Después de la última entrada sobre la gestión de la seguridad, le he estado dando algunas vueltas más al asunto de cómo deberíamos gestionar entonces la seguridad dado ese gran componente de incertidumbre. Y estando en esas, me llegó una entrada del blog Cognitive Edge (From robustness to resilience) sobre el comportamiento de los vecinos de Gloucester para afrontar las inundaciones recurrentes en la zona.
Básicamente, el razonamiento es que, dado que no se puede hacer nada para evitar las inundaciones, lo mejor es cambiar las infraestructuras para resistir su efecto y poder recuperar la habitabilidad de las casas lo antes posible, es decir, se han centrado en la capacidad de recuperación (hacer que las infraestructuras sean más "elásticas" y recuperen lo antes posible la normalidad).
El caso es que, en relación a la gestión de la seguridad, quizás tendríamos que hacer algo similar y haya llegado el momento de restarle algo de importancia al enfoque de robustez (análisis de riesgos y medidas preventivas) y dársela a lo que podríamos denominar, enfoque de capacidad de recuperación, más orientado a dotarnos de mecanismos que nos permitan continuar funcionando en caso de un incidente (planes de contingencia y continuidad, pero también diseño de infraestructuras que sean más elásticas, que tengan más capacidad de volver a su estado previo).
¿Por qué digo esto? Pues porque según una encuesta de la Harvard Business Review a 1.463 gestores de Supply Chain (cadena de suministros) y áreas de negocio a lo largo de 73 países el reparto de la inversión entre medidas preventivas y reactivas era el siguiente:
¿Por qué digo esto? Pues porque según una encuesta de la Harvard Business Review a 1.463 gestores de Supply Chain (cadena de suministros) y áreas de negocio a lo largo de 73 países el reparto de la inversión entre medidas preventivas y reactivas era el siguiente:
- 54% mayor inversión en medidas preventivas
- 30% inversión equilibrada entre medidas preventivas y reactivas
- Y, el 16% restante, mayor inversión en medidas reactivas
En este sentido, si somos clientes de servicios en la nube, nos importará más la capacidad de recuperación del proveedor más que el hecho de que no se vea afectado por ningún ataque, ¿no?
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
5 comentarios:
Pues depende... Si el incidente tiene que ver con la disponibilidad, quizás se puede estar dispuesto a cambiar robustez por resilencia, pero si el incidente en cuestión tiene que ver con la confidencialidad, no lo veo. Y en cuanto a la integridad... creo que depende del caso.
Yo también creo que depende del caso, y más concretamente del sector.
Entornos dónde la diponibilidad e integridad son cruciales, como pueden ser los amparados por el borrador de ley de protección de infs críticas o el sector sanitario, deberán obtar por una estrategia distinta. Continuidad vs Resistencia (resilience)
La continuidad la entendemos normalmente como una estrategia defensiva y reactiva, focalizada en la recuperación ante incidentes y desastres más que en la resistencia ante los mismos, como los vecinos de Gloucester.
He estado pensando sobre el tema... Y está claro que tenéis vuestro punto de razón; me explico. Es como si al materializarse una amenaza sobre la confidencialidad o la integridad el daño ya estuviera hecho, ¿no? Ya no hay vuelta atrás...
Está claro que eso es así, pero también lo es que en el caso de disponibilidad pasa lo mismo (si cuando voy al terminal a hacer la transacción no está disponible, el daño está hecho).
Lo que veo es que lo que varía son los mecanismos que te dan la capacidad de recuperación: En la disponibilidad es muy sencillo puesto que significa volver a poner los sistemas operativos, pero en la confidencialidad, ¿cómo articulamos esa capacidad de recuperación? ¿es posible?
Haciendo la analogía con el desastre de BP, quizás solo queda la vía del resarcimiento a los afectados por el daño causado, ¿qué os parece?
Un saludo y gracias por vuestros comentarios... muy buenos...
La práctica totalidad de las "pérdidas" se pueden acotar y gestionar con contramedidas, como todos sabemos.
Según lo comentado, la "estrategia de la resiliencia" debería estar totalmente enfocada a mitigar impactos, que no a prevenir la ocurrencia de amenazas. De nuevo, aquí tendríamos que analizar el gap entre los departamentos IT/Seguridad y el Financiero, dado que bloquean acciones y partidas presupuestarias.
En el caso de la confidencialidad se me ocurre que esa capacidad de "recuperación" debería estar fundamentada sobre mecanismos preventivos (cifrado? DLP?) y reactivos (seguros?)
En el caso de BP, analizando la naturaleza de los impactos provocados por la fuga de crudo, se podrían proponer acciones concretas para la mitigación de impactos:
- Impacto legal: subcontratación de bufetes legales con experiencia práctica, como ya se hizo con el Exxon Valdez (Lieff Cabraser Heimann & Bernstein)
- Impacto reputacional/imagen: Implementación de un Plan de Responsabilidad Social Corporativa amparada en la práctica de buen gobierno de la compañía (Planes de Sostenibilidad, campañas ecológicas, creación de fundaciones, campaña de posicionamiento y reputación, etc). Como hizo en su día la British American Tobacco.
- Impacto financiero: contratación de una poliza con cobertura ante este tipo de eventos, creación de un deposito en el periódicamente se aportase una cuantía para sufragar los costes derivados de eventos como este, etc.
Publicar un comentario