De gente, procesos, tecnología y su impacto al negocio.
Ahora con nuevas tendencias, tecnologías disruptivas y nuevos retos para los negocios del siglo XXI, es importante retomar las bases y, sobre todo utilizar tantas herramientas como poseemos.
Empecemos por la importancia de los tres pilares de la ciberseguridad (gente, procesos y tecnología) guarda una intima relación entre las operaciones de TI y la operación de la organización.
Es cierto que estos tres elementos están intrínsecamente interconectados y deben considerarse de manera integral al diseñar una estrategia de ciberseguridad que gestione con base en los riesgos en una organización.
Aquí hay algunas ideas clave que estaremos analizando:
La alineación con los objetivos del negocio: Es fundamental que las soluciones de ciberseguridad estén alineadas con los objetivos del negocio. Esto significa que la tecnología y los procesos de seguridad deben ser diseñados para apoyar la operación eficiente y la generación de ingresos, en lugar de ser obstáculos o cargas innecesarias.
1. La concienciación de la gente: La educación y la concienciación en seguridad son críticas. La ciberseguridad no es solo responsabilidad de los expertos en tecnología, sino que todos los miembros de la organización deben entender su importancia y cómo pueden contribuir a mantener un entorno seguro. Y lo mas importante, debe ser manejada por gente especializada.
2. Evaluación y adaptación continua: La ciberseguridad no es estática. Debe ser un proceso continuo de evaluación y adaptación. Esto implica revisar y actualizar regularmente los procesos, tecnologías y políticas de seguridad con alineación a los cambios y estrategias del NEGOCIO, para mantenerse al día con las amenazas en constante evolución y apoyar a la organización en los logros de sus estrategias.
3. La importancia de la evaluación de riesgos (BIA): El Análisis de Impacto en el Negocio (BIA) es una herramienta esencial para comprender qué activos, procesos y tecnologías son críticos para la continuidad del negocio y cómo deben priorizarse en caso de una interrupción. Esto ayuda a tomar decisiones informadas sobre arquitecturas e inversiones en seguridad.
4. Gobernanza y planificación estratégica: La ciberseguridad debe ser parte integral de la gobernanza y la planificación estratégica de una organización. Esto implica involucrar a los líderes de la empresa en la toma de decisiones sobre ciberseguridad y considerarla como parte de la estrategia y una inversión en lugar de un gasto.
En resumen, la ciberseguridad no es solo una preocupación tecnológica, sino una parte integral de la gestión de riesgos y la estrategia de una organización. La interconexión entre gente, procesos y tecnología es clave para lograr una ciberseguridad efectiva y garantizar la continuidad del negocio en un mundo cada vez más digital y amenazante.
Nuevamente el paradigma sobre que es primero, “el huevo o la gallina” pero ahora aplicado a estos 3 pilares de la ciberseguridad y yo diría que de las operaciones IT en general.
Dependiendo de lo que se pretenda vender a una organización cualquiera de los 3 son importantes, sin embargo, la realidad y la experiencia indican que los 3 deben ir inmersos en una buena solución o incluso una buena tecnología.
De nada nos sirve adquirir la mejor tecnología si esta no se adecua a los procesos del negocio y ojo, no a los procesos tecnológicos, sino a los procesos básicos del negocio que son los que finalmente determinan la necesidad de la organización para adquirir ya sea un servicio o una tecnología. La idea del board siempre será “Que me haga gastar menos, me facilite la operación y mejor aún, me haga tener mejores ingresos”.
En el tema de los servicios, estos pueden ser muy huecos si no van acompañados de un mapa tecnológico REAL y no falseado por el ego tecnológico que siempre dirá “estamos bien y mejor que antes”, cuando la realidad contrastada contra la operación y necesidades del negocio pueden ser distintas. A veces un gran servicio, puede ser un nuevo problema si es que solo se vende como punta del iceberg y pretende que los procesos de la empresa se adapten a los procesos del servicio.
Gente, es una palabra fácil, pero la realidad es que el reto de hacer conciencia en la gente tiene un orden primordial, que debe empezar por las cabezas de la organización ya que estas no adoptan las reglas que REQUIERE LA ORGANIZACIÓN nadie más respetara las políticas o reglamentos que se generen para cuidar justamente a la organización.
Ahora bien, no hay que exagerar con los controles, sino EVALUAR qué es lo que mejor se adapta a la operación de la organización y cuáles son los adecuados y que potencien el cumplimiento y eviten que la organización sea sancionada y, por supuesto proteja los activos, la información y los procesos de negocio más importantes. Por ello es importante tener un mapa de procesos y tecnología asociada para entender los riesgos en cada uno de los procesos de la organización, siempre basados en la misión y visión de esta.
Hace mucho tiempo existió una “moda” que se casó con los DRP’s (Planes de recuperación de desastres), donde se evaluaba económicamente el impacto al negocio por la falta de un servicio. Este solía llamarse BIA por sus siglas en inglés, el cuál es indispensable usar de una forma evolucionada, ya que solía solo medir el “tiempo fuera” de los activos, pero queda de más en la adopción de tecnologías de nube y más aún, por el uso de “servicios tercerizados”. Es momento de evolucionarlos.
Veamos qué “usos” le podemos dar a la información del BIA en una organización:
Si recorremos los procesos de una organización X que se dedica a la manufactura de Y artículo y que depende la una línea de producción, operación y comercialización que están controladas por diferentes sistemas, veremos más clara la importancia del BIA.
Inicialmente la línea de producción está automatizada y depende de una serie de desarrollos a la medida, que le permite automatizar cada uno de los pasos de su línea de producción. Luego, ésta es alimentada y mantenida a través de un sistema de administración de recursos, inventarios, pedidos, etc., vía un ERP (Enterprise Resource Planning) que dentro de uno de sus módulos se liga al pago de horas de los trabajadores en función de las necesidades de productividad, por medio de un sistema de administración de Recursos Humanos y nómina.
Luego tenemos la parte elegante de la empresa que es la mercadotecnia y la imagen comercial; que si las ventas por internet, que el catálogo de nuevos productos, que si los pedidos y seguimiento de envíos, etc., etc.
Seguimos con los sistemas de control de flujo de ingresos y egresos y los equipos asignados a cada área. Si estos equipos fallan, los sistemas responderán con ineficiencia, ya que no fueron planeados para funcionar ante flujo excesivo de datos en una red plagada de virus o ante un ataque interno de malware introducido por un usuario que llevó la USB de uno de sus hijos para imprimir la tarea, porque en casa se dañó su impresora…
Después, los sistemas de intercambio de información con terceros, como la nómina tercerizada, los bancos, factura electrónica…etc., etc.
Y así poco a poco se va complicando la decisión. ¿A cuál de todas estas “damas en desgracia” deberíamos rescatar primero? ¿Cuánto estamos dispuestos a “gastar” en levantarla en caso de crisis? O mejor aún ¿cuánto estamos dispuestos a INVERTIR para evitar que el negocio deje de operar?
Es aquí donde el BIA nos dice qué es más importante en función del ingreso o de la pérdida de capital de la empresa, y en un sentido de presupuesto nos puede dar indicadores en función de la operación, como por ejemplo, si actualizamos licencias de un sistema que no nos sirve para nada, pero que el área de TI lo considera vital.
Como podemos ver, el BIA asociado a un análisis de procesos y riesgos, no solo es un simple documento de levantamiento de información para un DRP, sino una parte importante de la gobernabilidad de cualquier empresa, parte de un proceso estratégico de planeación y control de inversiones que debe considerarse como herramienta de un negocio y no sólo como una justificación de TI.
Continuara…
