6 Lecciones del COVID-19 Para seguridad de la información
¿Qué podemos aprender de todo esto?
La pandemia del COVID-19 nos ha afectado a todos en mayor o menor medida. Más allá de los efectos claramente negativos, podemos aprovechar esta situación como ejemplo o metáfora, para concientizar en nuestras organizaciones respecto a la importancia de la seguridad de la información. Entonces, ¿Qué podemos aprender de esta pandemia y de la gestión que han realizado los distintos gobiernos?
Lección 1: Los casos poco probables pero con gran impacto ocurren
Seguramente la mayoría de quienes trabajamos en seguridad hemos evaluado riesgos o escenarios de continuidad del negocio que tienen un impacto muy grande, pero una probabilidad muy baja de ocurrir (como una pandemia mundial, por ejemplo). En muchos casos también, puede que hayamos puesto el foco en las situaciones que evaluamos con una probabilidad de ocurrencia mayor o incluso podemos haber llegado a recibir comentarios del tipo “enfócate en lo más importante” o “eso no va a suceder”. Una de las primeras cosas que nos demuestra esta pandemia es que los escenarios graves, pero poco probables, de hecho ocurren y debemos estar bien preparados según nuestra correspondiente evaluación de riesgos. Esto nos lleva al siguiente punto.
Lección 2: La necesidad de una buena preparación
Algo que vimos una y otra vez en el transcurso de la pandemia es que, independientemente de las medidas que se hayan tomado, aquellos países que estaban mejor preparados, tuvieron una mejor gestión de la pandemia. Los que tenían los recursos y el personal sanitario adecuado, pudieron responder de una mejor forma que los que no. Para la gestión de la seguridad es igualmente importante estar preparados para lo que pueda llegar a ocurrir, esto inlcluye tener las herramientas adecuadas, las personas necesarias y capacitadas, así como también los procedimientos preestablecidos que nos permitan responder en forma correcta y a tiempo. Y hablando de responder…
Lección 3: Responder a tiempo y en forma adecuada
Podemos estar lo mejor preparados del mundo, pero si no actuamos a tiempo, tampoco será suficiente. Ejemplos de la pandemia sobran, de países que vieron como el virus llegaba a otros países, pero no lograron actuar realmente hasta que les tocó directamente. También es interesante ver como los países que habían transitado por situaciones similares hace poco tiempo tuvieron una respuesta mucho más rápida y efectiva. En el caso de la seguridad, es importante seguir los procedimientos de respuesta en tiempo y forma para asegurar una gestión adecuada de los incidentes de seguridad.
Lección 4: La importancia de la gestión de riesgos
Y ninguna discusión de seguridad puede estar completa sin hablar de gestión de riesgos. En el caso de la pandemia, mucho se habló del famoso “salud vs. economía”. Aunque no pretendo desde este artículo entrar en esa discusión, si podemos decir que las dos son importantes y en la práctica, se trata de evaluar los distintos impactos de cada escenario o medida a tomar, es decir, de hacer una evaluación de riesgos. Desde el punto de vista de la seguridad, todas las medidas que tomamos tienen uno (o varios) efectos directos sobre la seguridad de la organización, pero también otros efectos (positivos y negativos) sobre los procesos de trabajo, la eficiencia y el logro de los objetivos de la organización. Lo que podemos aprender de lo ocurrido es a no generar “luchas” del estilo “seguridad vs. negocio" (en donde además, tenemos siempre las de perder), sino de ver como la seguridad puede sumar valor al negocio y no simplemente ser un freno a las iniciativas que no son seguras.
Lección 5: Decisiones informadas con datos, son mejores decisiones
Por último, lo que hemos visto es como los datos, o la falta de datos en este caso, ha sido una constante, dado que se trata de un virus nuevo, del cual no se conoce lo suficiente y está aún en estudio. En este sentido, tenemos que apuntar a encontrar el punto justo entre las decisiones apresuradas (sin suficiente información o análisis) y la famosa “parálisis por análisis”, es decir, no tomar ninguna decisión, porque la información disponible nunca es suficiente. Lo que si podemos hacer es aprovechar las herramientas que tengamos a nuestra disposición y sacar la mayor cantidad de información posible, para poder tomar las mejores decisiones en cada momento.
Lección 6: Concientización o la importancia de las personas
Algo que se dijo mucho en el correr de la pandemia fue la importancia de la responsabilidad individual de tomar las medidas de precaución necesarias para disminuir los contagios. Pero nadie puede tomar las medidas personales de protección adecuadas si no sabe cuáles son. De la misma forma, la seguridad de una organización es, en cierta forma, responsabilidad de todos. Ya conocemos esa frase que dice que “la cadena se rompe en el eslabón más débil” y si nuestro eslabón más débil son los usuarios, es por allí por donde ocurrirán los incidentes. En este sentido debemos tener siempre en cuenta que, más allá de todos los sistemas de protección que podamos tener, es necesario capacitar y concientizar a los usuarios para que también colaboren en su día a día con la mejora de la seguridad organizacional.
Seguramente aún nos queda mucho más por aprender de esta pandemia sobre cómo podemos aprovechar este “incidente” internacional para seguir mejorando nuestra gestión de la seguridad. En tu opinión ¿Qué lección nos faltó?
