Los líderes de gestión de riesgos en Europa y en todo el mundo ya están experimentando los impactos de la guerra en Ucrania y las sanciones impuestas a los actores rusos y bielorrusos, o pronto lo harán. Si aún no lo ha hecho, estos son los pasos relacionados con la gestión de riesgos que debe tomar ahora mismo. Puede encontrar las acciones relacionadas con la seguridad cibernética que debe tomar en esta publicación de blog complementaria.
-
Cree planes para mantener la resiliencia de las unidades de negocio expuestas a la zona de conflicto. ¿Qué haría si su principal proveedor de servicios en la nube a hiperescala ya no pudiera brindar servicios a las unidades comerciales ubicadas en la zona de conflicto o cerca de ella, o si estuviera sujeto a sanciones o daños directos a sus operaciones comerciales allí? Las organizaciones con operaciones en Bielorrusia, Rusia o Ucrania pueden enfrentarse precisamente a este escenario. Los administradores de riesgos, los CISO y los líderes de TI deben revisar con urgencia sus dependencias de los proveedores de TI clave en la región y evaluar rápidamente su capacidad para cambiar de proveedor si surge la necesidad. Revise los planes de continuidad del negocio, los arreglos de la cadena de suministro y las alternativas locales o globales, y asegúrese de que los ejecutivos específicos estén capacitados para tomar esas decisiones rápidamente si es necesario.
-
Actualice a sus empleados sobre el riesgo elevado. Ayuda a tus empleados a ayudarte. Asegúrese de que toda la empresa sea consciente de los posibles ataques y de la forma que estos ataques pueden tomar. Sea fáctico y breve en sus mensajes para evitar incitar miedo innecesario. Muestre empatía en sus mensajes, especialmente si tiene empleados que pueden verse afectados personalmente por el evento. Asegúrese de que sus empleados estén preparados para posibles ataques de phishing. Este no es el momento de aumentar el estrés de sus empleados con simulaciones de phishing innecesarias, ya que cualquier campaña de phishing irreflexiva ahora erosionará su marca y su reputación.
-
Esté preparado para más interrupciones en la cadena de suministro. Justo cuando parecía que los problemas de la cadena de suministro global podrían estar disminuyendo, la guerra en Ucrania asestó otro golpe al sistema. Las empresas deben prepararse para la escasez, las interrupciones del suministro y las sanciones para desestabilizar las cadenas de suministro durante al menos 24 meses. Dado que Rusia suministra más de un tercio del gas natural de Europa y es el segundo mayor exportador de petróleo del mundo y que Alemania ya detuvo la aprobación del gasoducto Nord Stream 2, es probable que ya se esté preparando para precios más altos del combustible y posible escasez. Y dado que la UE ha cerrado su espacio aéreo a todos los vuelos rusos y FedEx y UPS han detenido (al momento de escribir este artículo) los envíos a Rusia y Ucrania, también debe esperar aumentos en el costo y la interrupción del transporte de mercancías y viajes. Además, la guerra en Ucrania también exacerbará la escasez de chips: el xenón y el gas neón son críticos para la fabricación de semiconductores, y Ucrania produce alrededor del 70 % del total mundial de ambos gases. La lista continúa: Rusia y Ucrania juntas representan el 25% de las exportaciones mundiales de trigo.
-
Comience a mapear su cadena de suministro de nivel uno y aguas abajo ahora. Ya sea que ocurra un evento físico o no, los ciberataques ya han comenzado contra los servicios gubernamentales y financieros de Ucrania. No se equivoque: incluso las empresas que no tienen (o no saben que tienen) proveedores críticos en la región quedarán atrapadas en el punto de mira de la guerra digital y, si se trata de eso, de la guerra física. Las empresas deben comenzar de inmediato a mapear el ecosistema de relaciones con operaciones, activos, datos o dependencias en la región (piense en combustible, metales, gases industriales, maíz y trigo). Más de 3.300 empresas estadounidenses y europeas tienen proveedores de primer nivel en Rusia, y más de 650 empresas estadounidenses y europeas tienen proveedores de primer nivel en Ucrania. Si aún no lo ha hecho, comience a mapear a sus proveedores de nivel uno, dos y tres para evaluar el impacto potencial en la cadena de suministro descendente. Prepárese para otra ola de ciberataques a sus proveedores y tenga listos sus planes de contingencia.
