página
CISO.Novedades: SPOTIFY
página
Regulación en Ciberseguridad, necesidad transversal ¿Son las fake polls fake news? Respuesta a incidentes de ciberseguridad (¿qué?, ¿por qué?, ¿cómo?) Como afectan las brechas de seguridad la continuidad del negocio
03 04 página
08 página
12
página
N°10 - ABRIL 2021
15
CONTINUIDAD en tiempos de CRISIS
página
03 EDITORIAL página
CISO.Novedades: SPOTIFY
página
Regulación en Ciberseguridad, necesidad transversal Compromiso de la Alta Dirección como parte de las estrategias de concientización de Seguridad de la Información en épocas de Pandemia. ¿Son las fake polls fake news? El rol de la continuidad del negocio y la ciberseguridad en tiempos de COVID Respuesta a incidentes de ciberseguridad (¿qué?, ¿por qué?, ¿cómo?) Como afectan las brechas de seguridad la continuidad del negocio
03 04 página
06 página
08 página
10
página
12
página
15
EDITORIAL Ernesto Landa
FUNDADOR DE CISOBEAT
NOVEDADES Una de las novedades que lanzamos este mes en la comunidad de CISObeat es la publicación en Spo fy de nuestros podcasts Cybercast y CIBERINDUSTRIA. El primero, CYBERCAST, es un podcast quincenal conducido por Alfredo Alva y Gianncarlo Gómez donde analizan las no cias más recientes sobre seguridad de la información, ciberseguridad y protección de datos. Por otro lado, CiberIndustria es conducido por este servidor y está dedicado a la ciberseguridad industrial, protección de infraestructuras crí cas y tecnologías de la operación. Estos podcasts son transmi dos en vivo y en directo a través de video streaming en nuestras redes sociales y posteriormente las editamos en formato audio. Con estas inicia vas buscamos generar contenido de vanguardia, con un a n á l i s i s s e r i o y o b j e vo buscando contribuir con el nivel de madurez de estas materias en nuestro País.
VISÍTANOS Es una publicación de CISObeat, organización que integra a más de mil profesionales de la seguridad de la información, de los sectores público y privado.
Director: Ernesto Landa Romero. Diseño gráfico: Marco Antonio Zeballos. Coordinadores: Alfredo Alva, Rafael Bocanegra, Gianncarlo Gómez, Heber Maza. Colaboradores: Shirley Villacorta, Elaine Ford, Milagros Cas llo, Juan Dávila, Erick Iriarte, Colaboradores: Jorge Sandoval.
pg.04 - ABRIL 2021
Regulación en Ciberseguridad, necesidad transversal.
Juan Dávila
MBA, CISA, CISM, CRISC, ISO 27001 LI&LA, ISO 27032 LCM, ISO 22301 LA, ISO 37001 LA, COBIT 5 F&I&A
E
n lo que va del 2021, hemos sido tes gos de escaladas de ciberataques que van desde explotaciones de vulnerabilidades ampliamente conocidas y relacionadas con la familia SolarWinds, hasta ciberataques de día cero relacionadas con Microso Exchange y el so ware Accellion para compar r y transferir datos de forma segura, aunque suene irónico. La lista de organizaciones afectadas incluye a
empresas como Shell (Energía), Bombardier (Aviación), Flagstar Bank, Jones Day Law Firm (Legal), Stanford University, Kroger (Aliment a c i ó n ) , Q u a l y s ( Te c n o l o g í a ) , S i n gt e l (Telecomunicaciones), Trinity Health y por lo menos otras 7 ins tuciones de salud, entre otros, confirmando que los obje vos de los c i b e rd e l i n c u e nte s n o e n e n s e c to re s específicos.
