Sectores estratégicos de gobierno e industria bajo amenaza
Por. Mario Ureña y Maricarmen García de Ureña, instructores en BSI Group México (BSI).
Las características económicas de las organizaciones en México requieren de mecanismos de gestión de crisis, gestión de emergencias, continuidad del negocio y de acciones conducentes a la mejora de su capacidad de resiliencia con miras al cumplimiento de su misión y objetivos organizacionales, de ahí la necesidad del uso de estándares internacionales.
Aún cuando todas las organizaciones tienen el reto de gestionar riesgos para asegurar su sobrevivencia, resulta particularmente importante la protección de aquellas consideradas como parte de la infraestructura crítica de un país, debido a la dependencia que tienen con el resto de las organizaciones.
Recientemente se publicó el Reporte Horizon Scan de BCI, creado en asociación con la organización británica BSI, que identifica las amenazas a las organizaciones en todo el mundo. El documento anual permite conocer riesgos tangibles al considerar eventos que ya han ocurrido en fechas recientes, así como riesgos emergentes basados en tendencias y percepción de la industria.
Dichas amenazas pueden tener como consecuencia la interrupción de las operaciones de cualquier tipo de organización, ya sea pública o privada, e impedir o reducir la capacidad de entrega de los servicios provistos por las diferentes industrias, lo cual finalmente impacta en los aspectos financieros y económicos de un país o de la industria, dependiendo del tipo y extensión del riesgo materializado.
Sectores estratégicos como la generación y provisión de energía eléctrica (CFE), petróleo y sus derivados (PEMEX), aprovisionamiento de agua (CONAGUA), servicios de salud (ISSSTE, IMSS), Banco Central (BANXICO), empresas de telecomunicaciones, incluyendo telefonía doméstica y celular, servicios aeroportuarios, aduanas, recaudación fiscal, tesorería, entre otras, requieren un aseguramiento de sus procesos y su continuidad en el tiempo.
De esta manera, la interrupción de las operaciones organizacionales es una de las principales preocupaciones relacionadas con riesgos de alto impacto. Al respecto, BSI ha desarrollado estándares y procesos de certificación que permiten prevenir o reducir sus efectos, incrementando al mismo tiempo la capacidad de respuesta y resiliencia.
Particularmente, el estándar internacional ISO 22301 que establece los requerimientos para implementar y operar un Sistema de Gestión de Continuidad del Negocio, reporta una adopción del 54% del total de organizaciones que participaron para la realización del Reporte Horizon Scan.
Cabe destacar que los resultados del estudio confirman que la percepción de la industria respecto a la posibilidad de amenazas proyectadas para periodos de doce meses, fue acertada. Por ejemplo, en 2018, el riesgo de ciberataque se percibía como el más relevante para los siguientes doce meses: dicho escenario resultó efectivamente ser el número uno de acuerdo con los resultados del presente estudio 2019.
El reporte identifica amenazas como el ciberataque y violación de datos, volatilidad del tipo de cambio, interrupciones en servicios de Tecnología de Información y Telecomunicaciones. Considera, de manera especial, las amenazas de ciberseguridad que pueden ocurrir en cualquier lugar del mundo y hacen uso de mecanismos de ataque basados en nuevas tecnologías de inteligencia artificial que permiten diversificar y ampliar su alcance.
Para este caso, existen en el mercado soluciones como la implementación de estándares de seguridad para el tratamiento de los riesgos de ciberseguridad. BSI ha desarrollado en conjunto con la Organización Internacional para la Estandarización (ISO), el ISO 27001 –Sistema de Gestión de Seguridad de la Información–, e ISO 27032 para atender particularmente los riesgos de ciberseguridad.
El Reporte Horizon Scan puede ser utilizado por cualquier organización sin importar su tamaño, si tiene fines de lucro o no, la industria en la que participa, etc. y resulta relevante resaltar que BSI distribuye sin costo, sus resultados completos con la finalidad de que las organizaciones puedan considerar tanto los riesgos materializados como los riesgos emergentes y prepararse para reducir su exposición a los mismos, además de ser útil para el desarrollo de las estrategias de respuesta y recuperación en caso de que alguno de estos riesgos se pudiera materializar.