Esto es lo que debe hacer a continuación
Una vez que haya completado los pasos anteriores, esta es su próxima lista de verificación a seguir:
-
Esté atento a las sanciones que cambian rápidamente y que requerirán cambios en su ecosistema de terceros. Las evaluaciones de sanciones de rutina para decisiones de «continuar, no continuar» sobre si trabajar con un cliente, socio, vendedor o proveedor se volvieron más complicadas. Estados Unidos ya impuso una sanción a las nuevas inversiones, comercio y finanzas en las regiones de la República Popular de Donetsk y la República Popular de Luhansk en Ucrania. Al momento de escribir este artículo, Australia, la Unión Europea, Japón, Nueva Zelanda, Suiza, Taiwán, el Reino Unido y EE. UU. han impuesto sanciones contra el sistema financiero, el comercio y el acceso a semiconductores de Rusia, han cortado el acceso a nuevas cuentas sancionó a empresas e individuos, y expulsó a varios bancos rusos de SWIFT (apartándolos así del sistema financiero mundial). Supongamos que habrá más sanciones; Sea proactivo examinando a terceros, incluidos socios, afiliados extranjeros y clientes, en busca de vínculos con Rusia, los oligarcas rusos, los estados separatistas de Ucrania y Bielorrusia.
-
Eche un vistazo de cerca a los términos y condiciones de su póliza de seguro cibernético. Las pólizas de propiedad y responsabilidad generalmente tienen una exclusión de guerra. Las pólizas de seguro cibernético independientes también pueden tener un lenguaje relacionado con la cobertura cuando un ataque se considera ciberterrorismo. Desde al menos 2020, las aseguradoras cibernéticas se han negado a pagar reclamos relacionados con ataques atribuidos a actores patrocinados por el estado. En particular, Lloyd’s of London agregó un lenguaje amplio a sus políticas y las de sus sindicatos, excluyendo la cobertura de ataques cibernéticos considerados como resultado directo o indirecto de un acto de guerra o una operación cibernética. Lo que su póliza cubre explícitamente es importante. Cada vez más, los días de «cibernética silenciosa», donde una política no aborda específicamente la cibernética y guarda silencio sobre la exposición, han quedado atrás. Trabaje con su equipo legal o asesor externo para obtener claridad de su corredor de seguros cibernéticos o el contacto de administración de reclamos de su compañía.
-
Ensaye sus planes de recuperación ante desastres (DR) y alta disponibilidad (HA). Dadas las diversas topologías de red que está utilizando (porque es probable que tenga una combinación de infraestructura local, de nube pública e híbrida), es importante no solo tener un libro de estrategias de recuperación ante desastres, sino también comprender cómo implementará ese flujo de trabajo. Verifique con sus colegas de TI que realmente ha estado ejecutando los elementos clave de su plan de recuperación ante desastres (p. ej., copias de seguridad frecuentes, cortes de circuitos y redireccionamientos, etc.) y, de no ser así, comprenda lo que se necesitará para desempolvar el plan y hazlo realidad. Los planes HA pueden contribuir en gran medida a mitigar la pérdida de funcionalidad, pero solo si se mantienen y actualizan activamente. Si su implementación de alta disponibilidad es caliente/fría, entonces asegúrese de que el lado frío se haya cuidado y no resulte ser un estante inútil cuando lo necesite.
-
Haga que la inestabilidad geopolítica ocupe un lugar destacado en su agenda de gestión de riesgos empresariales. Con base en las externalidades y caracterizadas por la lentitud con que se construyen pero con la rapidez con que se materializan, las «fluctuaciones geopolíticas» ocuparon el puesto número dos en The Top Systemic Risks, 2021 de Forrester, pero descendieron al sexto lugar para el riesgo sistémico con el mayor impacto potencial para las empresas. en 2022. Necesita una nueva evaluación de riesgos geopolíticos y un análisis de impacto que incorpore la guerra en Ucrania y todos sus efectos posteriores.
Esta publicación fue escrita por la analista sénior Alla Valente y apareció originalmente aquí.