pg.05 - ABRIL 2021 A fines de febrero de 2021, la Superintendencia de Banca y Seguros (SBS) publicó el Reglamento para la Ges ón de la Seguridad de la Información y la Ciberseguridad, señal inequívoca de la preocupación en el sector financiero sobre la creciente relevancia e inminencia del panorama global de ciberamenazas. Par endo de la casi certeza de que el ciberataque es cues ón de empo, el mensaje del Reglamento es claro: Tenemos que construir y fortalecer capacidades de ges ón de los ciberriesgos en cualquiera de sus instancias, incluyendo la recuperación en el caso de una interrupción de las operaciones. Dado este escenario, no se en ende que todavía haya sectores de desarrollo nacional que no cuenten con marcos regulatorios que establezcan lineamientos mínimos de ges ón en ciberseguridad, más aún si se considera el hecho de que la mayoría de las organizaciones enen programas de transformación digital en marcha. Conscientes del riesgo al que se enfrentan y que la ciberseguridad puede llegar
a ser un habilitador estratégico del negocio, algunas organizaciones han tenido avances notables en este aspecto, sin esperar algún marco norma vo que los obligue; sin embargo, este no es el comportamiento general. Ante este contexto, de forma específica, resulta imperioso que los reguladores ganen empo adaptando el reglamento de la SBS para sus respec vos sectores, estableciendo plazos y condiciones razonables de implementación. De forma general, se requiere implementar este po de marcos norma vos para cualquier organización que opere en el ciberespacio, por ejemplo, a través de una norma genérica similar a la Ley de Protección de Datos Personales, contribuyendo en el fomento de la resiliencia sistémica, puesto que un ciberataque puntual o masivo, requerirá del fortalecimiento de un esquema colabora vo y solidario entre organizaciones y grupos de interés que están altamente interconectados. ¤
VISÍTANOS
pg.06 - ABRIL 2021
Shirley Aristondo
Ing. de Sistemas, Magister en Auditoria, CISA, COBIT5F, ISO 27032 LCM, ISO 27001 LA, LCSCP, OKRCP.
D
esarrollar programas de concien zación efec vos es clave en la estrategia de defensa que construimos los responsables de seguridad en las empresas. Pero la efec vidad por sí sola no basta, y buscamos el éxito y trascendencia de estos a través del soporte de la Alta Dirección o el C-Level, sin ellos sería imposible. Como conocemos, en la búsqueda de mejorar la efec vidad de los programas de concien zación desarrollamos indicadores que serán presentados en comités o ámbitos de decisión con el obje vo de mejorar la calidad del contenido, personalizar las campañas de concien zación, conectar con los usuarios claves, fomentar la colaboración de la compañía y personalizar los modelos de entrenamiento de acuerdo con las exigencias del contexto. Sin embargo, el contexto de la pandemia en 2020 y 2021, sigue enfrentando a las empresas a nuevos esquemas de adaptación y en consecuencia dos efectos podrían estar gestándose en las estrategias de concien zación de seguridad de la información: ( a ) la transformación o el debilitamiento del nivel de compromiso de la Alta Dirección o (b) la
Compromiso de la Alta Dirección como parte de las estrategias de concientización de Seguridad de la Información en épocas de Pandemia. percepción de los usuarios del compromiso de la Alta Dirección frente al valor de los programas de concien zación. El presente ar culo plantea tres interrogantes que buscan explorar posibles síntomas de alerta y qué acciones podemos tomar para fortalecer este vínculo con la Alta Dirección. ¿Se está fomentando la aceptación del riesgo de ser blanco de los ciber-atacantes? El valor de esta pregunta radica en reconocer si existen “contra hábitos” que podrían estar gestándose por el contexto de crisis en el mindset C-Level. Las encuestas muestran que casi el 40% está de acuerdo en que los CEO son muchas veces el "eslabón más débil". El pensamiento promotor que podría estar afectando el compromiso de la Alta Dirección es que el impacto de ser atacados es casi nulo en relación con los estragos de la pandemia, así, colaborar con el fortalecimiento de la postura de seguridad deja de ser una prioridad frente a los nuevos obje vos de la compañía. Inclusive podría estar cues onando si par cipar todos los años en los programas de concien zación
