Guía de planificación en ciberseguridad ante una pandemia: en siete pasos clave

En toda operación de seguridad deberíamos preguntarnos: ¿estamos preparados para una pandemia como el brote del coronavirus?

El actual brote mundial de la enfermedad coronavírica COVID-19, no deja de acaparar titulares. Desde que la Organización Mundial de la Salud (OMS) ha declarado el brote como una pandemia global y una crisis de salud pública internacional, las autoridades sanitarias siguen trabajando para contener la propagación de la enfermedad.

Al igual que en otras crisis sanitarias, las organizaciones deben evaluar el posible impacto en sus operaciones y prepararse para hacer frente a una pandemia. “Cuando se analiza la amenaza que supone COVID-19, todavía hay muchas incertidumbres”, dice Mark Womble, director de la práctica de Consultoría de Crisis y Seguridad de Control Risks, una consultoría internacional de riesgos empresariales. “Lo que es seguro, sin embargo, es que el mundo ha cambiado en varias formas desde los anteriores brotes, más notablemente el SARS en 2003”.

Por un lado, “Nos hemos vuelto más interconectados”, dice Womble. “Las cadenas de suministro globales son la norma, con China jugando un papel clave. La tremenda migración de la población y las megalópolis resultantes, han colocado a un porcentaje más alto de la población mundial en una mayor proximidad mayor”.

Esta mayor interconexión aumenta el riesgo de una pandemia, dice Womble, y aumenta el potencial de graves trastornos en los negocios cuando se deben reducir las cadenas de suministro y los viajes.

LEE TAMBIÉN: Crisis sanitaria y cómo la tecnología ayuda a resolverla

Además, el auge de los medios de comunicación social ha tenido un impacto tremendo, no sólo en la forma en que las personas se comunican entre sí, sino también en cómo y dónde obtienen las personas sus noticias. “Esto puede tener efectos tanto positivos como negativos, ya que a los medios sociales se les puede atribuir con razón el mérito de difundir la conciencia, pero también pueden volcarse fácilmente en ocasiones en el rumor y la histeria ante la pandemia”, dice Womble.

Mientras que en 2003, con las crisis de SARS, los líderes empresariales probablemente habrían expresado su frustración por la falta de información, “los líderes de hoy en día están encargados de destilar lo que a veces puede parecer una abrumadora ‘manguera de fuego’ de información”, dice Womble. “El reto actual en materia de información consiste, pues, en buscar, examinar y confirmar la información fáctica para establecer la base del reto, tomar decisiones y luego comunicarse con los empleados, los proveedores, las cadenas de suministro y el público”.

Teniendo esto en cuenta, considere estas prácticas óptimas sugeridas para la planificación corporativa ante una pandemia desde el punto de vista de la seguridad.

1. Las pandemias son una variable para incorporar en los planes de contingencia hoy y en el futuro.

Las organizaciones deben revisar desde el principio sus planes existentes de continuidad de las actividades, gestión de emergencias y comunicación de riesgos, dice Nitin Natarajan, director de Cadmus, una empresa estadounidense de asesorías en materia de preparación. Eso incluye la evaluación de los impactos de una reducción temporal de la fuerza de trabajo o el que un número de empleados superior a la media que trabajen a distancia.

“Evaluar los riesgos y vulnerabilidades de los sistemas físicos y cibernéticos a partir de una reducción de personal, tanto a nivel interno como entre las principales interdependencias organizativas”, como los socios de la cadena de suministro o los proveedores de servicios, dice Natarajan. “Comunicarse temprano y regularmente, interna y externamente, ya que los vacíos de información a menudo se llenan con información incorrecta”.

Los ejecutivos de seguridad y TI deben informar regularmente a los altos dirigentes y asegurarse de que se entienden claramente las expectativas de los líderes y su verdadero nivel de aceptación de riesgos, dice Natarajan.

2. Establece una “base de inteligencia”.

Ir en busca de información perfecta sobre un problema de salud generalizado no es razonable, dice Womble, y exacerbará el nivel de frustración que los ejecutivos de seguridad ya podrían sentir.

“En su lugar, determine en qué fuentes de información de confianza va a confiar”, dice. Entre los buenos ejemplos se encuentran la OMS, los Centros para el Control de Enfermedades o un proveedor de respuesta médica contratado.

Aprovechando estas fuentes, las empresas pueden obtener un entendimiento lo antes posible. “Enfoque su campaña de concienciación en esas fuentes, a menos que surjan lagunas que deban ser abordadas”, dice Womble. “Apegarse a fuentes selectas le permite realizar un análisis de tendencias sobre cómo evoluciona la situación”.

