red seguridad 074

Seguridad reactiva, la gran olvidada C uando pensamos en seguridad empresarial siempre se nos vienen a la mente los mismos ejemplos: bancos, grandes corporaciones, gobiernos de grandes potencias mundiales, fabri- cantes de productos de seguridad… Tendemos a pensar que únicamente este tipo de organizaciones tienen la capacidad de destinar a la seguri- dad los medios suficientes como para poder vivir tranquilas. Sin embargo, la realidad es mucho más tozuda: incluso este tipo de organizaciones sufren graves incidentes de seguri- dad. Hacking Team (1) , Kaspersky (2) , el banco Banorte (3) o el propio Gobierno de los EEUU (4) son sólo algunos de los ejemplos más llamativos de grandes organizaciones cuya seguridad se ha visto gravemente comprometida en los últimos años. Y la pregunta que nos deberíamos hacer todos es: si hasta estas organizaciones han caído, ¿cuándo me tocará a mí? El problema, no obstante, no es nuevo. Todos en este sector conoce- mos la máxima de que “no existe la seguridad cien por cien”. Sin embar- go, seguimos empeñados en poner medidas y más medidas de seguridad encaminadas a evitar una realidad que todos aceptamos como inevitable. No digo que dejemos de aplicar medidas de seguridad preventivas, pero… ¿No va siendo hora de modificar (o al menos, complementar) nuestra estra- tegia de seguridad? ¿Por qué, si que- remos obtener resultados diferentes, no empezamos a pensar la seguridad de un modo distinto? Seguridad reactiva Como ya decía Brian Dye, vicepre- sidente de Symantec, en 2014 (5) , “la estrategia pasa por minimizar los daños”. ¿Si no conseguimos evitar que los incidentes de seguridad se produzcan, por qué no centramos nuestra estrategia de seguridad en minimizar su impacto? Aunque sufra- mos un incidente de seguridad, cuanto menos duren sus efectos y más leves sean, menos nos importará sufrirlo. Debemos potenciar nuestra capaci- dad de recuperación, integrando el concepto de resiliencia como parte fundamental de nuestra estrategia de seguridad. Reforzar la resiliencia es un con- cepto fácil de entender, pero complejo de llevar a cabo. Al fin y al cabo, si no somos capaces de prever los inciden- tes de seguridad, nuestra capacidad para saber cómo reaccionar frente a ellos y recuperarnos de la forma más rápida e indolora posible puede no ser tan buena como nos gustaría. ¿Sabemos qué tenemos que hacer en caso de que se produzca un incidente de seguridad? ¿Sabemos cómo tene- mos que hacerlo? ¿Somos capaces de prever el resultado de nuestras actuaciones? Todos estos factores son fundamentales a la hora de desarrollar una estrategia de resiliencia eficaz. En definitiva, tenemos que tener claro cómo vamos a recuperarnos en caso de que se produzca un incidente de seguridad y estar seguros de que esa recuperación va a ser rápida y efectiva. ¿Y cuál es la forma de cono- cer y acelerar nuestros mecanismos de reacción y comportamiento? Como muchos aficionados al deporte habrán podido intuir, entrenando. Entrenar la resiliencia Al igual que a nivel personal o depor- tivo, la única forma demostrada de desarrollar y perfeccionar la actua- ción es el entrenamiento. También a nivel corporativo. Si somos capaces de definir nuestras pautas de actuación y de desarrollar mecanismos operativos que nos permitan reaccionar y recupe- rarnos en caso de sufrir un incidente de seguridad, podremos educar nuestros músculos corporativos para que, a base de repetir y perfeccionar nuestras actuaciones, cada vez reaccionemos más rápido y nos recuperemos de manera más eficaz frente a un inciden- te de seguridad. No obstante, no todas las organi- zaciones están igual de preparadas para desarrollar con éxito un programa de entrenamiento en resiliencia cor- porativa. Al igual que las condiciones físicas de partida son determinantes para los entrenamientos deportivos, las características de las personas, los procesos y las tecnologías de las organizaciones van a condicionar la capacidad corporativa para desarro- llar el programa de entrenamiento . La tecnología es uno de los factores más determinantes a la hora de desa- rrollar una buena resiliencia corpora- opinión 56 red seguridad tercer trimestre 2016 especial seguridad corporativa monográfico Joseba Enjuto Director de Consultoría de Nextel