Claves esenciales de la administración de crisis
Share
Por Laura Ureta, Gerente de Seguridad de la Información de Banco Bolivariano
Las políticas, procedimientos, los niveles de continuidad y contingencias, inicialmente se concibieron para escenarios de no disponibilidad de accesos a oficinas centrales, desastres naturales, incendios entre otros, sin embargo, los escenarios de pandemia y de ataques cibernéticos no necesariamente se encontraban en la lista. El impacto que ocasionó este tipo de incidencias recobra la necesidad de revalidar y hasta redefinir los esquemas y las estrategias para tomar medidas que permitan enfrentar la crisis bajo estas circunstancias.
Las instituciones financieras y algunas empresas, sea por normas regulatorias y mejoras practicas mantienen especificaciones con esquemas estructurados en los que se gestionan los procesos de continuidad de negocio y consecuentemente, el manejo de las crisis que incluye la adecuada valoración de riesgos, planes de respuestas, recuperación y también planes de comunicación, los mismos que deben seguir procesos de mantenimiento, valoración y pruebas regulares para estar listos, en caso de ser requeridos.
Preparación para la gestión de crisis
La gestión de crisis en el ámbito de la ciberseguridad requiere que se tomen decisiones rápidas, en algunos escenarios, con información limitada y mucha incertidumbre sobre el origen del incidente. La adecuada gestión de crisis dependerá del grado de preparación de la organización y de los escenarios que se hayan relevado, evaluado y probado.
Considerando el tamaño y las capacidades de las organizaciones, los sistemas de gestión requieren recursos especializados a nivel operativo, responsables funcionales y hasta un comité estratégico que tome las decisiones necesarias para enfrentar y dotar de los recursos para afrontar la crisis. Además de los controles generales de seguridad de la información y la adecuada gestión de los activos de información, también se debe garantizar los controles de resiliencia.
Aspectos de la administración de crisis
La gestión de una crisis cuyo origen sea un incidente de ciberseguridad, no es un tema exclusivo del equipo de ciberseguridad o de seguridad de la información, involucra a toda la empresa, tanto al responsable de seguridad de la información como al equipo directivo: CEO, responsable de comunicación, responsable de operaciones, responsable jurídico, responsable comercial, responsable de atención al cliente, responsable de recursos humanos, responsable de sistemas, etc. Una inadecuada administración de crisis en ciberseguridad impacta la credibilidad y confianza de la empresa y la administración de sus recursos.
Los aspectos que debe cubrir la administración de crisis deben considerar al menos, los siguientes aspectos y/o fases:
- Liderazgo
- Preparación de planes, protocolos, ejercicios periódicos, atención a grupos de interés, etc.
- Respuesta a diagnósticos, coordinación, escenarios
- Comunicación a fuente oficial de la organización, transparencia, empatía
- Cierre formal: comunicación de la gestión y lecciones aprendidas
La comunicación en la administración de crisis
La administración de crisis es parte de la resiliencia en una organización. Poder gestionar de manera oportuna y además brindar una comunicación efectiva logrará una gran diferencia en el manejo de una crisis, independientemente de su origen, permitirá a la organización mantener los niveles de confianza y credibilidad de los grupos de interés.
Bajo el contexto y condiciones actuales, sin lugar a duda una de las etapas más álgidas en el manejo de una crisis es el abordamiento de los distintos planes de respuesta, recuperación sin dejar de lado, el plan de comunicación. Este último, sobre todo, atendiendo a la facilidad y rapidez con la que se descontextualizan los hechos, a través de las redes sociales. Mantener información al cliente, proveedores, aliados es crucial para brindar información a los grupos de interés.
