Segu r i d a d E strat é g ica C or p orat iva
Gestión de crisis Recomendaciones y modelos de respuesta
Angel Pérez CISO de Autopistas y coordinador de la guía
ISMS FORUM
Durante el último trimestre de 2019 varias organizaciones tuvieron que apagar sus sistemas y redes para hacer frente a ataques ransomware. Algunos de estos afectaron a proveedores de servicios y provocaron un efecto que se extendió en la industria. Desde ISMS Forum hemos elaborado una guía para ayudar a las organizaciones a reducir el riesgo en estos casos
ismsforum.es
y, si este se materializa, a encontrar una serie de recomendaciones sobre cómo actuar para darle respuesta. El cuatro de noviembre de 2019 varias empresas, entre
/ PLANTEAMIENTO
las que se hallaba una multinacional de servicios, ha-
Dentro de los foros habituales que se desarrollan en
bían sido víctimas de un grave ciberataque que culminó
ISMS Forum llegamos a la conclusión de que era con-
con el secuestro sus sistemas, con miles de equipos afec-
veniente abordar un estudio, a nuestro juicio novedo-
tados. Este incidente provocó toda una ola de actuacio-
so, sobre cómo afrontar la gestión de este tipo de crisis,
nes en multitud de empresa, en dos ejes muy definidos:
derivadas de un incidente con origen en el proveedor.
»
Tecnológico. Por un lado, hubo que cortar de forma
El trabajo se dividió en dos entregables. Por un lado, la
precipitada todas las comunicaciones con el proveedor
Guía de gestión de crisis, que proporciona una visión
afectado, y revisar si había riesgo dentro de la propia red.
más amplia sobre cómo proceder ante estos riesgos. Por
»
Continuidad de negocio. Muchas empresas debie-
otro lado, desarrollamos un protocolo de actuación rápi-
ron gestionar la interrupción del servicio activando los
da frente a incidente en el proveedor, que incluye una se-
protocolos internos de continuidad o definiéndolos.
rie de recomendaciones técnicas específicas. Ambos do-
Además, el ataque provocó una respuesta coordinada
cumentos pueden consultarse en la web de ISMS Forum.
del ecosistema del proveedor para comprender la gra-
Para llevarlo a término, se constituyó un grupo de tra-
vedad del incidente y pilotar la vuelta a la normalidad.
bajo multidisciplinar que contó con la participación de
Dada la complejidad del episodio, fue difícil tomar la
más de treinta expertos en diversas áreas: gestión de
decisión de cuándo abrir nuevamente las conexiones.
crisis, comunicación, CISO, respuesta a incidentes, continuidad de negocio, legal y compliance.
/ UN SEGUNDO INCIDENTE
10 //
Unos días más tarde, el 27 de noviembre de 2019, viví
/ GUÍA DE GESTIÓN DE CRISIS
un segundo episodio. Esta vez de una forma singular y
Esta guía cuenta con el soporte del Instituto Nacional
en sus primeros momentos. Ese día se celebró el IV Foro
de Ciberseguridad (INCIBE), del Departamento de Segu-
de la Movilidad e Internet de las Cosas del ISMS Forum,
ridad Nacional (DSN), del Centro Criptológico Nacional
y, junto con Álex Palazón —Car Security Team Leader de
(CCN), del Centro Nacional de Protección de Infraestruc-
SEAT—, impartí una charla que tenía como título El mun-
turas y Ciberseguridad (CNPIC) y de la Agència Catalana
do que viene: retos en el diálogo infraestructura-vehículo.
de Ciberseguretat (anteriormente CESICAT), lo que da
Durante el transcurso de la sesión, varios colegas se le-
una pista sobre la relevancia del trabajo acometido.
vantaban de forma precipitada y abandonaban el recin-
Tal como apunta en el prólogo Rosa Díaz, directora
to. Poco después supe que una multinacional, provee-
general de INCIBE, las empresas tienen dentro de sus
dora de servicios integrales de seguridad, había sufrido
principales activos la información que poseen. Es preci-
un incidente similar al caso expuesto anteriormente. De
so que adopten un enfoque de gestión de riesgos y ela-
hecho, ese episodio afectó muy especialmente a empre-
boren un plan director de seguridad que contenga las
sas que tenían CRA (centrales receptoras de alarmas)
medidas técnicas y organizativas necesarias para abor-
gestionadas, así como a otros servicios críticos para sec-
darla de forma coherente con los riesgos detectados y la
tores estratégicos (como, por ejemplo, el financiero).
estrategia de la empresa.
JULIO 2020
