domingo, 17 de septiembre de 2017

Criptografía, respaldo y cultura (CRC)

"Observemos el modelo de atención y respuesta a los ataques persistentes avanzados o a los efectos de los daños colaterales. Nos llevamos siempre por los métodos clásicos y lo clásico es consistente, permanente, constante, se mantiene en el tiempo. Los ataques directos o no, son cambiantes, evolutivos, mutantes, inconsistentes, para nada constantes". Hotel Marriot Ciudad de Panamá, 03 de agosto de 2017
El 03 de agosto de 2017 tuve la oportunidad de dar una charla a un grupo de especialistas de seguridad de la información y administración de riesgo tecnológico, la cual tenía por objeto llamar la atención hacia tres acontecimientos que se acentuaran en los días por venir, en donde se exigirá de tres elementos que deben estar en perfecta armonía por parte de los especialistas a cargo de la seguridad de la información: disciplina, conocimiento y habilidad para atender los eventos que podrían materializarse en materia de riesgo tecnológico. 
Los tres acontecimientos en proceso y con tendencia a profundizarse en su presencia y exigencia son los siguientes: El primero, es el tsunami de información, referido a la inmensa cantidad de información no estructurada que debe administrarse actualmente y que, se estima, alcanzará los 44 zettabytes para el año 2020. Todo ello impulsado por las organizaciones que ya están tomando sus decisiones basadas en modelos de inteligencia de negocios, hoy conocidas como empresas data driven. El segundo, acontecimiento es el de la hiperconvergencia. Como producto de la virtualización bastante exitosa, de hace ya algún tiempo, se ha materializando la integración de todos los componentes de hardware, software, suicheo y administración en un solo bloque de infraestructura, la cuál convierte a esta súper estructura tecnológica en un inmenso tesoro de ataque para su administrador (root único); así como a la exposición de ataques de día cero, motivado a que la hiperconvergencia privilegia generalmente el uso de un solo tipo de proveedor; y por último el ransomware, el cuál, es inclemente a cualquier tipo de almacenamiento de datos, excepto el respaldo externo no conectado a dispositivo alguno; y el tercero, los eventos que antes eran considerado el CisneNegro. Hoy día, son tan frecuentes los eventos catastróficos relacionados con la explotación de vulnerabilidades, exfiltración de datos (saqueo de bases de datos con información de alto valor) y destrucción o divulgación de la información, que efectivamente conlleva a pensar que tales incidentes se repliquen en forma constante y cada vez con mayor intensidad de daño.
La combinación de estas tres tendencias exigirán más que lo actual, a los especialistas a cargo de la gestión de riesgo tecnológico y de seguridad de la información, quienes en los últimos años han visto que la batalla contra contra los ciberataques se ha venido perdiendo.  ¿Cuál es la razón? En realidad, sigue siendo la misma desde siempre: la cultura. Nuestra cultura de defensa asciende por las escaleras, mientras que los atacantes van por el elevador. El esquema de prevención y protección es artesanal, clásico, altamente convencional y excesivamente limitado en su presupuesto. 
Las organizaciones trabajan bajo reacciones que vienen derivadas de los desastres, por lo que generalmente pocas veces identifican correctamente las fuentes que originan tales desastres y persiguen tapar los errores o justificar los ataques señalando las fallas de los fabricantes, tal como ocurrió con los ataques de mayo y junio con los ransomware Wannacry y Petya.
Ciertamente, este escenario exige que se tenga disciplina, conocimiento y habilidad para enfrentar los incidentes que se avecinan. Nuestro argumento está basado en prácticas que existen desde que las organizaciones comenzaron a ser custodios de información que les pertenece a sus clientes y que tienen el deber de proteger del uso inadecuado de la misma; y aunque puedan parecer constantes y clásicas, su evolución y efectividad radica en su aplicación y administración.
En nuestra interacción con las personas a cargo de la seguridad de la información o áreas relacionadas, reiteramos que la clasificación de los activos de información nos señalará qué debemos proteger y qué tanto, pues las necesidades de control, variarán según el grado de exposición al que los activos están sometidos. Una estricta práctica de respaldo debe estar desplegada sobre aquellas estructuras de datos que se han identificado como críticos en la práctica de clasificación de activos de información. La aplicación de la regla 3-2-1 donde 3 copias de la organización deben llevarse a cabo en dos medios distintos (disco o cartucho) y una copia debe estar en un medio externo, salvo que lo que se debe hacer es que este medio externo nunca se encuentre conectado a nada y tener claro que el snapshot no es un respaldo, o al menos no es suficiente para soportar el ataque de ransomware. Si se toma en cuenta que la data se medirá en zettabytes y el 90% de ella es no estructurada, tendremos que tomar en cuenta que la tecnología para llevar a cabo estos respaldos deberá ser la apropiada, no sólo para resguardarla, sino para su recuperación apropiada y en tiempos pertinentes.
La siguiente acción que ha de aplicarse, es el cifrado de la información. Cómo deben suponer, los respaldos puede que no se salven de un ataque de ransomware, pero que tengan la capacidad de descifrar datos para que se divulguen, el cuál es el mayor temor de todo custodio de la información, es bastante remoto. Además que no sólo nos protege del secuestro de la información, sino también las infidelidades de empleados y exfiltración de los datos. Por tanto, una estricta disciplina en los respaldos con apropiado conocimiento de cifrado sobre los activos de información que lo requieran, permitirán contener los daños en mucho.
Con respecto a la cultura, generalmente dirigida a los usuarios, tradicionalmente dirigida a los clientes internos y externos, consideramos que debe ir dirigida con gran empeño a los especialistas y gerencia de las organizaciones, quienes tienen que empezar a cambiar su forma de ver la información, la tecnología y lo que se debe proteger. Se debe entender que no se debe justificar que los incidentes son vienen a ser culpa de la tecnología que incorporamos para lograr la automatización de nuestros procesos críticos, ni las brechas que las mismas llevan implícitas. Esto es ni más ni menos que el riesgo inherente de usar cualquier tipo de tecnología. La solución está en entender que debemos preparar acciones que tengan la capacidad de superar esas brechas y soportar el ataque constante, al cual estará sometida cualquier organización que maneje activos de información.
Resumiendo, no se deben subestimar los esfuerzos de invertir en procesos de cifrado, respaldo y cultura. Existen los medios y el conocimiento para desarrollar prácticas robustas que limiten los impactos adversos. El punto es que ya no hay tiempo para esperar a ver como van a ir las cosas, mientras la información de clientes y usuarios se expone indiscriminadamente. Por lo tanto, debe actuarse lo antes posible, para minimizar la exfiltración de la información, en forma masiva, como nunca antes había ocurrido.
Fuentes de referencia para conceptos:
http://quantum.com
http://bbva.com 
https://trendytec.cl
http://wikipedia.org

