La mayoría de los CISO ahora planifican sobre la base de que se producirá un ciberataque o una violación de datos, pero aún queda trabajo por hacer para que las organizaciones sobrevivan a una crisis y se recuperen, advirtieron los expertos de la industria. La gestión eficaz de las cibercrisis es una parte clave de la resiliencia. Según un panel de CISO y expertos cibernéticos de Infosecurity Europe, los líderes de seguridad necesitan desarrollar, actualizar y, sobre todo, ensayar sus planes de gestión de crisis. Estos planes no son sólo de naturaleza técnica: deben cubrir el comando y control, las comunicaciones e incluso el bienestar de los equipos que responden al incidente. Los ciberincidentes de alto perfil, incluido el ransomware, así como la pandemia mundial, han obligado a las juntas directivas a prestar más atención tanto a la resiliencia como a la recuperación. «Ahora hablamos en el lenguaje de cuándo no si», dijo Paul Watts, distinguido analista y vCISO en el Foro de Seguridad de la Información. «La realidad es que le pasa a todo el mundo». Sin embargo, los planes eficaces de respuesta a incidentes deben ser claros, integrales y comunicados a todas las partes interesadas. Los planes también deben practicarse o, como dijo el panel, “ejercitarse”. «La reacción de la empresa realmente depende de la madurez y del nivel de ejercicio de las personas», afirmó Jennifer McGhee, CISO de Element Materials Technology. Los profesionales cibernéticos tienen una “comprensión muy sólida” de lo que debe suceder durante un incidente. “Pero eso no es necesariamente intuitivo para las personas que trabajan en el negocio o para una junta directiva que no ha estado en esa posición antes. Nuestro trabajo como líderes cibernéticos es comunicar eso a la empresa, comunicarlo a la junta directiva para que la gente lo esté esperando”, explicó McGhee. Déjelo en manos de los profesionales Una de las partes más difíciles de la respuesta a la crisis puede ser convencer a los altos directivos y a la junta directiva de que den un paso atrás y dejen que los expertos manejen la situación. Esto requiere un buen plan, pero también una buena relación con la empresa y una comunicación eficaz antes de que llegue una crisis. «Una de las cosas más difíciles que tuve que hacer, cuando trabajé en una empresa anterior, fue decirle a mi CEO que no hiciera nada y que se quedara sentado», dijo Stuart Seymour, CISO y CSO del grupo en Virgin Media o2. “Los altos líderes, cuando ven algo en llamas, quieren ponerse la capa y volar para salvar el día ellos mismos”, dijo. Lea más de Infosecurity Europe: #Infosec2024 Software espía: una amenaza para la sociedad civil y una amenaza para las empresas Una estrategia eficaz, y una que Seymour siguió cuando llegó a Virgin Media o2, fue reunirse con todos los altos ejecutivos «en tiempos de paz». De esa manera, las relaciones y los canales de comunicación estaban ahí antes de que ocurriera una crisis. Prepararse para una crisis también significa involucrar a las partes interesadas en la planificación (incluidas las relaciones públicas, las comunicaciones con los clientes, el área legal y de recursos humanos) y mantener los planes bajo revisión. «Sólo funciona si no se escribe el plan, se guarda en un armario y sólo se revisa cuando hay un incidente», advirtió McGhee. «Está bien tener planes, políticas y procedimientos, pero son tan buenos como lo bien que los hayas probado y aplicado». Valor de una crisis Mientras tanto, Tomás Roy, director de la Agencia de Ciberseguridad de Cataluña, advirtió que la transparencia es clave para una respuesta eficaz a la crisis. Las organizaciones también pueden aprender de una crisis. Revela puntos débiles, mejora la colaboración y, suponiendo que la organización pueda recuperarse, garantiza que lo cibernético esté más firmemente en la agenda. «Todos los incidentes son una oportunidad», dijo.