pg.07 - ABRIL 2021 realmente aporta valor. Es en este punto, donde se puede quebrar la confianza en las polí cas y procedimiento. ¿Qué podemos hacer para evitar este dilema? Los directores ejecu vos deben comprender que los controles implementados una vez o en años anteriores no protegen a una empresa para siempre y que existen nuevos riesgos que requieren ser trabajados en los programas de concien zación. Para ello el CISO debe trabajar en erradicar los estados de negación sobre el valor de los programas de seguridad. Ahora más que nunca, es imprescindible establecer lazos de comunicación, y sobre todo implementar programas personalizados de concien zación para el C-Level. ¿Se están midiendo los cambios de hábito definidos en el programa de concien zación? Realizar programas de concien zación por si solos no compromete o mo va al personal a realizar los cambios de hábitos que tanto deseamos y la mo vación no viene solo del equipo de seguridad, sino que requiere del compromiso de la alta dirección. Si el calendario de cursos solo es permi do pocas veces al año y no persigue como meta principal corregir comportamientos que aumentan la probabilidad de ocurrencia de riesgos, el programa de concien zación no estará cumpliendo sus obje vos orgánicos. El impacto real de los programas de concienzación no se mide por el número de par cipantes o la can dad de personas que aprobaron el curso, se mide por el impacto de cambio que ha producido en el comportamiento de los colaboradores frente a los riesgos claves que buscamos mi gar. En ese sen do, se sugiere incluir indicadores como (a) ¿Cuáles son los hábitos que se han logrado corregir frente a los riesgos claves que enfrenta la organización? (b)
¿Cuántas personas en la organización están dispuestas a cumplir las polí cas definidas? Y (c) ¿Cuáles son los pos de comportamiento que lideran el comportamiento frente a la ges ón de riesgos de seguridad de la información? ¿Qué nivel de madurez perseguimos con el programa de concien zación? Si has respondido en piloto automá co que el programa que manejas busca que la organización apruebe la siguiente evaluación de auditoria financiera, entonces las premisas que lideran el esfuerzo de concien zación estarán en peligro constante. La pandemia ha llevado a varias organizaciones a repensar sus gastos y muchas han redefinido los calendarios de auditoria interna y externa, y con ello se priorizó la evaluación de riesgos claves. ¿Qué pasaría si en esta lista, los programas de concien zación no estuvieran listados? Es probable, que su valor nuevamente se vea cues onado. La visión y misión del programa de concienzación debe transcender a los requerimientos regulatorios o de auditoría, y debe buscar que la organización sea altamente efec va en relación con la ges ón de riesgos de seguridad. En este sen do, es necesario reconocer que la Alta Dirección define la cultura de la empresa y esto incluye la cultura de la seguridad. Así, la necesidad de ejecutar programas de concienzación no se da por la existencia del auditor, sino que es relevante porque forma parte de la estrategia de ges ón de riesgos empresarial. Las tres preguntas formuladas buscan llevar a que la construcción del programa de concienzación comunique de manera clara a la Alta Dirección que su compromiso es vital y constante. Construc vamente todos los programas de concien zación incluyen las pautas exigidas por las regulaciones, pero no debe ser el único mo vador para su ejecución. ¤
pg.08 - ABRIL 2021
Elaine Ford
Directora fundadora de D&D Internacional Democracia Digital. Presidente de Internet Society Perú (2016-2021) y autora del libro: “El reto de la democracia digital. Hacia una ciudadanía interconectada” (2019).
FAK E
¿Son las fake polls fake news? “Encuestas bambas, truchas, compradas, mermeleras son los calificativos despectivos que han recibido...”
E
sta pregunta surge a raíz de las diversas encuestas que se han difundido en las úl mas semanas ad portas de las elecciones del 11 de abril¹. Encuestas bambas, truchas, compradas, mermeleras son los califica vos despec vos que han recibido. Para efectos de este ar culo, las hemos denominado “fake polls”, pero lo cierto es que la proliferación de éstas, en su inmensa variedad, solo han minado la confianza de la ciudadanía hacia este instrumento de medición generando incer dumbre sin precedentes, frente a los posibles resultados del sufragio. No sabemos con certeza quiénes lideran las preferencias electorales, quiénes irán a una segunda vuelta. Cada día se propaga una nueva encuesta que opaca a la anterior y, lo que es peor aún, ene el aval del medio que la publica y del mar de trolls dedicados a difundirla en las redes sociales propiciando su viralización. En el imaginario de las personas ganarán los candidatos de la encuesta que más se difunde y comparte. Cabe mencionar que la encuesta es una técnica de inves gación social que permite conocer las opiniones y ac tudes de una colec vidad. Ayudan a entender la realidad y a establecer tendencias. La primera encuesta la aplicó el periódico Harrisburg Pennsylvanian en 1824 al inves gar sobre las preferencias de los ciudadanos de Wimiltown en los Estados Unidos. ¹Este ar culo se escribió el 9 de abril