sábado, 13 de mayo de 2017

La Madre de todos los ciberataques

Mayo 12 de 2017
El viernes 12 de mayo de 2017 quedará registrado en los blogs, Wikipedia y cualquier elemento que permita registrar información; en especial, en las trazas de auditoría de muchas empresas del soberbio ataque, sin precedentes, causado por un código malicioso, que, por su característica de ataque y efecto, es catalogado como: "ransomware". El ataque, entre sin entrar en detalles, fue en "casi" 100 países y más de 45.000 empresas.
Este, ya muy popular ataque, excesivamente rentable para quienes lo diseñan y usan, puede hacer vivir a cualquier ser humano computista, la peor de sus pesadillas, en virtud que, de ser víctima de un ransonware, recibirá un mensaje que no podrá acceder a sus valiosos datos a menos que realice un pago como costo de rescate por su valiosa información, y, de no recibir este pago, los datos serán destruidos en un plazo, que los ciberdelicuentes hayan definido. Es importante aclarar que el pago del rescate se hace en criptomonedas, a través de billeteras electrónicas, donde la traza de este tipo de pagos y registros, en la actualidad se lleva a cabo con el más alto nivel de confidencialidad, es decir, entre dos personas. De allí la alta efectividad e incentivo que produce que este delito, sea el que mayor evolución haya tenido en los últimos años. Explicar más de esto es aburrido.
Razón para escribir esta entrada en el blog
Luego de más de un año sin escribir nada, realmente pienso que no vale la pena escribir y escribir, a menos que sirva para algo. Sin embargo, en este momento me motiva dejar registro en este blog que lo que pasó en este ciberataque, ha sido advertido desde los años en que yo me inicie en en el mundo de la seguridad de la información. Eso fue en 1994. Recuerdo bien que ese momento, porqué lo que yo vendía no eran "test de penetración" o "ataques" para determinar que tan bien se encontraba la seguridad de la red. Eso lo hacia otro consultor de excelentísimo nivel, con gran experiencia que trajo desde otra prestigiosa empresa, que proveía herramientas de clase mundial para hacer ese trabajo. Mi tarea, nada fácil, era visitar compañías, la mayoría instituciones financieras, para promover lo importante que era sensibilizar a las personas en la seguridad de la información.  El objetivo era desarrollar programas de sensibilización para que la gente tuviese mayor conciencia y menor propensión a caer en trampas cibernéticas, entiéndase en ese momento de los "virus" y de la ingeniería social. Es obvio que hace 23 años vender lo que pretendía vender era sumamente difícil. Recuerdo que nunca pude vender un taller en forma única, más si, vendí varios "risk assessment" y en ellos se incorporaba la parte de sensibilización. Adicionalmente yo no daba los talleres de sensibilización, no tenía la imagen de "duro" para mostrarles en la cara a aquellos incrédulos, que podían vivir el apocalipsis cibernético. Eso lo hacía otro consultor que traíamos del exterior, con cara de haber vivido todas las guerras. Por supuesto no hablaba español.
La P%$* Cultura
Han pasado un par de décadas desde que me prometí no abandonar esta profesión. Creo en ella. No todas las personas que me conocen en el ámbito profesional saben que he estado en este mundo desde entonces. Me relacionan más con riesgo operacional y riesgo tecnológico. La razón sigue siendo la misma. Nunca nos hemos caracterizado por ofrecer soluciones de seguridad en hardware o software. Siempre hemos querido movernos en el mundo de la sensibilización de la seguridad de la información, en la estrategia y los planes. El motivo fundamental a no cambiar fue demostrado ayer. Cuando se está leyendo en detalle las noticias del evento del 12 de mayo y se identifica que los miles de millones de dólares que se han gastado en protección de los activos de información se vino abajo simplemente porque un anexo de un correo electrónico, que contenía el código malicioso, fue activado por un "clic" de un usuario de cualquiera de esas, más de 45.000 empresas, produjo el mayor ciberataque jamás ocurrido en la historia del blah, blah, blah, solo se le puede venir a la mente a uno este pensamiento: la p%$* cultura.
