Resiliencia digital: proteger lo importante

Por Fernando Román* Casi la mitad de las empresas en México (45%) afirma tener confianza para gestionar los riesgos cibernéticos emergentes que ponen a prueba su resiliencia digital. Sin embargo, solo 36% identificó y 31% definió la tolerancia al impacto a los servicios de negocio con base en métricas o resultados específicos, así lo revelan los resultados de nuestra encuesta Digital Trust Insights. Pero, ¿quién puede decirnos si efectivamente el tiempo que tardamos en recuperarnos de la incidencia fue el óptimo?, ¿o si la pérdida de clientes no fue relevante para el negocio? Si esto no lo podemos medir, entonces no podemos decir que somos resilientes.  Frente a un incidente, el tiempo de recuperación es crucial y no debe haber una desconexión entre la importancia de los sistemas, la tecnología y el negocio. Lo más importante es proteger lo que llamamos “las joyas de la corona”, es decir, lo que realmente sostiene la operación del negocio. La resiliencia digital no es la misma para todos los sectores, esta se determina a partir de parámetros que cambiarán de acuerdo con el tipo de empresa. Así, la resiliencia digital por diseño exige llevar a cabo un mapeo de la infraestructura crítica específica que permita medir el impacto en términos del mismo negocio. Esto es, se requiere identificar la infraestructura tecnológica que soporta todos los procesos críticos del negocio para que las compañías puedan reaccionar rápido y restablecer los servicios lo más pronto posible. Establecer controles y medir tolerancia Una vez identificados los puntos críticos es importante establecer controles que ayuden a disminuir los riesgos que presenta cada componente critico; incluyendo a los agentes que pueden causar un incidente desde el interior de la organización, conocidos como insiders, que han cobrado relevancia en los últimos años.     Los sistemas deben ponerse a prueba para descubrir sus posibles fallas y las interconexiones entre un sistema y otro. Esto permitirá identificar los huecos en seguridad y cómo proceder frente a las eventualidades. La periodicidad de las pruebas la determinará la naturaleza del negocio; podrían ser, incluso, diarias o hasta cada seis meses.   No te pierdas: Millennials: claves para un futuro más digital  Las decisiones sobre cómo protegerse y qué proteger no deberán ser tomadas unilateralmente. Se requiere la participación del Consejo, de las direcciones generales, del Chief Information Security Officer (CISO), de los auditores, Recursos Humanos e, incluso, del área legal.  Nuestra encuesta Digital Trust Insights también reveló que, en México, el principal responsable de la resiliencia digital en las empresas es el CISO (53%). Aumentar la confianza Entre 2017 y 2019, la mitad de las empresas mexicanas experimentó algún tipo de incidente cibernético que le provocó pérdidas financieras. El estudio destaca que la primera consecuencia de estas vulneraciones es la salida de clientes, seguido de la indisponibilidad de datos, caída del sistema y costos de remediación.    Para aumentar la confianza de los clientes, se requiere una cultura de seguridad con un enfoque preventivo para proteger los activos y la información. Es importante acatar las nuevas regulaciones en protección de datos del consumidor, pero cumplirlas no reduce por sí mismas el riesgo de un incidente. Por eso la resiliencia digital ayuda a reforzar la confianza y, en consecuencia, a atraer más negocios y clientes de mayor calidad.    Contacto: LinkedIn: Fernando Roman   *El autor es Socio Líder de Cybersecurity & Privacy Solutions, PwC México.

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.