pg.09 - ABRIL 2021 Desde entonces en los Estados Unidos y en el mundo las encuestas han servido como instrumento de medición en las campañas electorales y son insumo para el periodismo en su ejercicio diario impactando así en la opinión pública. Si en empos actuales le añadimos el factor de las nuevas tecnologías digitales para su difusión, más allá del periodismo tradicional, el alcance de las encuestas será mayor, a empo real y, consecuentemente, con un gran impacto. La difusión de dichos resultados se masificará rápidamente y tendrá una incidencia en el espacio público, en la percepción de la ciudadanía y en las decisiones que pudieran tomar. Pero ¿Son las fake polls fake news? En una reciente entrevista me hicieron esta pregunta y creo que es importante ser enfá cos en señalar que si una encuesta ene como propósito engañar, por supuesto que cons tuye una fake news. En un ar culo anterior expliqué la clasificación de las no cias falsas existentes, es decir, hay aquellas que se comparten por error, sin una mala intención; pero hay otro po de no cias que son maliciosas, que buscan hacer daño con un propósito establecido y se comparten deliberadamente. Esta misma clasificación es lo equivalente en inglés a los términos misinforma on y disinforma on, respec vamente. Entonces, bajo esta premisa, cabe hacer la dis nción entre aquellas empresas encuestadoras que son las que gozan de más pres gio, por los años de experiencia, por los métodos aplicados, por la rigurosidad de la muestra, por el bajo margen de error, entre otros aspectos. Hay una reputación detrás y una ins tución, con personas calificadas, quienes responden y dan la cara frente a los resultados expuestos. Sin embargo, hay otras encuestadoras que han sido creadas repen namente con fines específicos, solo para favorecer a un determinado candidato, tergiversar la verdad y manipular a la electores. Nadie sabe quién está detrás de las mismas. Tal como sucede con las no cias falsas, no se sabe quién las crea, pero sí
sabemos quiénes las comparten y difunden. Por tanto, no es di cil dis nguir su procedencia y los intereses en juego. A vísperas de las elecciones resulta impera vo actuar con mucha prudencia y responsabilidad. El futuro del país está en juego. Los peruanos merecemos tener gobernantes y representantes al Congreso que velen por el país, por su polí ca, su economía y la crisis sanitaria actual que nos man ene de luto. Hemos caído a un nivel deplorable en la forma cómo se transmiten las preferencias electorales mediante la técnica de las encuestas, que nos lleva ciegos al domingo de elecciones. A estas alturas la más sabia recomendación es informarse adecuadamente sobre los candidatos, sus antecedentes y sus planes de gobierno en las plataformas online oficiales creadas con estos fines y no dejarse llevar por los dis ntos sondeos que circulan incesantemente. ¤
pg.10 - ABRIL 2021
El rol de la continuidad del negocio y la ciberseguridad en tiempos de COVID. Milagros Castillo
Especialista en Seguridad de la Información y Con nuidad del negocio, Ingeniero de Sistemas MBA, (PCIP)™, 22301LI, 27001LA, CSXF
A
más de un año de que el Gobierno Peruano declarara el estado de emergencia sanitaria por la presencia de la COVID-19 en nuestro país, varias han sido las acciones que las empresas del sector público y privado han tenido que tomar para con nuar operando, y donde su capacidad de
pg.11 - ABRIL 2021 hacer frente a esta coyuntura se puso a prueba, es aquí cuando hablamos no sólo de la tecnología (que sabemos que ha sido clave para la con nuidad de las operaciones), sino también de la importancia de contar con el recurso humano, además de los proveedores e infraestructura, los cuales son también los pilares de la con nuidad del negocio. Un plan de Con nuidad del Negocio es un conjunto de ac vidades, definiciones y recursos que de manera preven va se definen y prueban, para que cuando suceda algún evento de interrupción, que ponga en riesgo la con nuidad de la empresa, se ac ven estos planes y cumplan con el propósito para el que fueron diseñados, mi gando el impacto en el capital humano, económico, legal y reputacional. Dentro de los planes de Con nuidad del Negocio se ene los “planes tecnológicos” que son los más conocidos y los que la mayoría de las empresas enen implementado como parte de su estrategia de recuperación tecnológica. No voy a ahondar en este punto, porque quiero hacer