ISMS Forum evalúa las capacidades de las grandes empresas en la gestión de crisis cibernéticas

El Cyber Security Centre de la Asociación Española para el Fomento de Seguridad de la Información, ISMS Forum Spain, ha desarrollado un proyecto de gestión de crisis cibernéticas para fomentar las buenas prácticas en materia de ciberseguridad y gestión de crisis. Esta iniciativa se ha elaborado en colaboración con Agbar, Ecix Group, Forcepoint, Mapfre, Prosegur, Renfe, Symantec y con el apoyo institucional del Departamento de Seguridad Nacional (DSN), el Centro Criptológico Nacional (CNPIC) y el Instituto Nacional de Ciberseguridad (INCIBE).

Quizá te interese... El entorno de la pyme en 2017 Cómo ser flexible y apto para la transformación digital Cómo lograr el éxito en la gestión del rendimiento empresarial y la Inteligencia de negocio Impacto económico del desarrollo de aplicaciones de negocio con ServiceNow Rendimiento digital: la importancia para el retailer Informe e-Pyme 2016

En esta primera edición han participado Acciona, Abanca, Ferrovial, Bankinter, Renfe, Abertis Infraestructuras, Abertis Autopistas, Cortefiel, Banco Santander, Correos, Mediaset, Inversis, Cepsa, El Corte Inglés y Sanitas. Precisamente, la finalidad era evaluar su comportamiento en una situación de crisis en la que se haya producido un incidente grave de seguridad, así como la capacidad de las mismas para reestablecerse y resolver el incidente.

Entre los objetivos específicos que se han fijado en este proyecto destacan el análisis de procedimientos de gestión de crisis, la coordinación interdepartamental, la involucración de otras áreas o equipos técnicos de la empresa u organización, así como también la propuesta de buenas prácticas para mejorar la resiliencia en las situaciones de ataque a los activos de información.

El ejercicio ha consistido en la realización de un simulacro a través de un entorno virtual en el que se ha medido la capacidad de reacción de las organizaciones participantes ante una situación de crisis de componente cibernético sin conocimiento previo. La evaluación final ha dependido de las decisiones tomadas, el tiempo de respuesta y las vías de comunicación habilitadas para este fin, siempre teniendo al responsable de seguridad de la información como eje principal del proyecto. Asimismo, se ha estructurado en cinco grandes bloques en los que primero se ha recopilado la información necesaria para realizar el proyecto, después se han clasificado y revisado los datos previamente recopilados, más tarde se han evaluado los resultados de la empresa y, por último, se han publicado los resultados pertinentes y unas conclusiones.

Las empresas participantes en esta primera edición han cosechado unos resultados muy positivos, obteniendo una media de “muy bueno” en la evaluación general. Como conclusiones generales, ISMS Forum destaca que las organizaciones tienen cada vez una mayor conciencia en seguridad de la información, así como que han sabido tratar el incidente de seguridad planteado y poseen un comité de crisis. También se ha destacado que la respuesta ante incidentes cibernéticos es adecuada e inherente a la cultura de la empresa; y todas ellas mantienen un grado de colaboración con organismos relacionados con la seguridad informática como INCIBE y CCN, entre otros.