Seguritecnia 468

SEGURITECNIA Octubre 2019 65 Seguridad en Latinoamérica Fuentes de amenaza Hoy en día, el espectro de la amenaza cibernética toma más relevancia dada la plataforma lógica que sostiene no sólo a los servicios esenciales, sino a toda la empresa. Pero el quid del asunto es que no todo riesgo es cibernético. Hay otros factores de amenaza que pueden tener un impacto mucho más grave, de carácter catastrófico. Considero que caemos dentro de una visión de túnel cuando sólo nos enfocamos en el factor cibernético como fuente de amenaza y riesgos. Así, definimos las diferentes fuentes de amenaza y algunos de los probables riesgos que estos conllevan. Factor humano. Considero que es la principal fuente de amenaza, requi- riendo un verdadero proceso y análisis multifuncional, una introspección para identificar las causales, tendencias y modalidades en que se comporta este factor. Es el factor oculto. Hablamos de la amenaza interna, los empleados ex- ternos, los movimientos sociales y la delincuencia organizada. Factor naturaleza. Un factor impre- decible en su comportamiento, aun- que es posible identificar dónde es crítico y muchas veces de carácter ca- tastrófico. Aquí figuran los sismos, las inundaciones, los incendios, las tor- mentas o los huracanes. Factor tecnológico . Los equipos re- quieren mantenimiento. Sufren des- gaste y fallas. Y pueden provocar si- tuaciones que den lugar a una si- tuación crítica. Por lo tanto, hay que tener en cuenta las fallas de los equi- pos, la falta de piezas críticas, las ac- tualizaciones y las fallas técnicas. Factor cibernético . Es determinante en el universo lógico que mueve las diversas plataformas de los servicios esenciales. Aquí entran en juego los ciberterroristas, los hackers , los crac- kers , la amenaza interna, los gobier- nos, las fallas lógicas, etc. Factor colateral . Falla de cualquier otro servicio esencial o infraestruc- tura crítica, básico para la viabilidad operativa de los servicios financieros, como resultado del impacto de los otros factores. Plataforma de resiliencia El modelo de inteligencia corporativa es el que sustenta la plataforma de re- siliencia, o capacidad de respuesta de la empresa, generando la información necesaria para la toma de decisiones que demanda el mantener la viabilidad de los servicios esenciales. Conlleva ac- ciones integradas por parte de varias áreas críticas de la empresa, el asegu- ramiento de soportes y proveedores externos, la coordinación con el sec- tor financiero y la relación y coordina- ción con las autoridades. La plataforma considera cuatro grandes fases: Prevención. Es la fase más importante. En ella se establecen todos los escenarios po- sibles, considerando los factores e impacto de cada uno de ellos para pasar a definir las respuestas para cada riesgo. La coordinación y las alianzas críticas, las redes y los enlaces de comunica- ción son establecidas en esta fase. Esta fase requiere plantear lo que se considera imposible de suceder. Se plantea que aunque nosotros es- temos bien, el entorno puede no estarlo. Un planteamiento de inteligencia efectivo plasmará la agenda de ries- gos con los impactos más extremos. Contención (primera respuesta). Fase donde se aplicarán las res- puestas a las contingencias e inci- dencias identificadas en la agenda de riesgos. Una prevención efectiva podrá contener en esta etapa los principa- les riesgos identificados. Manejo de crisis. Rebasada la capacidad de res- puesta, entra en juego la capaci- dad para generar nuevas respues- tas, lo que demanda tener el factor humano necesario para la toma de decisiones. Es en la fase de prevención donde debe definirse a los elementos que se integrarán para manejar la crisis. Continuidad de negocio. Plataforma sobre la que se asientan las tres primeras fases y que debe determinar la sustentabilidad de los servicios e infraestructura crítica. Conclusiones El modelo de resiliencia, o capacidad de respuesta de la empresa para lograr la sustentabilidad de servicios esenciales o infraestructura crítica, debe considerar: Un esfuerzo de la empresa a través de un proceso multifuncional sustentado en una cultura de administración de riesgos y enfocada hacia la resiliencia. Una coordinación con proveedores y autoridades basada en una polí- tica nacional de protección a servicios esenciales e infraestructura crítica. Que los servicios propios pueden ser afectados por la caída de otros servi- cios esenciales, en especial durante situaciones catastróficas. Que el factor humano es crítico tanto como factor de amenaza como factor de seguridad para poder cumplir con el proceso de resiliencia. Que la presión externa puede ser crí- tica e incidir durante el proceso de toma de decisiones durante una con- tingencia o una crisis. El modelo de resiliencia para servi- cios esenciales e infraestructuras críticas debe estar sentado en un planteamiento a nivel gobierno federal que coordine el esfuerzo de autoridades y empresas en un solo proyecto estratégico. El modelo de inteligencia corporativa genera información que contribuye a garantizar la viabilidad de los servicios esenciales