énfasis en los otros planes que ante la coyuntura actual se tuvieron que ac var y son los planes menos u lizados y posiblemente los menos probados por las empresas, que son, los planes opera vos con los proveedores, así como los planes de respuesta ante una pandemia. La pandemia de la gripe A (H1N1) del año 2009 tomó por sorpresa a las empresas y tuvieron que elaborar su plan de con nuidad del negocio ante una crisis de pandemia y ac var sus protocolos de emergencia. Seguramente varios aprendieron la lección y estuvieron preparando sus planes y protocolos, y es en marzo 2020 donde las empresas con o sin plan ante pandemia, tuvieron que ac var o improvisar sus protocolos de respuesta. Las que lo tenían definido, aplicaron su capacidad de resiliencia porque sabemos que esta pandemia escapaba a todo aquello que nos hubiéramos podido imaginar o probar, pero que defini- vamente al tener una base fue el punto de par da para avanzar más rápido y eficientemente. Y es en este escenario en par cular donde el frente de CiberSeguridad ha cubierto un rol importante en la Con nuidad del Negocio, porque
el nuevo reto era trabajar en remoto para lograr la con nuidad de la operación, pero de manera segura. Y es aquí donde aparecen nuevos riesgos porque el “home office” o “trabajo remoto” ,que si bien antes de la pandemia podía ser una realidad en algunas empresas donde los usuarios se conectaban esporádicamente desde sus hogares y retornaban a sus centro de labores, nunca fue diseñado para que los controles de ciberseguridad se apliquen de manera con nua sin necesidad de encontrarse sicamente en las oficinas, controles como actualización de an virus, aplicación de parches, despliegue de polí cas de red, filtros de navegación, entre otros controles, que permiten el aseguramiento de las estaciones de trabajo de los usuarios. Por lo que, la con nuidad de los recursos y el trabajar desde casa de manera segura se vuelve una necesidad elemental, y donde el rol de la Ciberseguridad de la mano con el de la Con nuidad se vuelven más aliados que nunca porque no puede haber Con nuidad sin Seguridad y viceversa. Por otro lado, las empresas tuvieron que voltear a sus proveedores de servicios tecnológicos para que les brinden detalle de la ac vación de sus planes ante pandemia y realizar un monitoreo exhaus vo de sus servicios, ac vidad que con el empo se volvió una prác ca común y natural para todos, al igual que el “home office”. El éxito de los planes de con nuidad de los proveedores fue también clave para la con nuidad del negocio de las organizaciones, por eso hay que tener siempre una mirada priorizada de la cadena de suministro. Y a un año de la pandemia debemos preguntarnos: ¿cuál sería ahora el rol de la Con nuidad y el de la CiberSeguridad? Debo decirles que esto no termina aquí, ambos enen mucho por hacer. Se habla mucho de un esquema híbrido de trabajo, donde seguramente algunas empresas optarán que sus colaboradores vayan algunos días a la oficina y otros sigan en modo “home office”, entonces aquí con nua el reto de implementar oportunamente un nuevo esquema de trabajo donde la ciberseguridad y la con nuidad permita y provea esta flexibilidad. ¤
pg.12 - ABRIL 2021
Respuesta a incidentes de ciberseguridad (¿qué?, ¿por qué? ¿cómo?). Jorge Sandoval
Cybersecurity Manager | CEH ISO 27032 | ISO 27001 | ISO 31000 NIST | FFIEC CAT
G
racias a la comunidad CISObeat me animé a escribir este ar culo y compar r por qué contar con el plan de respuesta a incidentes es vital al momento de pensar en la ciberseguridad de cualquier negocio. Independientemente de tu rol en la ciberseguridad, deberemos entender qué es la respuesta a incidentes de ciberseguridad y por qué existe. Y para contribuir con ustedes, compar ré en algunas líneas lo que he podido rescatar de cada “incendio” que enfrenté. La respuesta a incidentes es la forma en cómo una organización, independiente de su tamaño, planea y ges ona esta respuesta; sea a un ataque o una violación de la ciberseguridad. El obje vo es garan zar que los incidentes de ciberseguridad se aborden de manera oportuna y que los daños y costos del ataque se reduzcan a su máxima expresión. A los principales par cipantes de un plan de respuesta a incidentes se les denomina como el e q u i p o d e re s p u e sta a i n c i d e nte s d e ciberseguridad o sus siglas en inglés CSIRT y son
quienes ges onan la respuesta a incidentes. Este equipo es conformado, usualmente, por profesionales de la ciberseguridad y equipo relevante de infraestructura de T.I., junto con recursos humanos, staff legal y staff de comunicaciones. Aquí les comparto la razón de la par cipación del equipo: Miembros ejecu vos(as): CISO, Gerente General, Gerente RRHH, Gerente Comunicaciones, Gerente de Servicios, Gerente de Administración y Finanzas u otros miembros relevantes de la junta que deben mantenerse al día con el incidente en curso y asignar presupuesto si es necesario. Ÿ
