Al final de un artículo que se publicó aquí en octubre pasado, se formula una pregunta crucial: ¿Qué hacer en caso de que los equipos y sistemas digitales de una empresa sufran un ataque o se dañen? Las respuestas son tan variadas como las empresas mismas, excepto en un solo aspecto: hay que prepararse para la eventualidad.
El plan de respuesta (que por supuesto debe contemplar medidas preventivas) lo configura cada empresa a su medida. Tamaño, área de actividad económica y modelo de negocio lo determinan en un sentido u otro. Sin embargo, debe cumplir con cinco requerimientos:
Proponemos enseguida una serie de asuntos para guiar a una empresa a la hora de definir su plan de respuesta. Están pensados principalmente desde la perspectiva de una PyME. Sin embargo, exponen nociones que valen para cualquiera, por lo cual también sirven como guía básica para las empresas medianas o grandes, si decidieran acudir a un tercero para que les asesore en la definición o les elabore un plan completo.
Designar al responsable
Ante la necesidad de tener un plan, la reacción natural es voltear hacia el departamento de TI. Lo natural también es que una PyME resuelva sus necesidades con un tercero que atiende a otros negocios similares, por lo que su disponibilidad (y su sentido de responsabilidad) estará más bien limitada.
Por eso es importantísimo que el negocio señale específicamente a alguien en su nómina que se haga cargo (que sea “el dueño”, como suele decirse). Desde luego, se apoyará en el área de TI, interna o externa, para cuestiones particulares. Pero importa más que sea alguien organizado, capaz de liderar y trabajar en equipo y con suficiente iniciativa como para adelantarse a los cambio, para revisar y actualizar cualquier plan que se trace. Necesitar, además, tener el espaldarazo de la dirección, gozar de autoridad para convocar personas y tener recursos asignados.
Formar un grupo de trabajo
Un ataque afecta a todas las áreas de una organización. Eso hace que cada área colabore en la planeación de la respuesta con un representante. Algunos asuntos que el grupo deberá resolver son:
Documentar los riesgos
Cualquier negocio está expuesto a riesgos desencadenados por causas externas. Es obvio que no es posible enumerar todos y cada uno. Pero el grupo de trabajo deberá discutir, tal vez bajo el formato de lluvia de ideas, sobre los pasos que se deben dar para recuperarse. De ahí se pueden derivar las medidas a tomar para mitigar el riesgo y en consecuencia, ordenarlas por prioridad. Ejemplo de los riesgos que conviene examinar son:¿Qué hacemos si un empleado descontento nos borra tal o cual información? ¿Qué hacemos si los equipos se dañan por descarga eléctrica? ¿Qué tan expuestos estamos si un proveedor avisa que sufrió un ciberataque?
Identificar los datos, sistemas y herramientas críticas
Es obvio que cada área del negocio requiere información para desempeñar sus funciones. Contaduría, por ejemplo, necesita conocer la nómina; ventas necesita su directorio de clientes y las órdenes de compra. Pero en caso de desastre, restablecerlo todo al mismo tiempo es imposible.
Es materia del plan de recuperación determinar las prioridades. La pregunta clave a responder es ¿cuánto tiempo podemos seguir funcionando sin el sistema equis o la herramienta zeta? Otras cuestiones a determinar son el tiempo estimado que tomará el restablecimiento del estado operacional y los recursos que necesita el responsable para lograr la tarea de recuperación.
Con esta información se pueden definir las prioridades y, en la medida de lo posible, reservar los recursos de recuperación para garantizar su disponibilidad.
Inventariar los activos físicos
Parte de la labor de documentación consiste en integrar una lista de los equipos que se usan para la operación cotidiana. Terminales de escritorio, servidores, impresoras y teléfonos son los objetos en los que de inmediato se piensa. Pero la mirada debe ir más allá, para incluir los equipos de la red (routers y antenas de red inalámbrica, por ej.), los muebles, las existencias de productos y materias primas.
El inventario debe ser la base sobre la que se debe contestar otra pregunta hipotética: si nos vemos obligados a mudarnos a otra instalación, ¿cuál es el mínimo que habrá que adquirir en esa situación? Si el negocio ha de contratar un seguro contra desastres naturales, la respuesta a esta pregunta es fundamental para determinar el monto de la suma asegurada.
Respaldar la información crítica
Una realidad desafortunada entre las PyMEs es que conservan el grueso de su información digital en los equipos de escritorio o laptops, el talón de Aquiles por donde incia la mayoría de los ataques. Encima de eso, carecen de políticas de respaldo y entre su personal se desarrolla poco el hábito de respaldar la información periódicamente en repositorios seguros.
Actualmente ya es posible echar mano de soluciones en línea, con al menos tres atributos básicos: abarcan todas las terminales en una red privada; aprovechan los beneficios de la nube; corren automáticamente, sin que los usuarios tengan que activar periódicamente la actividad de respaldo.
Definir la comunicación interna y externa
Anteriormente se mencionó la necesidad de considerar que un problema se presenta a deshoras. ¿Qué se necesita del personal al comenzar la siguiente jornada laboral? Depende de lo que haya ocurrido, por supuesto. ¿Quiénes trabajarán desde casa; quiénes deben ir a otra instalación? ¿Cuáles son los primeros pasos que deberán dar y quién ha de conducirlos?
La comunicación externa debe centralizarse. ¿Quién avisa a los clientes y quién a los socios y proveedores? Además, la situación determinará si es más importante avisar a unos, a otros o a todos. Si se da el caso, ¿quién se ocupa de atender a los medios de comunicación y de qué forma se definirán los mensajes, de manera que la situación no dé lugar a malentendidos y termine sumándose un problema de relaciones públicas? Una consecuencia especialmente grave de los ataques de seguridad es el daño que pueden traer al posicionamiento de marca. Además de causar pérdidas muy difíciles de cuantificar, remediar esos daños consume muchos recursos y toma mucho tiempo.
Realizar simulacros y actualizar
El grupo de trabajo se reserva media jornada para realizar, como se dijo antes, un ejercicio del tipo “qué tal si”. Se plantea una situación hipotética: ¿Qué pasa si un agente de ventas activa el enlace en un correo aparentemente legítimo y de pronto, toda la red está congelada? Evidentemente se trata de una extorsión cibernética, pero al margen del rescate que los extorsionistas ya pidieron (o irán a pedir de un momento a otro), ¿qué más?
La cabeza del grupo es pieza clave en estos ejercicios. Su retos se dan en tres órdenes:
Un plan de respuesta y recuperación no agota todo lo relativo a la ciberseguridad. Este último es un asunto de mayor alcance: abarca, por ejemplo, actualización de sistemas con parches de seguridad, políticas de modificación de contraseñas, criterios para dar acceso a la información confidencial.
El plan es una parte de un todo más amplio. Pero es imprescindible por una razón principal y sobresaliente. Indica a la empresa cómo entrar en acción justo en el momento en el que entrar en acción es lo más importante.
