Seguridad

RSA, COVID-19 y Riesgo

Mientras escribo esto, dos cosas están sucediendo al mismo tiempo: Seguridad RSA La conferencia está en pleno apogeo, al igual que el COVID-19 (coronavirus). Es una extraña yuxtaposición. Hay cercanía geográfica, la reunión está en curso y está a pocas cuadras de la alcaldía. declarar estado de emergencia (durante el evento) debido a la continua propagación del virus.

Dado que la conferencia RSA en sí misma es la columna vertebral de una industria estrechamente relacionada con la gestión de riesgos, también existe una coherencia temática que articula claramente las decisiones de gestión de riesgos que toman los asistentes al evento (y los no asistentes notables, como IBM, AT&T y Verizon.) En resumen, es un divertido momento de pantalla dividida.

A primera vista, discutir ambas cosas al mismo tiempo parece patológico, o similar a propagar el miedo. Sin embargo, creo que desempaquetarlo y examinarlo tiene un valor práctico para los profesionales de la seguridad, especialmente para aquellos preocupados por el tema más amplio del riesgo.

Específicamente, nos proporciona una ventana excepcional a las decisiones de gestión de riesgos en empresas grandes y pequeñas, y recuerda a los profesionales de la seguridad y los riesgos un elemento fundamental pero que a menudo se pasa por alto en la planificación de la seguridad.

Tener en cuenta estos dos aspectos puede ayudarnos a perfeccionar nuestros esfuerzos de gestión de riesgos y mejorar nuestra postura de seguridad general.

Evalúa tu apetito por el riesgo

Comencemos con el primero: podemos conocer los cálculos de gestión de riesgos realizados por las empresas que decidieron asistir (o abandonar) la conferencia RSA de este año, particularmente lo que dicen sobre su apetito por el riesgo y el nuestro.

LEER  Audite las contraseñas que nunca caducan para las cuentas de usuario con el script Bash

Claramente, la decisión de abandonar un evento no es fácil para una organización que abandona el evento.Por ejemplo, IBM es uno de los principales actores en productos de seguridad: por undécimo año consecutivo Gartner QRadar llamado IBM En la sección de Líderes de su Cuadrante Mágico SIEM, IBM figura como Patrocinador Platino del evento (el segundo nivel más alto de patrocinio); IBM tiene subsidiarias relacionadas con la comunidad de seguridad (especialmente Red Hat).

Si bien solo IBM conoce con certeza el impacto comercial total de su decisión de retirarse de RSA, sus cálculos deben tener en cuenta pérdidas financieras directas e indirectas significativas. No solo se pierde directamente la inversión realizada y los recursos invertidos (por ejemplo, costos incurridos en materiales de impresión, viajes de empleados, transporte de materiales y tiempo dedicado por los empleados a planificar eventos), sino también el costo de oportunidad de no realizar negocios en forma de , las transacciones no se completan y las interacciones con los clientes se pierden.

Dado que en el momento de la decisión, solo unos pocos casos confirmados de infección por COVID-19 en los EE. UU., esto nos dice cuán importantes son los cálculos de gestión de riesgos de estas empresas.

Eso sí, no digo que tuvieran razón o no al tomar las decisiones que tomaron. La misma decisión puede ser correcta para ellos pero incorrecta para otra empresa. Eso es lo que lo hace tan interesante desde una perspectiva pura de gestión de riesgos.

En particular, es interesante porque muchas organizaciones no se detienen a considerar su apetito por el riesgo, ya sea de manera integral o sistemática. Eso los deja luchando cuando es necesario tomar una decisión tan difícil. Por un lado, existen costos financieros directos y una larga cola de costos de oportunidad; por otro lado, puede haber posibles consecuencias de responsabilidad si uno o más empleados se infectan.

¿el punto? Tanto si se trata de una gran corporación multinacional con un proceso formal de gestión de riesgos como si se trata de una pequeña empresa de nueva creación a la que puede enfrentarse en cualquier momento, vale la pena realizar un análisis exhaustivo y experto en torno a su propio apetito por el riesgo.

Desarrollar hábitos de preparación para desastres

La segunda área de la que creo que podemos aprender es la idea de preparación continua. Esto puede ser evidente, pero si los documentos de preparación permanecen en el estante durante mucho tiempo, momentos como estos pueden servir como recordatorios y llamados a la acción.

Específicamente, podemos estar en la cúspide de una interrupción significativa del negocio como de costumbre. Dependiendo de a quién le pregunte, «puede» cae en un rango muy lejano o casi seguro, pero no hay duda de que la pandemia podría pasar dentro de un horizonte de planificación bastante corto.

La planificación previa y la preparación pueden significar una toma de decisiones tranquila y racional y una lucha de último momento, o peor aún, tratar de navegar frente a alguna crisis. Por lo tanto, en caso de un apagón masivo o una interrupción del negocio, ahora podría ser un buen momento para evaluar sus planes.

Esto es cierto ya sea que usted personalmente crea o no que podría hacerse realidad. Si resulta que has invertido algo de tiempo en pensar en un escenario que no sucederá, tu futuro será mejor.

Esto generalmente se aplica a los planes de continuidad comercial, especialmente a los planes pandémicos. Puede incluir consideraciones abstractas de continuidad: abordar preguntas como «¿Cómo realizarán los empleados sus funciones si no pueden llegar a su ubicación física?»

También puede abordar preguntas más específicas, como «¿Cuáles son las implicaciones de responsabilidad de exigir a los empleados que viajen a las instalaciones donde pueden enfermarse?»

De cualquier manera, al pensar en estas cosas con anticipación, estaremos preparados si nos encontramos en el peor de los casos.

Tenga en cuenta que no estoy sugiriendo que todas las empresas necesiten un plan pandémico. Tampoco estoy sugiriendo que deje todo y trate de tomar la práctica principal de BCP de inmediato. Cualquiera que lo haya hecho sabe que la práctica de sopa a nuez lleva meses, y tratar de hacerlo de manera sistemática y sin adrenalina antes de que el COVID-19 se asiente de una forma u otra puede ser imposible.

En cambio, mi mensaje más amplio es doble: 1) cualquier plan es un buen plan; 2) lo que está en los titulares es un buen recordatorio de por qué.

Las opiniones expresadas en este artículo son las del autor y no reflejan necesariamente las opiniones de ECT News Network.

LEER  Las plataformas de código bajo ayudan a aliviar el dolor de la adversidad de TI en la sombra

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba