Seguritecnia 452

82 SEGURITECNIA Abril 2018 Entrevista zar las funciones y la dotación de los re- cursos necesarios, el sistema es insoste- nible y probablemente sea poco eficaz ante la ocurrencia de una contingencia. - ¿Qué beneficios reporta para una empresa contar con un SGCN, al mar- gen de las evidentes, como puede ser que se garantiza la continuidad de los servicios a pesar de haberse materia- lizado un riesgo con un impacto sig- nificativo? Más allá de los beneficios asociados a un Plan de Continuidad de Negocio, como, por ejemplo, la protección de ac- tivos críticos, la gestión eficaz de la con- tingencia o el incremento de la resilien- cia corporativa, un SGCN bien hecho es certificable bajo el estándar de referen- cia, ISO22301. Este proceso, una vez superado, acre- dita la capacidad de la organización en la gestión de la continuidad de nego- cio. Esto puede traducirse en una re- ducción de las provisiones para con- tingencias que los reguladores de su sector imponen a su empresa; en defi- nitiva, en dinero ahorrado. La tranquili- dad de los accionistas, clientes, opinión pública o la mejora de la competitivi- dad posibilitan la operativa en merca- dos donde es necesario acreditar un ni- vel alto de protección en continuidad de negocio. Actualmente nos encontra- mos cada vez más organizaciones que nos solicitan implantar su sistema de continuidad de negocio por ser un re- quisito obligatorio de los clientes a los que prestan servicio. En un entorno tan digitalizado, donde el modelo empresarial tiende cada vez más hacia la externalización de servicios non-core , las medidas de continuidad deben necesariamente extenderse a toda la cadena de sumi- nistro. - Garantizar la continuidad del nego- cio es fundamental en el entorno ac- tual, que está marcado por múltiples amenazas, tanto físicas como ciberné- ticas. ¿Cómo consiguen una solución de este tipo realmente integral, que aborde esos dos ámbitos a la vez? La continuidad de negocio es inherente a la actividad corporativa, como lo es la existencia del riesgo y la entrada de la era digital al campo empresarial. Ha in- corporado nuevos riesgos que antes no existían, ya que la operativa de ne- gocio se desarrolla en un nuevo en- torno, el ciberespacio, donde los lími- tes se difuminan, todo está interconec- tado y parece al alcance de todos. En este escenario, resulta fácil a los “ma- los” comprometer mediante un ataque cibernético a una organización privada provocando un gran impacto a una di- mensión nunca antes vista. Todas las barreras de defensa son pocas, si bien, en caso de conseguir traspasarlas o de encontrar una nueva vulnerabilidad no identificada anteriormente, haber pre- visto alternativas eficientes de recupe- ración otorga la tranquilidad de saber que nuestra compañía continuará pres- tando a sus clientes los servicios críticos en el peor escenario. Esto solo es po- sible si antes se han analizado, planifi- cado, desarrollado, medido y probado los planes de continuidad o de recu- peración que reestablezcan el nivel de servicio tras un ataque. La mayoría de los ataques son sincro- nizados y deben igualmente tener una respuesta sincronizada entre las accio- nes a llevar a cabo por los equipos de respuesta ante incidentes de seguridad y los comités de continuidad de nego- cio que gestionan los equipos de recu- peración para minimizar el impacto de las primeras horas y recuperar el servi- cio lo antes posible. Por tanto, una me- dida fundamental para mitigar los im- pactos derivados de un ciberataque es contar con una estrategia conjunta del área de seguridad de la información con el de área de continuidad de nego- cio con el objetivo de desplegar planes de acción perfectamente integrados que aseguren la confidencialidad y la integridad al mismo tiempo que garan- ticen un nivel de disponibilidad. - Dentro de su oferta de servicios rela- cionados con la continuidad de nego- cio, ¿cuáles son los más demandados por las empresas y en qué consisten? Actualmente, la mayoría de nuestros clientes, sobre todo aquellos con los que venimos trabajando desde hace más tiempo, han alcanzado un nivel de madurez considerable en continuidad de negocio. Para ellos hemos diseñado unos servicios que denominamos ser- vicios avanzados de continuidad de ne- gocio, los cuales inciden en aspectos de mejora de la eficiencia de sus procesos de continuidad, la puesta en marcha de sus planes, la optimización del mante- nimiento del sistema en estado de nor- malidad y la formación continua. Uno de los servicios avanzados que más nos demandan nuestros clientes es el del Simulacro del Comité de Gestión de Crisis. En 2006 realizamos nuestro primer simulacro con un cliente, enton- ces con una metodología muy básica, que hemos madurado y contrastado estos años posteriores. Partiendo de un suceso inicial, en las franjas establecidas, se introducen to- dos aquellos acontecimientos que dic- tan las acciones, objetivos y suposicio- nes simuladas y que requieren de la participación activa de los miembros del Comité de Gestión de Crisis para la toma de decisiones. Esta gestión me- diante acontecimientos nos permite va- lidar la convocatoria de los comités y equipos de recuperación, la toma de