La levedad de las conciencias
Leer los análisis de muchos artículos de la prensa en línea, refiriéndose al tema, no provoca más que profunda preocupación de la cantidad de argumentos sin base y sin razón, que escriben muchos "conocedores" del tema. A priori se podría pensar que hasta se sienten culpables por formar parte de los tantos miles de haber presionado ese clic para ver que venía en el anexo de su correo. Pero no se debe ser rudo con ellos. Realmente hacen un trabajo de sensibilización, aunque pudiese ser mejorado. De alguna manera trasmiten al mundo el caso, de cómo ocurrió, tal vez en forma muy ligera qué lo causó. Lo realmente dramático son los comentarios que le agregan algunos suscriptores, en los foros y artículos de periódicos en línea. Esto lleva a pensar que el Armagedón cibernético aún no se ha materializado. Por ejemplo, muchos culpan a la mayor plataforma ofimática que es usada en el 98% de todas las organizaciones en el mundo. Ciertamente, el código malicioso saca provecho de dichas vulnerabilidades, pero de allí culpar la plataforma provee señales altas de insensatez. Algunos otros mencionan prohibir legalmente el uso de las criptomonedas. No sé cual es peor, esta o la anterior; y por último, alguien se atreve a decir que hay que desconectarse. muy irónico este, sobre todo que tiene cuenta en Facebook, Twitter y se evidencia que opina a diario en dichos foros. Y así otros cientos de "expertos" opinando acerca de qué hacer y qué no. Realmente lleva a concluir que han pasado dos décadas en las que se ha vendido mucho hardware y software, pero nada de cultura. No estamos siquiera en la línea base en lo que a sensibilización se refiere, estamos por debajo. Para el ransomware no hay una herramienta que funciones por si sola. Debe funcionar en tándem con otras cosas, posiblemente con más herramientas. Diría un proveedor, no muy lejos de la realidad. Pero lo cierto, es que el ingrediente más importante de todas estas soluciones es la cultura. Puede que exista un triángulo virtuoso (deformando el circulo) en el que la cultura, la criptografía y los respaldos de la información puedan ser una posible solución combinada para la recuperación del desastre, pero de nuevo, se requiere no ser tan ligero de conciencia en la importancia que reviste el tema.
Para finalizar una breve anécdota
Hace unas cuantas semanas, me encontraba de viaje y me conseguí con un gran amigo que está cargo de una empresa que brinda outsourcing de servicios de seguridad (mssp); y me pregunta en cuanto le vendería un firewall de última generación (él sabe que no vendo eso). Le contesté que se lo vendería en 72.000US$. Reflexionó y me pregunta a continuación. En cuánto le vendería un programa de sensibilización a sus clientes y le contesté que se lo vendería en 72.000US$. Me contestó: ¿Qué?, ¿Porqué?, ¿No piensas que es mucho dinero? Mi argumento fue que el firewall sin duda lo protegería, pero más lo protegería un programa de entrenamiento ante eventos que le ayudarían a minimizar los impactos, mejorar la seguridad y estar prestos a una rápida recuperación. Eso no lo hace un firewall. Por supuesto no me compró nada, pero reconozco que tampoco he sido un buen vendedor.

