proveedores, los clientes, ayudará a seguir optimizando las nuevas operaciones. Una retroalimentación debería tenerse antes de que pasen dos semanas en la nueva operación para poder tomar medidas de corrección oportunamente.

Definitivamente hay mucho trabajo que hacer. Espero que estos consejos les ayuden a mejorar su respuesta a la crisis y mejoren su capacidad de continuar haciendo negocios en tiempos del Coronavirus.

Instintivamente, cuando pensamos en Seguridad, se piensa en la palabra protección. Cuando pensemos en Seguridad de la Información, es importante recordar que en el contexto del Framework de Cyberseguridad del NIST, este término ocupa la segunda categoría, por lo cual, es importante primero haber identificado todos los elementos que interesa asegurar, a través de la implementación de la categoría de Identidad. (Para más información ver   Identificar, el primer paso de la Cyberseguridad).

La categoría de protección en el Framework de Cyberseguridad incluye las siguientes sub-categorías: control de accesos, concientización y entrenamiento, seguridad de los datos, procesos y procedimientos de protección a la información, mantenimiento y tecnologías de protección. Tradicionalmente, los presupuestos de seguridad de una organización han sido dirigidos a la última sub-categoría, bajo el supuesto de que la tecnología por si misma puede brindar protección. Sin embargo, no ha sido suficiente. Es importante entender que la tecnología de protección, tales como antivirus, firewalls y similares, son herramientas necesarias para ser efectivos en proporcionar seguridad a la información. Sin estas herramientas la seguridad no puede ser alcanzada, pero el adquirir las herramientas no proporciona seguridad, sino se siguen procedimientos adecuados, si el personal no está consciente a un nivel aceptable de las amenazas de seguridad y si el control de accesos no ha sido establecido para garantizar que sólo personal autorizado tiene acceso a la información.

Entre los casos que puedo comentar, es típico tener una solución de antivirus, que ha sido adquirida para el total de los equipos de la organización, sin embargo, no todos los equipos de la organización tienen instalado el software, o si lo tienen, este no está actualizado para proporcionar el máximo de protección posible. Cuando esto pasa es inefectivo para la organización, no sólo porque se ha invertido dinero en algo que no es bien utilizado, sino también porque el impacto de tener fallas en la seguridad de la información, acarreará costos adicionales a la organización. Esto deja bien claro, que aparte de la herramienta, se deben implementar procedimientos que optimicen la protección. Esto incluye procedimientos de auditoría de sistemas. Como un ejemplo, al realizar una auditoría de sistemas a la implementación de medidas de seguridad, encontré que no sólo la actualización de firmas fallaba, sino también la actualización del software de antivirus. En esa ocasión, aprendí que los administradores de las herramientas de seguridad tienden a confiar en lo que les informan consolas centrales, sin preocuparse por verificar la información, aunque sea muestralmente, como se hace en la auditoría de sistemas.

Para evitar el problema de ser juez y parte, se ha creado la función de Oficial de Seguridad de la Información. Este rol debe de establecer los procedimientos de seguridad mínimos que permitan que el Plan de Seguridad de la Información sea ejecutado de manera consistente. También debe de evaluar el nivel de cumplimiento de los procedimientos y su nivel de efectividad, que le permita identificar puntos de mejora. Esto es la teoría, en la práctica de las empresas del área centroamericana, este rol aun no es entendido por la alta dirección, que lo ven como una tarea adicional del Gerente de Sistemas o de alguien en informática. Si alguien de la Alta Dirección de una empresa lee esto, es importante que entienda que las amenazas informáticas evolucionan diariamente, por lo tanto la protección contra esas amenazas no puede ser pensada de manera estática y requiere de constante medición, evaluación y adecuación.

Las amenazas a las plataformas informáticas en el 2015 han aumentado de una forma mayor a lo sucedido históricamente. Las facilidades proporcionadas por las comunicaciones han abierto grandes posibilidades para los negocios, para incrementar productividad y para estar comunicado en todo momento. Pero esto también está permitiendo un nuevo tipo de ataques, permanentes, masivos, más elaborados. Quienes gobiernan las tecnologías de la información ahora tienen que pensar en que un gobierno efectivo también debe de gobernar la seguridad de la información.