Profesionales de la ciberseguridad: El/la o los(as) analistas de ciberseguridad responsables de la invesgación y controlar hasta erradicar la brecha de seguridad o ataque. También lo llamo el equipo o grupo opera vo. Ÿ
Profesionales de infraestructura de T.I.: Ges onarán el incidente con el obje vo de organizar el personal necesario para la ejecución de acciones relacionadas a la brecha de seguridad o ataque. Ÿ
pg.13 - ABRIL 2021 Staff legal: Decidirán en qué momento revelarán el incidente y se ocuparán de las consecuencias derivadas del incidente de seguridad, así también como la demanda de las partes interesadas y/o algún proceso legal. Ÿ
Recursos Humanos: Se ocupa de cualquier aspecto del ataque o brecha relacionada con los(as) colaboradores(as) de la organización, incluso si los(as) colaboradores(as) estuvieron involucrados(as) en el incidente, por ejemplo: amenazas internas conocidas como insider threats. También par cipa en las comunicaciones a los empleados. Ÿ
Comunicaciones : Atenderá las consultas de los canales de comunicación junto con la com u n i ca c i ó n co n l o s ( a s ) co l a b o radores(as), clientes y partners asociados. Ÿ
Entonces, ahora que el equipo de respuesta a incidentes (CSIRT) conoce y en ende su par cipación, el CSIRT está listo para ejecutar el plan de respuesta. Recordemos que este plan es un conjunto de instrucciones, específicas para el negocio, que servirá para detectar, contener, erradicar y recuperarse de un ataque o brecha de seguridad. Rápidamente, revisemos los 6 pasos comunes de un plan de respuesta a incidentes: PREPARACIÓN Este es el primer paso para responder a un incidente de ciberseguridad e incluye contar con lo siguiente: Plan de respuesta Datos de contactos del equipo de respuesta a incidentes de ciberseguridad Ÿ Datos de contactos de las partes interesadas potencialmente involucradas. Ÿ Colaboradores(as) entrenados(as) para el cumplimiento de sus roles. Ÿ Poner a prueba el plan de respuesta a Ÿ Ÿ
Ÿ
incidentes de seguridad. En la medida de lo posible hay que asegurar que todos los aspectos de la respuesta a incidentes estén financiados debido a la importancia.
IDENTIFICACIÓN El siguiente paso es iden ficar si un ataque o brecha de seguridad está ocurriendo o ya ocurrió. En esta fase surgirán muchas preguntas que deberemos resolver de forma inmediata y sensata. Por ejemplo: ¿Cuándo ocurrió? ¿qué ga lló el incidente? ¿cómo fue descubierto? ¿Quiénes descubrieron la brecha de seguridad? y con estas preguntas ir documentado el incidente para que más tarde sirva de análisis cro n o ló gico d e lo su ced id o . Ad emás, deberemos conocer, mientras resolvemos las preguntas anteriores, el alcance del incidente y si este afecta a ambientes de producción o de infraestructura crí ca. CONTENCIÓN Esta fase se describe por si misma y es aquí donde concentraremos esfuerzos para asegurar que la brecha de seguridad o ataque estén contenidos y así limitar o reducir cualquier daño de corto o largo plazo. ERRADICACIÓN Nuestro esfuerzo, después de la contención, deberá consis r en erradicar la brecha de seguridad o ataque. Con el apoyo de un proveedor de ciberseguridad de confianza o nuestro propio equipo de profesionales de la ciberseguridad deberemos remover los archivos maliciosos, restaurar/crear las imágenes de los sistemas, restaurar las copias de seguridad y actualizar o fortalecer los controles de seguridad sobre los sistemas. RECUPERACIÓN No sólo recuperaremos nuestros sistemas de información, sino también el aliento. Si
pg.14 - ABRIL 2021 logramos contener y erradicar la brecha de seguridad o ataque, la siguiente etapa será recuperar y restablecer los sistemas a un estado completamente saludable, opera vo y seguro. Esto también incluye el monitoreo con nuo de cualquier señal de ac vidad anómala en los sistemas afectados. LECCIONES APRENDIDAS Si llegaste a esta parte del ar culo, te doy las gracias porque acabas de demostrarte a mismo que la ciberseguridad es un viaje y proceso con nuo. Una vez finalizado los pasos anteriores, es importante documentar las lecciones que se hayan aprendido por la brecha de seguridad o ataque. Esto puede incluir cosas cómo mejorar la seguridad, el plan de respuesta a incidentes o la capacitación para los(as) colaboradores(as) de la organización. El obje vo es garan zar que cualquier po de brecha o incidente de ciberseguridad no vuelva a tener éxito.