viernes, 29 de enero de 2016

La Crisis, los Valores y los Riesgos..,

Hace unos momentos a una representante de una escuela considerada por mi como excelente por sus profesores, alumnos, padres y en si mismo, en su conjunto; sufrió un incidente en donde un representante se apropio de su teléfono inteligente sin ningún tipo de temor o vergüenza de que pudiera ser atrapado en tan "extraño" acto, el cual en cualquier otro contexto puede considerarse un robo vulgar de un dispositivo de los cuales, se roban cientos a diario; y en ocasiones hasta con desenlaces fatales.

Sin embargo, el asunto no es el simple robo, sino en dónde ocurrió y quién cometió tal acto. Todo ello porque la acción pudiese traer consecuencias inconmensurables. El riesgo al que se expuso este  señor, por un aparato que aun que de cierto valor, no revela las costosas consecuencias que pudiesen traerle a él y a su representado en dicho comunidad educativa. No imagino el bullyng que pudieran emprender con este muchacho sus compañeros al saber que su papá cometió este delito; si no es que amenacen con suspenderlo por culpa de una estupidez cometida por su padre. Y resalto la estupidez, porque fue perfectamente grabado con las cámaras de seguridad del lugar.

Qué me motiva a escribir acerca de esto?

Hace aproximadamente dos años que no escribo nada relativo a riesgos y a su gestión que no sean estudios o análisis para organizaciones o instituciones de formación que me requieren con relativa frecuencia, algunos con fines de lucro otros por colaboración para el desarrollo de esta práctica. Creí yo en su momento, que el motivo de dejar de escribir fue que poco o nada de esto interesa en modo teórico. Muchos quieren resolver la gestión de riesgos en modo práctico y generalmente se decantan por esta vía. Los resultados son mixtos, logran algunos objetivos, relativamente exitosos, pero con costos muy elevados. Otros, simplemente implementan las prácticas de riesgo y sólo buscan lograr el cumplimiento. Esto último, si la organización está sujeta a regulaciones relativas a la gestión de riesgos.

Por tanto motivado a lo anterior no debo negar que me fue abordando un hastió que me llevó a abandonar los escritos y si alguna vez tuve intención de hacer un libro o ensayo acerca del tema, creo que esto fue aletargando y luego extinguiendo cualquier interés al respecto.

Pero sucedió el evento con que abrí este escrito. Me asombró de sobremanera tal situación. Como dije antes, por donde ocurrió y quien cometió este acto. Inmediatamente lo relacioné a la ética, a los valores, a los riesgos, la crisis y quién sabe que más elementos que la frustración; y porqué no, el malestar de que ocurran estas cosas en lugares que yo considero sagrados. Lo increíble de este evento es que hizo que me trasladará hasta el 12 de noviembre de 2011 donde ocurrió un evento en esa misma escuela. En ese momento y fui el protagonista. Allí ocurrió una situación que produjo que escribiera un escrito denominado La consecuencia de hacer las cosas por hacerlas; en ese instante vi comprometido los valores, la ética y las consecuencias de hacer las cosas sin interés o pasión. Aunque las situaciones son bastante distintas, la de aquel entonces y esta de hoy; tienen en común la respuesta perfecta del porque deje de escribir.

Realmente deje de escribir porque la gente desea asumir riesgos, no administrarlos. La gente desea  exponerse a cualquier riesgo. Arriesgar los valores, su prestigio, su honorabilidad para obtener  bienes materiales. A la gente le importa nada las consecuencias que le pueda traer a ellos; pero sobre todo son extremadamente egoístas; pues no le importa las consecuencias que puedan traerle a los suyos; como por ejemplo, someter al hijo a cuestionarlo y hasta ofenderlo por los actos poco decentes cometidos por su padre en el colegio.