Hoy quiero llamar la atención hacia el framework de Cyberseguridad, desarrollado por el Instituto de Estándares y Tecnología (NIST – National Institute of Standards and Technology). Nace a partir de una orden ejecutiva presidencial, que por sí solo debería de ser una alerta del nivel de urgencia que existe por implementar medidas de seguridad en cualquier organización. El framework está formado por un conjunto de estándares y mejores prácticas que fueron consensadas a través de diferentes talleres con actores predominantes en la industria de las Tecnologías de la Información. La misma ISACA ha formado parte de este esfuerzo y quienes seguimos de cerca la producción de material para orientar el gobierno de las tecnologías de la información ya contamos con una publicación de esta entidad para implementar Cybersecurity: “Implementing the NIST Cybersecurity Framework”. Esto también ha extendido el conjunto de certificaciones emitidas por ISACA, existiendo ahora certificaciones para los niveles de Fundamentos, Practicante, Especialista y Experto en Cyberseguridad. Esto adicional a la tradicional CISM (Certified Information Security Manager). Definitivamente, tantos esfuerzos por el NIST e ISACA no deben de pasar inadvertidos por los Gerentes de TI, que tienen que empezar a preparar su caso de negocio para implementar medidas de seguridad en su organización y buscar que su personal cuente con conocimientos sobre seguridad de la información.

Personalmente me parece bastante atinado el proveer a todos de un conjunto de 100 medidas, que se constituyen en una base bastante extensa de salvaguardas para proteger la empresa. Estos controles tendrán éxito en su implementación en la medida que formen parte de un esfuerzo coordinado que pone la seguridad en un papel defensivo, pero con capacidad de identificación y respuesta. Este enfoque busca que incidentes de cyberseguridad causen el más mínimo, sino nulo, impacto al negocio. Las funciones especificadas por el framework, siguen una lógica muy similar a la de los ataques, sólo que ahora estas acciones deben de ser ejecutadas preventivamente. Las funciones son identificar, proteger, detectar, responder y recuperar. En muchas empresas, cuando se habla de seguridad de la información, enumeran acciones que protegen la información, tales como controles de acceso físico y lógico, el cifrado de información, la instalación de antivirus y firewalls. Proteger está bien, pero las otras funciones también son importantes. La identificación es necesaria para conocer la superficie de ataque existente. Cuantas veces al auditar, hemos encontrado que existen equipos sin antivirus instalado. Esto sucede porque nadie se ha tomado el trabajo de identificar todos los activos de la organización y verificar que el número de equipos sea igual al número de antivirus instalados y actualizados. Los virus informáticos si se toman el tiempo de buscar adónde se pueden instalar y encuentran esos activos que no están protegidos. Esto muestra la necesidad de mantener indicadores más informativos del funcionamiento de las medidas de protección, que busquen una protección del 100% de los activos.

Las funciones de detección, respuesta y recuperación proponen el tener la capacidad de conocer que se está recibiendo un ataque y a partir de ahí activar protocolos que permitan responder oportunamente y recuperar el control de la situación. Esto en el fondo implica que no sólo deberíamos decir nos atacaron, sino también conocer quién nos atacó, como entró a la organización, que activos fueron afectados e iniciar acciones para limitar y anular el margen de acción del atacante. Esto implicará que las organizaciones deberán a utilizar herramientas más sofisticadas, similares a las que utilizan los hackers, para evaluar la seguridad de la organización. Estas herramientas permitirán también el cruzar información de los fabricantes sobre las últimas vulnerabilidades descubiertas y su impacto en la infraestructura de la organización. El análisis de vulnerabilidades y la evaluación de riesgos  de seguridad constituyen en este contexto dos controles vitales para el éxito de un programa de cyberseguridad y la priorización de la implementación de controles de seguridad.

Como podemos intuir de estas líneas, hablar de Cyberseguridad implica comenzar a pensar más como hacker y utilizar las mismas herramientas que tradicionalmente ellos han utilizado para encontrar y cerrar las posibles brechas que nos hacen vulnerables a los ataques. Esto debería de ser el accionar responsable de una Gerencia que busca el éxito de las operaciones de negocio, minimizando riesgos y evitando interrupciones a las operaciones, mientras se mantiene una atención eficiente y efectiva a los clientes.