de las acciones; entre una variedad de posibles razones. Por esto, cuanto más rápido y mejor respondamos a un ataque o una brecha de seguridad, menores serán los costos que su organización enfrentará en remediar y solucionar el problema. Mantener la reputación: Debemos asegurar que la reputación de la organización se mantenga. Si una brecha de seguridad no se trata bien, los clientes podrán depositar su confianza en otra parte. Además, los precios de las acciones caerán si la reputación se ve gravemente afectada; y se pueden imponer multas cuan osas según el tamaño de la brecha de seguridad o ataque y el país en el que se produce. ¤
Para finalizar, y como lo mencioné al principio de este ar culo, la respuesta a incidentes de ciberseguridad es vital y para su éxito les comparto los úl mos puntos a considerar y no perder de vista: Protección de datos: El primer punto es proteger los datos de su organización. La integridad de los datos es vital para cualquier organización, independientemente de si los datos pertenecen a la organización, colaborador(a), terceros o sus clientes. Los atacantes o ciber criminales pueden retener datos para pedir rescate o filtrarlos al público y extorsionarnos en un futuro. Es primordial que estos datos se mantengan seguros para garan zar que nuestra iden dad digital y sica no se vea afectada al igual que la imagen y reputación de la organización Protección del retorno de inversión: El costo promedio de una brecha de datos con núa aumentando año tras año y esto puede deberse al pago de rescates de ransomware, reparación de sistemas, gastos legales, caída en el precio
...La ciberseguridad es un viaje y proceso continuo...
pg.15 - ABRIL 2021
Como afectan las brechas de seguridad la continuidad del negocio. Erick Iriarte
L
seguridad de la información, su misión no se centra solamente en decir “peligro, peligro, peligro”, sino en implementar las soluciones prác cas en la medida de su alcance funcional. No es pues solamente un “auditor” sino un actor relevante en la organización, que debe estar adscrito a la Alta Dirección. Pero ¿es el CISO el responsable de la ciberseguridad en la organización?
Una primera pregunta a realizarse es ¿Quién es el responsable de la ciberseguridad?. La respuesta sencilla sería voltear al CISO. En efecto el “chief informa on security officer” es el responsable opera vo de la
Cuando se habla de responsabilidad se debe buscar quien, de acuerdo a la norma, ene la to m a d e d e c i s i ó n , e n g e n e ra l e n l a s organizaciones es el Gerente General y el Directorio quienes asumen una gama de responsabilidades frente a diversos temas, ¿es la ciberseguridad uno de dichos temas?. Si entendemos que la misión crí ca de la alta dirección (gerencia y directorio) es la con nuidad del negocio, sin duda enen una responsabilidad en brindar los soportes legales, técnicos y financieros necesarios para que el negocio se mantenga (plus no quebrar la compañía, al menos no intencionalmente). Ello en empos digitales requiere entonces que también el tema de ciberseguridad sea parte de su quehacer desde establecer comités específicos en el directorio (y hasta quizás derivados de los comités de compliance) hasta asumir los roles de liderazgo frente a
CEO EBIZ La n America
o mas común en los diferentes casos de ataques informá cos es que las empresas no lo informen. Este no informar puede tener diversos orígenes: todo el proceso queda encapsulado en el área de tecnología y se puede resolver; no informan porque puede haber alguna vulneración de datos personales y temen la sanción de la Autoridad respec va; no lo informan para que sus compe dores no obtengan una ventaja de su fragilidad; desean que sus inversores no se alerten y puedan afectar la valorización de la empresa; es una brecha de seguridad que fue previamente declarada y no solucionada; no se hace la inversión necesaria en ciberseguridad por falta de conciencia de la alta dirección; o quizás porque ni siquiera saben que están siendo atacados.