En realidad, en este momento donde me encuentro y el contexto que me rodea hace que no me sienta motivado a ser un evangelizador en gestión de riesgos que haga que la gente que haga las cosas bien, porque la verdad es que creo firmemente que no les importa correr riesgos innecesarios, el modelo está afectado y el entorno no está castigando por muy mal que se porten. En pocas palabras no hay pena, no hay ley; la gente correrá el riesgo, hasta que los atrapen.

miércoles, 30 de abril de 2014

El riesgo operacional y el enfoque fractal

Hoy día para la práctica de riesgo operacional existen herramientas, métodos, especialistas, coaches, súper gúrus y demás recursos que hace un poco más de 10 años no se encontraban con tal disposición. Hoy más que nunca se encuentra exigido y regulado por múltiples organismos gubernamentales que instruyen a que se revise y emprendan acciones para administrar o mediar con el riesgo operacional. Para evidenciar esto, pueden hacer una búsqueda en Google de la palabra "riesgo operacional" y en 0.34 segundos arrojará 3.900.000 resultados relacionados al tema. Esto, hace 10 años era imposible de lograr. Sin embargo, a pesar de haber toda una biblioteca mundial de información y de expertos, día tras día nos enteramos de la ocurrencia de eventos relacionados con los factores de riesgo operacional, teniendo como característica principal una mayor frecuencia y un mayor impacto.

Claro está, los riesgos han aumentado porque el mundo ha crecido en su población, se ha tecnificado aun más y sin duda la gente hoy día está altamente interconectada. El hecho que hayan cifras que indiquen que existen más teléfonos móviles que personas en el mundo ya es bastante, no importando si estos no son teléfonos inteligentes. El asunto es que al menos tienen la capacidad de enviar mensajes de texto. La gente puede guardar mucha información en un teléfono básico, con nombres, números de contacto, correos y datos adicionales que maravillarían a un hacker de los años 90. Aun más, estos dispositivos llevan fotos, algunas que revelan situaciones, condiciones y preferencias. Para un ingeniero social de los 90 llegar a este nivel de acceso a tal privacidad en minutos era para ser considerado un genio. Ni siquiera hablaremos de las redes sociales, ese debe ser un artículo aparte.

Regresando al tema principal, sucede por lo general trabajamos en empresas que en esencia no han cambiado su naturaleza y objetivos. Por supuesto que estas empresas han modernizado su infraestructura tecnológica, elevando así los volúmenes de operación, su relación global con sus clientes y proveedores, la inmediatez de la atención y por en consecuencia han mejorado sustancialmente los resultados financieros. Sin duda alguna, el factor de riesgo tecnológico igual se ha elevado exponencialmente y todos los demás factores que la misma tecnología arrastra, incluyendo el desconocimiento. Mencionamos el desconocimiento, porque creemos que es el mayor de todos los males a la hora de decidir administrar el riesgo operacional. Es amplio y denso, así que en forma reiterada se dice que es imposible manejar los volúmenes de información y de igual manera, el conocimiento que nos bombardea diariamente desde el entorno; queremos decir, el entorno interconectado

Sin tener que ver nada con el riesgo operacional, en 1983 la revista Time editaba una portada con el tema de la ansiedad de la modernidad, haciendo referencia a la sobrecarga de información que personal ejecutivo recibía diariamente, hoy día es una experiencia cotidiana que una persona está minuto a minuto recibiendo actualizaciones de múltiples servicios a través de su teléfono, no importando en que actividad o lugar se encuentre, lo cual en muchas ocasiones le genera intensa ansiedad por no estar en conocimiento de todo lo que sucede alrededor. Algo similar ocurre con la gestión de riesgo operacional y los especialistas a cargo de administrarlo; ellos se han preparado para mirar los factores de riesgo que se relacionan con sus cuatro componentes: procesos, tecnología, personas y entornoEste enfoque, en el cual se pueden tipificar cientos de posibles riesgos hace que se complique mucho el tener una visión general de lo que pudiese estar amenazando a la organización, por ende pierden la visión fractal del asunto, en el que se determina que cada elemento en la vida es diferente en detalle, pero similar en su conjunto.

Es importante comprender que los eventos de riesgo operacional no son una serie patrones que se repiten constantemente, sino que están caracterizados por una aleatoriedad particular dentro de un conjunto que tiende a ser similar, pero que en sus detalles son absolutamente distintos. En este caso, los componentes son los mismos siempre y puede que se le identifiquen los mismos factores de riesgo de empresa a empresa, sin embargo, el entorno puede hacer que los riesgos tengan origen y magnitudes distintas. Por ejemplo, un evento puede originarse por múltiples factores, inclusive combinando dichos factores tal como las personas y la tecnología o los procesos, personas y entorno; siendo el resultado siempre muy similar.

