Segurilatam 011

24 Segundo cuatrimestre 2019 artículo técnico Ciberseguridad A l menos el 50% de las organi- zaciones que cuentan con un plan de continuidad de nego- cio (BCP, por sus siglas en inglés) tomó como base el estándar ISO 22301:2012. Como marco de trabajo, este estándar es una buena guía y permite a las or- ganizaciones demostrar que están pro- tegiendo efectivamente sus instalacio- nes, empleados, activos y partes inte- resadas. De manera general, y con el propó- sito de garantizar la continuidad de sus operaciones críticas, estas organizacio- nes desarrollaron esquemas redundan- tes tanto en sus centros operativos como en la infraestructura e información con la que soportan su operación crítica; esta- blecieron los equipos de trabajo con sus suplentes y los procesos a seguir; y ca- pacitaron a su personal, realizaron prue- bas y atendieron las mejoras o deficien- cias que detectaron durante esas prue- bas. Todo esto basado previamente en el alcance del BCP, el análisis de riesgos y el análisis de impacto al negocio (BIA, por sus siglas en inglés). La mayor parte de los escenarios para los que se desarrollaron los BCP contemplaba interrupciones, ya sea de los centros de operaciones primarios o de los centros de cómputo prima- rios, por eventos catastróficos comu- nes ocasionados por la naturaleza (te- rremotos, huracanes, incendios, inun- daciones, etc.) o por el ser humano (sabotaje, fallas humanas por negligen- cia o por errores, etc.). Pero, ¿qué pasa con aquellos even- tos que no ocasionan interrupciones en los centros operativos ni en los centros de cómputo pero sí ponen en riesgo la continuidad de la organización? Tal es el caso de los ciberataques. Antes de continuar, es preciso dife- renciar entre un evento de seguridad de la información, aquel que por defi- nición pone en riesgo la integridad, dis- ponibilidad o confidencialidad de la in- formación de una organización, y un ci- berataque, que consiste en un intento malicioso y deliberado de un indivi- duo, organización o nación para violar los sistemas de información de otros in- dividuos, organizaciones o naciones en busca de algún tipo de beneficio. La atención de un evento de seguridad de la información o de un ciberataque se debe llevar a cabo a través del proceso de gestión de incidentes de seguridad, el cual puede detonar la ejecución del BCP si se pusiera en riesgo la continuidad de las operaciones de la organización. Fase ‘Plan’ Tomando como base cada una de las fases del ciclo de vida PDCA (Plan-Do- Check-Act, por sus siglas en inglés) del ISO 22301, se recomienda integrar algu- nas actividades para contemplar los ci- berataques dentro de un BCP. La fase Plan , compuesta por las cláusulas 4 Contexto , 5 Liderazgo , 6 Planeación y 7 Soporte , enfatiza la im- portancia de comprender el contexto de una organización, analizar el lide- razgo y el compromiso, planificar el proyecto y los objetivos del BCP y es- tablecer una base para el apoyo de la organización. Dentro de esta fase es importante identificar los activos de información más valiosos de la organización, conoci- dos como joyas de la corona, que deben ser cuidados, así como aquella informa- ción personal que esté bajo la custodia de la organización (ya sea de emplea- dos, proveedores, clientes, etc.) y que por ley debe ser protegida. Asimismo, deberán ser involucrados los responsables de la gestión de ries- gos, de ciberseguridad y de las tecno- logías de información dentro del lide- razgo y su visión tendrá que estar in- cluida en el alcance, la política y los objetivos del BCP. Desde un principio, los roles y permisos de las tareas de ci- berseguridad deberán quedar bien de- Luis Julián Zamora Abrego Subdirector de Riesgos y Seguridad de la Información de BIVA MX Planes de continuidad de negocio ante ciberataques