01
pg.16 - ABRIL 2021 ciberseguridad, pasando por entender el impacto que una brecha de ciberseguridad puede significar en la percepción de los shareholders y compe dores, cuando no de las autoridades competentes. Es pues claro que si la ciberseguridad no se asume desde la alta dirección termina siendo solo un ejercicio de procesos y que cuando impacte en la con nuidad de negocio no se estará preparado como tal.
Hay que mirar con especial cuidado el sistema financiero, donde no solo hacen ingentes can dades de inversión (y en realidad debería ser así en todas las empresas que ven ac vos crí cos), sino que enen legislación específica sobre la materia de ciberseguridad, con responsabilidades funcionales y opera vas, y por ende con todo un esquema de sanción, plus que la mayoría de las empresas del sistema financiero co zan en bolsa.
Una segunda pregunta está en ¿por qué es relevante preocuparse de la ciberseguridad? Puede tomarse el camino sencillo de pensar que si no hay una regulación específica no es un tema para preocuparse (legalmente hablando). Hay que añadir que, si bien hay estándares y buenas prác cas en el mercado, pudiera decidirse no seguir en las mismas; es más hasta pudiera haber brechas descubiertas con vulneración de datos y que los usuarios no alteren su consumo de los bienes y/o servicios que brinda la organización; pero el problema está en los shareholders y la afectación en el mercado. Claro puede decirse que esto impacta mas en las empresas en bolsa que aquellas que no; pero si bien no hay inves gaciones concluyentes, los análisis preliminares, indican que aun en empresas que no co zan en bolsa, la real afectación viene por el lado de los shareholders, y más aún de compe dores que pueden tomar dichas brechas para ir por los clientes del vulnerado. Y es que, si bien podemos salvar con un buen PR (Public Rela ons) una brecha de seguridad, la percepción de los accionistas y del mercado será de alguien vulnerable, y si es vulnerable se puede ir por sus clientes. Siendo lo antes dicho la misión de la alta dirección de las organizaciones ene en la ciberseguridad ya no solo “un tema más”, sino un tema real donde la competencia puede tomar posición. Pero no descartemos a los usuarios, mientras tengamos un mercado cau vo, pueden “tolerar” la mayoría de los casos de brechas, pero en la medida que los usuarios en enden mejor la legislación (en especial de datos personales) los impactos monetarios de resarcimiento cada vez aumentan.
Una tercera pregunta que realizar es ¿Cuánto inver r en ciberseguridad? Y esta pregunta es absolutamente arbitraria. No enes forma de saber cuanto debes inver r, pero si algunas pautas a seguir: empresas que ges ón datos personales enen más riesgo al momento de las brechas por las responsabilidades legales específicas; empresas que no enen polí cas de ciberseguridad (tan siquiera de respaldo) son más vulnerables que aquellas que si lo poseen (aunque tener las polí cas no hace un escudo mágico solo aminora el impacto); las organizaciones que no enen una cultura de ciberseguridad en todos sus empleados son más vulnerables dado que la mayoría de casos de ataque externo vienen por una brecha humana; las organizaciones que no enen mecanismos de control de personal sufren de más ataques internos y externos, hay una tendencia a que muchos de los casos de brechas de seguridad son brechas de trabajadores internos (o ex trabajadores), o q u e h aya n p e r m i d o p o r i n a c c i ó n ( o negligencia) un ataque externo; la inversión en ciberseguridad debe ser relacionada a la dimensión del negocio y su con nuidad, siendo así la inversión debe ser proporcional, ni grandes gastos para pequeños negocios ni pequeñas inversiones en negocios grandes, proteger la información crí ca (que son ac vos de la compañía) y resguardar los datos personales, así como los sistemas de la organización.
02
03
Hay más preguntas, pero casi todas las respuestas las enen ustedes. ¤