Consideramos que es apropiado visualizar los riesgos operacionales desde un enfoque fractal porque sus características permiten identificarlos en modelos de entornos complejos en el que se desenvuelven entre un orden y el caos, en el cual existe gran sensibilidad a los cambios iniciales, que a la larga pueden causar enormes consecuencias y transformarse en sistemas caóticos.

De un tiempo acá hemos estado utilizando modelos formales para la cuantificación de riesgo operacional y han resultado exitosos. Sin embargo, para el análisis cualitativo; solo se han utilizado matrices y mapas de calor que poco indican del futuro comportamiento de los eventos de riesgo. Consideramos que la gestión de riesgo operacional debe integrar modelos que permita en su fase de prevención identificar un comportamientos donde el entorno es altamente sensible a las condiciones iniciales, en las que un simple cambio puede generar un resultado bastante diferente al esperado. En donde se encuentran sistemas deterministas, donde se puede identificar una ecuación que lo gobierne y por último, aunque parecen el sistema en apariencia puede ser desordenado, tiene cierto orden y se encuentra implícito un patrón. Estas características describen un sistema complejo en el cual se maneja mucha información, información que hoy día nos abruma. Y aunque Henri Poncairé en 1890 abrió las puertas a la ciencia del caos, creemos que esta aun no ha sido utilizado apropiadamente para la práctica de riesgo operacional; el que resolvería el tema de la sobrecarga de información y quien sabe si le da un vuelco severo a la práctica misma.

Fuente: Hayles Katherine. La evolución del Caos - Gedisa España 1993

domingo, 30 de marzo de 2014

Debe considerarse la estrategia del negocio cuando se desarrolla el BIA?

El proceso de análisis de impacto al negocio (BIA) lo que busca, en términos simples, es determinar aquello que necesita ser recuperado y los tiempos en que tardará en recuperarse la actividad, considerada crítica, del negocio. Por tanto es como tomar una fotografía instantánea de los procesos y realizar el respectivo análisis de impacto; una vez obtenido el análisis de impacto se dispone de la base primordial para la construcción de los planes de recuperación. Sin embargo es importante saber si, durante el análisis de impacto al negocio, se debe o no considerar aspectos tan importantes como la estrategia del negocio.

Veamos una situación hipotética acerca de una organización: 

Una institución financiera tiene estipulado en su estrategia aumentar durante tres años un 25% sus clientes de tarjeta de crédito. En ese mismo periodo, incrementar el uso de la banca en línea en 15% y aumentar su presencia con oficinas de atención al público en 5 de un total de 70. Este plan ya tiene un año desde su declaración en la estrategia y va ejecutándose a tiempo. Usted está desarrollando el BIA en este momento. ¿Debería considerar esa información? 

Nosotros lo haríamos; aunque es muy probable que se encuentren con muchos especialistas que dirán que no es necesario; ya que se basan en el principio de la criticidad de los procesos enfocado en el tiempo de inactividad. Tienen razón y para ejemplificarlo mejor tomaremos prestado el la expresión de un gran amigo a cargo de una unidad de emergencias: "lo primero que se atiende en una situación crítica de vida o muerte es "cerebro, corazón y pulmón".

Pero revisemos este aspecto: ¿para qué se busca determinar ese "tiempo de inactividad"? En la práctica es obtener el impacto de no atender al público, identificar las pérdidas financieras así como los ingresos dejados de percibir, multas por incumplimiento, entre otras consecuencias. Estos impactos están relacionados a procesos del negocio y son priorizados para elaborar la respectiva contramedida, que termina convirtiéndose en los planes de recuperación. Estos planes no son más que procedimientos específicos para mantener la operación básica de la organización, enfocándose en su criticidad de impacto y  a su vez, esta actividad se hace basado en que todos los procesos de la organización han de ser evaluados y clasificados en virtud de su prioridad de recuperación y dependencia, incluyendo los tecnológicos.

Acá está el argumento de porque nosotros tomaríamos en cuenta la estrategia y podría pensarse que estamos desviándonos de los estándares; sin embargo, el argumento es la "dependencia". Si estamos desarrollando un BIA en este instante, para desarrollar un plan de recuperación o actualizarlo, el mismo será adecuado en función de los tiempos de inactividad sobre los procesos críticos, que sean determinados. Ahora supongamos que desde el día de hoy no ocurre un evento de interrupción, sino hasta dentro de 18 meses. La estrategia de la organización se ha venido materializando y el plan no ha sido actualizado¿El plan de recuperación pudiera estar en condiciones de mitigar el impacto habiendo obviado la estrategia? Es posible que funcione, con algunas dificultades y perdiendo mucha efectividad inicial. ¿Por qué ocurre esto? 

