Las operaciones de una compañía pueden sufrir ataques cibernéticos capaces de afectar la continuidad del negocio, e incluso el daño podría ir más allá, al poner en riesgo la supervivencia de la organización. Ante esta situación, es necesario preguntarse: ¿la estrategia de riesgo y continuidad de negocios de su compañía considera la amenaza de un ciberataque?
En los últimos años, el aumento de la dependencia hacia la tecnología ha provocado que las organizaciones estén más expuestas a sufrir ataques de hackers o grupos maliciosos que buscan afectar su operación o imagen a través de intrusiones, robo de información confidencial, fraudes, corrupción o destrucción de datos y sistemas, entre otros.
Esta situación ha llevado a encender los focos rojos y a alertar a las organizaciones para diseñar y crear estrategias de control y respuesta, con el objetivo de combatir y mitigar los riesgos.
Cualquier empresa, sin importar su tamaño o giro industrial al que pertenezca, puede ser blanco de un ataque cibernético. De acuerdo con la encuesta US State of Cybercrime 2014 realizada por la consultora PwC, 59% de los encuestados respondieron que ahora están más preocupados por aspectos de ciberseguridad, a diferencia de años anteriores.
Este tipo de amenazas no sólo pueden ser provocadas por agentes externos como en el caso del ciberterrorismo o el cibercrimen, sino también por personal de la compañía cuyo objetivo sea defraudarla, o por ex empleados que quieran afectar a la organización a causa de despidos o de inconformidades laborales.
Sin importar de donde provengan los ataques, éstos pueden afectar gravemente los sistemas o la operación de la empresa, por lo que se debe estar preparado para reaccionar.
Probablemente la mayoría de las empresas considera a la ciberseguridad como un tema exclusivo del área de seguridad de la información, ya que en teoría, es la primera en responder ante un ataque de este tipo. Sin embargo, si éste tiene un impacto en la operación habría que cambiar el enfoque de respuesta, para integrar este tema al de la continuidad del negocio.
Lo anterior conduce a añadir escenarios de posibles ciber-ataques a las estrategias de continuidad del negocio y gestión de crisis, con la finalidad de contener y evitar catástrofes. De esta forma, en un corto periodo, la organización podría obtener una mayor resiliencia antes, durante y después del ataque. Se trata de ser capaces de sobreponerse a cualquier tipo de irrupción.
Actualmente, la alineación e integración de la ciberseguridad y la continuidad del negocio son temas de gran relevancia para todas las organizaciones.
Así, en lugar de mantener a estas dos áreas como entes independientes, es necesario que sean consideradas como estrategias y planes complementarios durante un ciberataque, además de poner especial énfasis en los puntos convergentes entre ambas.
En cuanto al tema de la gestión de crisis, la alienación de estos planes dará la ventaja para el envío y recepción de información concisa y precisa a todos los responsables de la toma de decisiones de la organización.
Es importante que las empresas consideren a los ciberataques como amenazas reales y latentes que han ido en aumento en los últimos años.
Por lo tanto, es necesario incorporar un escenario relacionado con este tipo de daños en el horizonte de riesgos de cada organización, así como determinar su impacto potencial dentro de la estrategia de continuidad del negocio.
Sin embargo, no es una problemática que deben abordar solamente las áreas de Tecnologías de la Información (ti) y Seguridad de la Información.
Las empresas deben complementar sus estrategias de ciberseguridad y continuidad del negocio para acercarse a una ciber resiliencia que garantice un efectivo control de impactos (financieros, regulatorios, operativos, y reputacionales) y una comunicación eficaz, con la finalidad de conservar la imagen y reputación de la compañía y sus marcas.
*Gerente senior de Consultoría de Riesgos en PwC México. Con la colaboración de GuillermoSaucedo, consultor senior de Consultoría de Riesgos en PwC México.