“Hay muchísimo apetito por saber lo que hacemos y por entendernos”. La frase es de Iván Sánchez, Global CISO de Bupa Sanitas, realizada durante una conversación en Conservas Guillén by Trend Micro, un programa de radio enlatada ideado y dirigido por Raúl Guillén, director de estrategia de ciberseguridad de Trend Micro.
El programa, que se estrenaba hace un par de semanas con Esther Mateo, directora general de Seguridad, Procesos y Sistemas Corporativos de Adif, sigue adelante con grandes invitados “para seguir subiendo el nivel de concienciación de la ciberseguridad”, comentaba Raúl Guillén antes de asegurar que es importante que la ciberseguridad y los riesgos asociados a la misma “estén representados en la toma de decisión de negocio y de la compañía”.
Se refiere Iván López a los responsables de seguridad como los guardianes de los datos, que son “el activo tecnológico de las empresas”, y asegura que, aunque la información o el dato no suelan aparecer aún en el reporte financiero, “aparecerán porque tienen un valor indudable”; “cuando compañías digitales compran otras por miles de millones, compran los datos que esa aplicación tiene. Y eso, antes o después, aparecerá en el balance de las compañías. Somos los guardianes de una parte importante del balance financiero y económico de las organizaciones, del futuro de las compañías”.
Se habla en este nuevo programa de conserva Guillén by Trend Micro del nuevo paradigma del mundo hiperconectado, de digitalización, incluso de smart cities, coche conectado o Industria 4.0 y que una ciberamenaza a nivel global “puede llegar a paralizar un país, una industria o un sector completamente por la dependencia de la tecnología”, comentaba Iván Sánchez.
Explica también el Global CISO de Bupa que con la junta directiva de la compañía no solo se habla de la estrategia de ciberseguridad, sino de la importancia de prepararse, de ejercitarse y de ciberresiliencia, “y esto es un paso más de madurez porque exige ponerse en ‘modo incidente’, en tomar decisiones que van a marcar el futuro de la compañía”.
En ese contexto de comité de crisis que menciona Iván Sánchez, la pregunta es “cuando algo nos pase, ¿sabemos qué tenemos que hacer?”. El siguiente paso, comenta el directivo de Bupa, es realizar ejercicios de simulación, que se comenzaron en 2016 en Sanitas y ya se hacen “a nivel de grupo con el board global de la compañía”. Ese ciber ejercicio “es el resultado de muchas cosas que han tenido que pasar antes”, como el tener que definir quién participa, cuál es el contexto del ejercicio o qué información necesitan antes.
Son ejercicios que, según el directivo de Bupa “deben generar tensión”, y en los que deben tomar decisiones en base a información parcial. En todo caso “saber manejar esto es absolutamente fundamental porque lo último que quieres es que todo eso ocurra en un accidente real”, asegura Iván Sánchez. Coincide Raúl Guillén en que el éxito o el fracaso en la respuesta a un incidente es el tiempo, por lo que entiende que parte del ejercicio sea “medir cómo vamos a responder y cuánto vamos a tardar en reaccionar frente a un incidente”.
Recuerda Iván Sánchez durante la conversación que el plan de continuidad es una guía, que no vas a poder seguirlo paso a paso “y que es tan importante saber qué decisiones tomar y cuándo tomarlas, como qué decisiones no tomar”.
¿Quién participa en estos juegos de simulación? “Nosotros tenemos tres niveles”, dice Iván Sánchez explicando que hay un nivel más operativo que suele estar representado por áreas de tecnología y comunicación externa; un segundo nivel Silver, un equipo en el que ya entran responsables de negocio que son capaces de entender el impacto que está habiendo en el día a día del negocio; y el nivel Gold, que es el Consejo de Dirección.
Preguntado por las lecciones aprendidas, responde Iván Sánchez, la primera es “no dar nada por supuesto”, a lo que suma: mensajes sencillos, ser transparentes o dejar traza de los mensajes y decisiones que se toman. Apunta como fundamental ser capaz de llegar a la gente cuando un teléfono de contacto está en un sistema al que no se puede acceder. ¿Lo hubieras tenido en cuenta?