A veces el crecimiento de la organización en función de sus negocios pudiera no cambiar en lo absoluto el proceso y pareciera que esto es suficiente para mantener el plan de recuperación tal como está; sin embargo, en nuestro modelo hipotético han cambiado los volúmenes de operación, la cantidad de gente en las unidades, valores de las transacciones consolidados, puntos de atención entre otros elementos. Es muy posible que la infraestructura tecnológica haya tenido que ampliarse para soportar el plan estratégico y así como otros proceso de soporte tecnológico que pudieran haberse tercerizado.

Por tanto, en nuestro método se observa la estrategia, se utilizan los números para proyectar la dimensión para cuando el plan de negocios esté materializado. Sin duda es más trabajo, pues se deben hacer escenarios en los que se considere que la estrategia del negocio se materializó o no. Pero no deja de ser un escenario adicional a los considerados por las mejores prácticas. 

Muchos especialistas podrán argumentar que este paso no es necesario si el plan tiene un proceso de mantenimiento frecuente, se realizan pruebas y se aplican todas las recomendaciones de que han de aplicarse para mantener al día los planes de contingencias. Sin embargo, hacemos esto porque la realidad es que, basados en la experiencia, los planes pierden vigencia muy rápido y la necesidad del negocio prevalece sobre el cumplimiento.

Nota final: Llegado el punto en que la madurez del proceso de administración de la continuidad dentro de la organización, alcanza un nivel gerenciable, entonces el mismo marco de mantenimiento deberá capturar estos cambios en forma gradual y considerarlos para los ajustes necesarios. Igualmente, mantener su plan de desarrollo con la responsabilidad de Junta Directiva, quien debe evidenciar que la continuidad del negocio y de las operaciones soporte la continuidad y sobrevivencia de los objetivos estratégicos de la Organización aprobando los cambios de alcance que amerite su aplicación dentro de la organización.


miércoles, 26 de febrero de 2014

El manejo de crisis en la gestión de riesgos

Crisis:

"Es una circunstancia, hecho o serie de episiodios, que amenazan con afectar o alterar la forma en que nosotros, los individuos elegimos vivir, o la manera que las organizaciones eligiran funcionar."
Nudell Mayer

Desde hace un par de semanas, se vienen desarrollando eventos en nuestro país que pueden ser catalogados como desordenes públicos que afectan el desempeño normal de las actividades de las personas y las organizaciones.

Ante ello, nos hemos visto en la necesidad de soportar nuestro centro de operaciones con oficinas alternas o valernos del teletrabajo, debido a circunstancias que nos han limitado la movilidad o en algunos casos, ponen en peligro la integridad física de los consultores; todo esto con el objetivo de poder satisfacer las necesidades de nuestros asesorados. Alternativamente, ha sido muy frecuente en estos días que los clientes suspendan actividades debido a que  estos se encuentran monitorizando la situación a efectos de poder atender cualquier incidente que se presente y conlleve a decretar una emergencia. 

Este modo de actuar pareciera ser el correcto, pero lo cierto es que no se está desarrollando adecuadamente la secuencia que se supone ha sido construida con un gran esfuerzo para conformar la práctica de la gerencia de la continuidad del negocio. Para ello se supone se debieron haber desarrollado escenarios de contingencia en el que se presentara la alteración del orden público y en consecuencia, se debió haber desarrollado guiones en los cuales se han incorporado los pasos adecuados a ejecutar por cada rol claramente identificado en cada unidad de negocios.

En términos técnicos se debieron haber cubierto al menos cinco etapas, siendo estas la pre-crisis, la advertencia, la crisis, la transición y la post-crisis. Como se puede inferir, este proceso se ha realizado previamente y las etapas sólo indican que procedimientos e instrumentos deben ser aplicados en cada una de ellas; siendo esto un ejercicio desarrollado en un escenario supuesto, con procedimientos claramente definidos para roles existentes, tal como se define el equipo de manejo de crisis.

¿Qué rol supone, debe cumplir un equipo de crisis?

Basado en una respuesta académica sería: "Mantener informada al alto nivel ejecutivo de la organización permanentemente, sobre los hechos y acontecimientos para brindarles la información suficiente y permitir una oportuna toma de decisiones."

En la práctica es mantener los ojos puestos en la situación que se está desarrollando e informar a cada responsable. Este responsable a priori debe saber lo que debe hacer. Con lo cual se establece que sus procedimientos han sido desarrollados previamente y no durante la crisis.

¿Qué realmente se busca al tener un grupo ejecutivo como el equipo de gestión de crisis?

