Es una plan conciso y real de cómo tus gerentes deben actuar ante un (bastante) probable escenario de daño de reputación, financiero, comercial, y similares.
En tu posición como jefe de seguridad o CISO, su construcción no se basa en cuánto de seguridad informática, o incluso de seguridad de la información sepas, tampoco de cuánta tecnología domines, más bien se basa en cuanto de las consecuencias reales de un mal manejo de crisis eres capaz de ver en tu rubro de negocio.
Recientemente, realizamos una entrevista a un GERENTE GENERAL, a manera de simulacro, de cómo manejar ciertos escenarios de crisis, y fue sorprendente ver su acertada y natural alineación con dos de los objetivos básicos de un plan de gestión de crisis, como el que habíamos preparado, sin que él lo haya leído previamente. De hecho, a este cliente tuvimos que quitarle algunos parches de manejo de crisis, que ciertas gerencias requieren por su apego a antiguas prácticas de respuesta legal (para este tema de crisis).
Aunque regulatoriamente, algunas instituciones están obligadas a poseer su respectivo plan de gestión de crisis, en PAPEL, más importante que ello, es que los GERENTES sean conscientes de los escenarios de crisis que se pueden presentar en su gestión, a manera de concientización (crisis awareness), y con ello desarrollar -aunque parcialmente- su automática y futura respuesta a este tipo de problemas corporativos.
En resumen, tenga su plan, pero haga que este no sea iluso, debe ser tan bien calzado como un saco de sastrería. Si quiere uno de estos sacos, ya nos conoce, somos:
Javier Romero
GIAC Legal Issues
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría
Nota: Los planes de gestión de crisis (algunas veces llamados -de incidentes) son parte importante de una gestión de continuidad de negocios, como la solicitada en la circular G-139 de la Superintendencia de Banca, Seguros y AFP (en el caso del Perú), o lo más parecido al estándar BS 25999 (Business Continuity Management).
