Seguritecnia 476

SEGURITECNIA Junio 2020 45 Seguridad Integral premisa la obtención de la informa- ción de las fuentes y canales preesta- blecidos, analizando la veracidad de los datos y su impacto en tiempo real o anticipándose a acontecimientos o consecuencias futuras para los intere- ses de la compañía. El objetivo es ofre- cer conocimientos y criterios para res- paldar las actuaciones empresariales. 2. Disponiendo de un servicio y herra- mientas tecnológicas GRC (gobierno corporativo, riesgos empresariales y cumplimiento de obligaciones regula- torias) que facilite la implantación y el ensayo periódico de planes de conti- nuidad tecnológica, planes de conti- nuidad de negocio, planes de gestión de crisis y planes operativos específi- cos. Cada sector de actividad, cada si- tuación geográfica e incluso cada ne- gocio, por su propia idiosincrasia, de- berá adoptar su propio modelo de RO, previendo y preparando planes de ac- ción ante escenarios de contingen- cias . No podemos cerrar ninguna op- ción, y ante distintas estimaciones de las posibles situaciones que se nos presenten, deberemos tener distintos escenarios y protocolos de respuesta (desde la perspectiva más favorable a la más desfavorable). 3. Disponiendo de un servicio de ci- berseguridad alineado con el Es- quema Nacional de Seguridad (ENS). En España, el ENS es el Sistema de Gestión de Seguridad de la Informa- ción (SGSI) para las administraciones públicas. Es el marco obligatorio para proteger la información y su gestión a través de los medios electrónicos. El ENS no se trata de estándares in- ternacionales o normas discreciona- les. Son disposiciones legales o nor- mas jurídicas. Está constituido por principios básicos y requisitos míni- mos requeridos para una protección adecuada de la información. Su crea- ción se contempla en la Ley 11/2007 de acceso electrónico de los ciuda- danos a los servicios públicos, se re- gula a través del Real Decreto 3/2010 y la ley 40/2015 de régimen jurídico del sector público y se desarrolla so- bre las recomendaciones de la Unión lecomunicaciones, actividad o proceso para absorber el impacto de una inte- rrupción o pérdida comercial y conti- nuar brindando un nivel aceptable de servicio”. Es decir, la RO no solo aplica para eventos de crisis en las empresas. Tam- bién surge como una herramienta o guía que logra hacer a las compañías suficientemente sólidas, capaces de so- brevivir a cualquier dificultad mayor y obtener ventajas competitivas de situa- ciones adversas ( ISO 22316: 2017) . Así pues, con este nuevo enfoque, la RO debe estar más asociada a la prospec- tiva y a la planeación (BSI 65000). Para ello, las empresas deben lograr su propio y único sistema de gestión de la continuidad de negocio (ISO 22301). Y todo ello, convenientemente evaluado bajo un modelo de madurez de su de- sarrollo e implantación o CMM ( Capabi- lity Maturity Model ) que elimine las inde- cisiones o indefiniciones iniciales de li- derazgo y respuesta ante un suceso o situación disruptiva y evite, en el mayor grado posible, la incertidumbre en los re- ceptores, afectados o ejecutores de las medidas adoptadas desde el principio (ISO/IEC 15504, ISO/IEC 33000 evaluación y mejora de la capacidad y madurez de procesos). ¿Pero cómo hacerlo?: 1. Disponiendo de un servicio de in- teligencia empresarial que facilite la toma de decisiones. Se tendrá como publicados por IDC Research, al 1,4 en el escenario más probable, de acuerdo con las últimas encuestas realizadas en plena crisis del COVID-19. Sin embargo, esto contrasta con los últimos hallaz- gos del CERT de Kaspersky ICS, a prin- cipios de 2020, que descubrió una se- rie de ataques dirigidos a sistemas de Japón, Italia, Alemania y Reino Unido. La lista de objetivos incluía proveedo- res de equipos y software para empre- sas industriales. Sería un error que “los árboles no nos dejen ver el bosque” por estar sumergi- dos exclusivamente en el impacto ne- gativo del COVID-19 y el rebote sobre el crecimiento a corto plazo (en forma de “V”, “U”, “W”…) y ser incapaces de ob- servar todo el contexto del problema en su plenitud. Es decir, ofrecer rápida- mente al mayor número posible de em- pleados y clientes un fácil acceso a los sistemas, productos y servicios reba- jando o suspendiendo los estándares de protección, dando lugar por ejemplo a potenciales riesgos de seguridad ci- bernética en las empresas. Preparación Fortaleciendo la resiliencia organiza- cional (RO) con estrategias basadas en mejores prácticas para la superviven- cia, el BCI (Business Continuity Institute) lo define como la “capacidad de una or- ganización, personal, sistema, red de te-