LEE TAMBIÉN: La nube es clave para la sustentabilidad en la crisis sanitaria

3. Identifica los posibles factores desencadenantes, las tolerancias de riesgo y las respuestas

Todas las crisis son fluidas, pero los problemas médicos emergentes tienden a serlo aún más, dice Womble. “Una matriz de escalada basada en un desencadenante puede ser una herramienta increíblemente poderosa para ayudarte a responder con más confianza”, dice.

Cuando llega nueva información, es importante validarla lo antes posible y discernir qué planes de escalada u otros árboles de decisión preestablecidos podrían necesitar ser recalibrados. “Acepta que los ‘hechos’ tal y como los conoces es probable que cambien”, dice Womble. “Prepárese para reevaluar sus supuestos frente a esos llamados hechos y luego ajuste sus planes de acción en base a nueva información o tendencias emergentes”.

4. Asegura una respuesta coordinada.

Las organizaciones deben asegurar una respuesta fuerte y coordinada que integre la ciberseguridad, la gestión de emergencias y el personal de comunicaciones de riesgo, dice Natarajan. “Utiliza el centro de operaciones de emergencia de tu organización, si tienes uno establecido”, dice. “Asegure comunicaciones consistentes y frecuentes a su personal y a las partes interesadas externas”. Además, las empresas deben colaborar con las organizaciones de salud pública estatales y locales.

5. Piensa globalmente

El término pandemia se refiere a una enfermedad que se ha propagado a través de una gran región como son los múltiples continentes. Cuando se evalúan los riesgos de seguridad o se preparan planes de continuidad de las actividades, las empresas deben estar preparadas para los posibles impactos a escala mundial.

“Asegúrese de que todos los planes han tenido en cuenta los aspectos mundiales de su negocio, incluyendo la cadena de suministro, los clientes y los proveedores de servicios”, dice Pete Lindstrom, vicepresidente de estrategias de seguridad de la firma de investigación International Data Corp. (IDC). “Algo como un coronavirus no es como un desastre natural que puede estar aislado geográficamente”.

Tenga en cuenta que muchos proveedores y socios comerciales están en diferentes partes del mundo. “Contacte con sus socios comerciales, especialmente con la cadena de suministro, para confirmar las instrucciones de solicitudes, pedidos, envíos, recibos, pagos, etc.,” sobre cualquier posible problema de seguridad, dice Lindstrom.

LEE TAMBIÉN: CIOs puestos a prueba para garantizar la continuidad del negocio

6. Haz pruebas de estrés en todas las facetas del trabajo a distancia.

Las estimaciones del impacto máximo de COVID-19 varían ampliamente y es probable que sigan variando durante algún tiempo, dice Womble. Lo que está claro es que los impactos en los negocios no van a desaparecer en el corto plazo, inclusive pueden escalar aún más antes de que empiecen a disiparse, dice.

“El trabajo a distancia, ya sea por elección o por necesidad, probablemente tendrá que desempeñar un papel importante en la planificación de la continuidad de la empresa”, dice Womble. ”

Se debe invertir en la tecnología de la información destinada a apoyar remotamente a la fuerza de trabajo. “Cuanto antes entienda los puntos débiles de su sistema, más tiempo tendrá para resolver los problemas, o priorizar quién debe tener acceso a sus sistemas”, dice Womble.

7. Ser transparentes en el intercambio de actualizaciones.

Es probable que el mejor plan de continuidad de la actividad se vea considerablemente cuestionado si no hay empleados dedicados, que estén dispuestos, y sean capaces de ir más allá de sus responsabilidades normales para ayudar a navegar por los desafíos que supone una crisis sanitaria.

“Asegúrate de que los esfuerzos de esos empleados sean reconocidos y apreciados”, dice Womble. “Al eliminar -o simplemente reducir- la carga de sus empleados de pasar por una abrumadora y contradictoria montaña de ‘inteligencia’, les permite concentrarse en sus funciones y liberarlos para ayudar a enfrentar los desafíos de la organización”.

Las empresas tienen un deber de cuidado con sus empleados, así como una responsabilidad más amplia con sus socios comerciales y comunidades, añade Womble. “La otra cara de cualquier crisis es la oportunidad, y las organizaciones rara vez tendrán una mejor oportunidad para crear confianza y probarse a sí mismas en medio de una crisis que impacta directamente a los individuos, así como a los resultados empresariales”, dice.