Que en un entorno que arroje señales de hostilidad que pudiese afectar el apropiado desarrollo de las operaciones de la organización sean monitorizadas por un equipo acotado y no toda la organización. Cuando este monitorizando una crisis no se debe, bajo ninguna circunstancia, tener a todo el personal abocado al manejo de la crisis. Para ello, se habrán formulado planes de contingencia tecnológica y de negocios; y se tendrá claramente identificado quien participara durante la crisis. 

Debe tenerse en cuenta que puede estarse en la etapa de la "advertencia"; en la cual se puede estar exponiéndose a un riesgo, pero no quiere decir que se va a materializar y durante esta etapa, las operaciones deben mantenerse sin mayores alteraciones; y en caso de materializarse la amenaza, no se debe improvisar, pues se supone que el escenario había sido previsto y en función de ello se desarrollaron las estrategias de recuperación. 

viernes, 31 de enero de 2014

Porqué el BIA es un simple ejercicio teórico?

Siempre he tenido la duda, cuando estamos revisando el resultado del análisis de impacto al negocio con un cliente, si tiene claro que lo que estamos haciendo es un ejercicio teórico. A veces las expectativas sobre el producto son tan altas, que suponen que lo que se está estimando en los impactos financieros son cifras con una precisión sobre posibles pérdidas, que de llegar a ocurrir un incidente de interrupción operativa, se estaría acertando dicho cálculo con más de un 95% de probabilidad de ocurrencia. 
Metodológicamente esto pudiera ser cierto si existiese un registro apropiado de eventos o incidentes tal, que permita no sólo saber en que momento y donde ocurrió el evento, sino cuanto afectó financieramente. A veces pienso que sobre utilizamos los productos para obtener más de lo que puede ofrecer, pues si se puede notar, en lo hasta ahora escrito, nos estamos refiriendo a algo similar al cálculo del valor en riesgo operacional.
No tengo la menor duda que si el proceso de administración de riesgos, así como la gestión de la continuidad, obligara a llevar un registro de todos los impactos financieros relacionados con la interrupción operativa, sería posible precisar un número. Sin embargo cuando nos acercamos al umbral de los factores cualitativos, aquellos que pudiesen impactar la organización, una vez materializado el evento de interrupción, tendríamos que considerar los que no pueden ser simples de calcular y que conllevan a estimar la afectación de imagen o aquellos ingresos dejados de percibir.
Es por ello que el BIA no debe ser sobre utilizado y en ocasiones debemos ser pragmáticos; y darle el uso adecuado a cada uno de los instrumentos según su utilidad. Comparto el criterio que debemos utilizar al máximo los recursos que disponemos, pero sobre utilizar o dar uso de una herramienta para obtener diversos productos no propios para los cuales fue concebida, nos arrojará resultados incorrectos. De igual manera, dar interpretación de resultados dentro de otro contexto será peor aun, pues puede crear expectativas en áreas que no tienen absolutamente nada que ver con la función de administrar la continuidad del negocio.
En todo caso, cada vez que tengo la ocasión de participar en la evaluación de los resultados del BIA, antes de empezar a ver los números les digo lo siguiente:
El propósito del desarrollo de un BIA, es conocer teóricamente el impacto que un evento inesperado puede causar en el negocio. El BIA, no sólo contempla elementos financieros acostumbrados a verse en los estados financieros, también se enfoca en factores como lucro cesante, ingresos dejados de percibir o afectación de imagen. Basado en esto, nos interesa que se tenga claro que el BIA es un ejercicio que sienta las bases para construir el plan de contingencia más adecuado para la organización, pero siempre es muy importante mencionar que  al momento de enfrentar un evento que pueda afectar las operaciones de la organización; la correcta ejecución de las estrategias de recuperación, fundamentadas en el BIA, dependerán de la adecuada prevención y organización de su ejecución, más que la precisión del cálculo de las pérdidas. 
La respuesta de porqué el BIA es un ejercicio teórico, es que estamos simulando lo que  nos impactará un evento de interrupción operativa; sin embargo, es posible que a partir de allí, las acciones de remediación y contramedidas que se tomen nunca permitirían que se llegue a sufrir tales pérdidas, o por el contrario, de no hacer nada puede que las pérdidas puedan ser inmensamente superiores a la estimación. Todo dependerá de las acciones que a partir del uso adecuado del análisis de impacto al negocio se evalúen las acciones que habrá de tomarse de acuerdo a su análisis del varo del control, el cual es otro instrumento que debemos utilizar adecuadamente.