Desde un ataque por un virus informático hasta una pandemia por un virus biológico, los riesgos menos pensados pueden llegar a paralizar nuestra actividad empresarial y son de lo más variado. La única protección válida es estar preparados para diferentes escenarios, predecibles y no predecibles. El cibercrimen se ha aprovechado de los efectos de un virus biológico para reformular sus estrategias de ataque, reinventando los ataques de phishing, basándose en el nuevo paradigma social y laboral, donde existen dudas, temores, nerviosismo, así como deslocalización física y mental de los empleados. Los equipos domésticos se han convertido en el nuevo perímetro de seguridad y esto requiere la aplicación de nuevas estrategias de defensa, no solo centradas en mecanismos técnicos, como el Data Loss Prevention o el Digital and Information Rights Management, sino también en la formación y concienciación de los trabajadores dentro de este nuevo paradigma.
En el contexto mundial actual, las organizaciones deben estar preparadas para afrontar acontecimientos que tengan la capacidad de impactarlas de forma adversa. Estos acontecimientos hacen aumentar los niveles de riesgo a las organizaciones, que deben ser capaces de identificarlos, analizarlos y evaluarlos, para crear los planes de acción adecuados. Las organizaciones han de estar preparadas para prevenir, detectar, responder, recuperarse, investigar su entorno y defenderse ante posibles incidentes que pudieran dañar su capacidad operativa o hacer peligrar la continuidad de negocio. Deben ser capaces de dar una respuesta rápida y eficaz ante cualquier contingencia grave, de manera que puedan recuperarse en un plazo de tiempo aceptable para que su negocio no se vea comprometido, fortaleciendo de este modo su resiliencia.
La gestión de la continuidad de negocio es imprescindible para cualquier organización. Gracias a esta gestión, será capaz de prevenir incidentes, responder ante amenazas que los puede provocar, proteger sus activos, imagen, procesos de fabricación o cualquier otra actividad. También se tiene que hacer patente gestionar el escenario de crisis que se pueda originar, para ser capaz de restablecer los activos en el plazo previsto, según el plan, y que el daño a la organización sea el mínimo posible. Una buena selección y auditoría de los proveedores es fundamental para que estos tengan y mantengan los niveles de servicios exigidos por el plan de continuidad de negocio. Esta crisis nos debe servir para identificar los eslabones débiles con las empresas proveedoras, y no hay mejor manera que solicitando sus planes de continuidad de negocio con el objetivo de analizar si se encuentran alineados con el nuestro. A su vez, nuestro plan debería dar respuesta a todas las necesidades que nos plantee nuestro cliente; de otra manera correremos el riesgo de perder competitividad en un mercado donde la seguridad y la continuidad del negocio cobran aún si cabe más importancia tras la crisis del COVID-19.
Plan de Continuidad
Un Plan de Continuidad del Negocio es un elemento diferenciador para las organizaciones que desean superar crisis provocadas por acontecimientos externos no predecibles o de alto impacto. Gracias a este plan, las organizaciones mejoran su nivel de resistencia y están más preparadas para la mantener su actividad a flote. En este plan se recogen los planes de recuperación ante desastres. Las ventajas competitivas de contar con este tipo de planes son, por ejemplo, tomar decisiones rápidamente sobre los riesgos y amenazas, la capacidad de reacción, promover la cultura del plan en las distintas estructuras organizacionales con la transformación digital y la capacidad de manejar las circunstancias catastróficas con éxito. Por tanto, en caso de que ocurra una contingencia, con una mejor preparación se gestiona más eficientemente, permitiendo la recuperación de los procesos de negocio más rápidamente y de forma segura. Para lograrlo todos los niveles de la compañía deben estar bien formados y preparados para seguir las instrucciones del plan, además de conocer cuáles son los límites de sus actuaciones y cuándo es necesario dar la voz de alerta a la organización.
Solo las organizaciones con planes de continuidad de negocio pueden estar más preparadas ante desastres de diferente procedencia y, por tanto, tener una ventaja competitiva ante el resto que les haga reaccionar más rápidamente, sobreviviendo a impactos negativos altos que puedan afectar al negocio. Dada la situación de crisis médica y la creciente crisis económica, las empresas deberán priorizar sus inversiones en materia de seguridad y continuidad del negocio, sopesando cuáles son las medidas imprescindibles para superar una posible nueva crisis, conteniendo los costes lo máximo posible. Para poder llevar a cabo esta prioridad se requiere un nuevo análisis de riesgos que tenga en consideración “la nueva normalidad” teniendo en cuenta las nuevas circunstancias que rodean a las empresas, los empleados y la sociedad en su conjunto.
Plan Director
En Iman Seguridad consideramos que la inversión en medidas de seguridad debería plantearse bajo el diseño de un Plan Director de Seguridad Integral, donde se recoja el análisis de riesgos del Plan de Continuidad de Negocio y que de este se derive a un análisis pormenorizado para cada una de las nuevas amenazas aplicables a los empleados, el patrimonio, los sistemas información y comunicación, los sistemas productivos, así como a los proveedores; pero también teniendo en consideración los exigibles por nuestros clientes. A partir de estos análisis de mayor detalle se pueden establecer las medidas de seguridad específicas y concretas, optimizadas en coste, que den res- puesta suficiente a los riesgos identificados y clasificados. Las medidas de la seguridad integral comprenden la seguridad física y la ciberseguridaddel empleado, la protección física y electrónica del patrimonio, la seguridad física y lógica de los sistemas de información y comunicación, la seguridad electrónica y la ciberseguridad de los sistemas productivos, y por último la especificación de cuáles deben ser las medidas de seguridad físicas, electrónicas y de ciberseguridad exigibles a los proveedores y las exigidas por nuestros clientes.
En conclusión, ¿qué hacer después de una crisis para recuperar tu negocio? La respuesta que proponemos es sencilla. No quedarte de brazos cruzados. Invertir algo de tiempo y una parte de tus re- cursos en analizar y revisar los procesos, quién y cómo los ejecuta. De esta manera se podrá establecer una reformulación del Plan de Continuidad de Negocio y del Plan Director de Seguridad para estar preparado para la siguiente amenaza o crisis, planteando un gasto debidamente justificado a través de un análisis de riesgos específico para tu empresa, tu actividad y tu entorno de clientes y proveedores.
