Ciberresiliencia, primeros pasos para proteger tu empresa ante posibles incidentes

Fecha de publicación
28/05/2020
Autor
INCIBE (INCIBE)
Ciberresiliencia, primeros pasos para PtE ante posibles incidentes

Ante cualquier situación cuyas repercusiones son negativas, ya sea en el ámbito laboral o personal, muchas veces solemos comenzar la frase con la palabra ‘ojalá’: ‘'ojalá hubiera hecho’, ‘ojalá hubiera adquirido’, ‘ojalá hubiera guardado’, y así un sinfín de posibilidades. La respuesta a todos esos ‘ojalá’ es la resiliencia, un concepto que llevado al ámbito empresarial se define como la capacidad que tiene la organización de resistir ante una situación adversa, como por ejemplo la actual crisis sanitaria generada a causa del COVID-19, o cualquier otra que pueda afectarla.

Apoyo de la dirección y creación del equipo

Un aspecto fundamental para mejorar la resiliencia de una empresa es crear un plan de contingencia y continuidad, para ello se debe contar con el apoyo de la dirección. Esto permitirá asignar los recursos humanos necesarios para llevar la tarea a buen puerto. Es importante que la dirección esté informada de todos los avances que se producen, especialmente durante el proceso de identificación de amenazas, ya que puede ser muy extenso.

Como sucede en cualquier proyecto, para elaborar un plan de contingencia y continuidad que otorgue a la empresa una mayor capacidad de resiliencia es necesario asentar bien las bases. Para ello, se debe contar con el mejor equipo posible, que preferiblemente estará compuesto por empleados de las distintas áreas empresariales. Esto permite obtener una visión mucho más amplia de la empresa, de los riesgos a los que está expuesta y las acciones que deben llevarse a cabo para mejorar su capacidad de resiliencia en cada uno de los departamentos que la componen. No contar con personal de distintas áreas puede ser un riesgo, ya que probablemente no se tenga una visión lo suficientemente amplia de la empresa, repercutiendo así en las medidas a aplicar.

Los 6 activos empresariales críticos de tu empresa

Todas las empresas, independientemente de su tamaño o sector, están compuestas por una serie de activos críticos sin los cuales no pueden continuar con sus labores cotidianas. Tener en cuenta todos ellos es de gran importancia para poder realizar un correcto análisis de riesgos. Un método de clasificación de activos que simplifica el proceso consiste en dividirlos en 6 categorías diferentes, tal y como se muestra en la imagen.

Activos críticos empresariales. Operaciones: Facturas. Nóminas. Fabricación. Inventario: Stock. Pedidos. Entregas. Equipo: Ordenadores. Servidores. Teléfonos. Mobiliario. Edificio: Oficina. Almacén. Taller. Personas: Empleados. Clientes. Proveedores. Información: Documentos. Bases de datos. Copias de seguridad.

Análisis de riesgo

Cualquier empresa u organización puede verse afectada negativamente por determinados eventos, desde incidentes mínimos, hasta desastres cuya repercusión y proceso de recuperación pueden ser tan graves que impidan desarrollar la actividad laboral, y por consiguiente pongan en riesgo su continuidad del negocio.

Tipos de amenazas que pueden afectar a la empresa

Las amenazas que pueden afectar a la empresa se pueden categorizar en dos clases diferentes dependiendo de la causalidad, aunque puede llevarse a cabo cualquier otra categorización:

  • Amenazas naturales. Situaciones que pueden poner en riesgo a la empresa causadas por situaciones naturales, como el desbordamiento de un río, vientos fuertes, temperaturas extremas, tormentas, terremotos, etc.
  • Amenazas causados por el ser humano. Son todos aquellos incidentes donde la mano del hombre se encuentra relacionada de forma directa o indirecta, como son el sabotaje, caída de la web, error en la intranet, ciberataques, accidentes, errores involuntarios, robo, etc.

Existen más modelos de clasificación de amenazas, por ejemplo, se pueden categorizar en función de los activos empresariales afectados o la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT).

Probabilidad e impacto

El siguiente paso consiste en determinar la probabilidad de que se materialice cada una de las amenazas, y cuál sería su impacto en la empresa en caso afirmativo. La probabilidad puede valorarse de varias formas, por ejemplo utilizando una escala de 1 a 5, siendo 1 la probabilidad más baja y 5 la probabilidad más alta. Utilizando esa misma escala, se tiene que valorar el impacto que tendría para la empresa la materialización de una amenaza.

Por ejemplo, una amenaza podría ser la pérdida de información confidencial en los servidores de la empresa. La probabilidad de que se produzca puede ser 2, es decir poco probable, pero puede suceder. El impacto, por el contrario, sería de 5, ya que no disponer de la información pondría en grave riesgo la continuidad de la empresa.

Una vez hayas determinado las amenazas a las que tiene que hacer frente tu empresa, el impacto y la probabilidad de que se materialicen, habrás llevado a cabo la parte más compleja y estarás más cerca de mejorar su resiliencia.

Si tienes dudas, llama al 017, la Linea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad

Ir arriba