9 minute read
Seguridad estratégica corporativa
Angel Pérez
CISO de Autopistas y coordinador de la guía
Advertisement
ISMS FORUM
ismsforum.es
Gestión de crisis
Recomendaciones y modelos de respuesta Durante el último trimestre de 2019 varias organizaciones tuvieron que apagar sus sistemas y redes para hacer frente a ataques ransomware. Algunos de estos afectaron a proveedores de servicios y provocaron un efecto que se extendió en la industria. Desde ISMS Forum hemos elaborado una guía para ayudar a las organizaciones a reducir el riesgo en estos casos y, si este se materializa, a encontrar una serie de recomendaciones sobre cómo actuar para darle respuesta.
El cuatro de noviembre de 2019 varias empresas, entre las que se hallaba una multinacional de servicios, habían sido víctimas de un grave ciberataque que culminó con el secuestro sus sistemas, con miles de equipos afectados. Este incidente provocó toda una ola de actuaciones en multitud de empresa, en dos ejes muy definidos: » Tecnológico. Por un lado, hubo que cortar de forma precipitada todas las comunicaciones con el proveedor afectado, y revisar si había riesgo dentro de la propia red. » Continuidad de negocio. Muchas empresas debieron gestionar la interrupción del servicio activando los protocolos internos de continuidad o definiéndolos. Además, el ataque provocó una respuesta coordinada del ecosistema del proveedor para comprender la gravedad del incidente y pilotar la vuelta a la normalidad. Dada la complejidad del episodio, fue difícil tomar la decisión de cuándo abrir nuevamente las conexiones.
/ UN SEGUNDO INCIDENTE Unos días más tarde, el 27 de noviembre de 2019, viví un segundo episodio. Esta vez de una forma singular y en sus primeros momentos. Ese día se celebró el IV Foro de la Movilidad e Internet de las Cosas del ISMS Forum, y, junto con Álex Palazón —Car Security Team Leader de SEAT—, impartí una charla que tenía como título El mundo que viene: retos en el diálogo infraestructura-vehículo. Durante el transcurso de la sesión, varios colegas se levantaban de forma precipitada y abandonaban el recinto. Poco después supe que una multinacional, proveedora de servicios integrales de seguridad, había sufrido un incidente similar al caso expuesto anteriormente. De hecho, ese episodio afectó muy especialmente a empresas que tenían CRA (centrales receptoras de alarmas) gestionadas, así como a otros servicios críticos para sectores estratégicos (como, por ejemplo, el financiero). / PLANTEAMIENTO Dentro de los foros habituales que se desarrollan en ISMS Forum llegamos a la conclusión de que era conveniente abordar un estudio, a nuestro juicio novedoso, sobre cómo afrontar la gestión de este tipo de crisis, derivadas de un incidente con origen en el proveedor. El trabajo se dividió en dos entregables. Por un lado, la Guía de gestión de crisis, que proporciona una visión más amplia sobre cómo proceder ante estos riesgos. Por otro lado, desarrollamos un protocolo de actuación rápida frente a incidente en el proveedor, que incluye una serie de recomendaciones técnicas específicas. Ambos documentos pueden consultarse en la web de ISMS Forum. Para llevarlo a término, se constituyó un grupo de trabajo multidisciplinar que contó con la participación de más de treinta expertos en diversas áreas: gestión de crisis, comunicación, CISO, respuesta a incidentes, continuidad de negocio, legal y compliance.
/ GUÍA DE GESTIÓN DE CRISIS Esta guía cuenta con el soporte del Instituto Nacional de Ciberseguridad (INCIBE), del Departamento de Seguridad Nacional (DSN), del Centro Criptológico Nacional (CCN), del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) y de la Agència Catalana de Ciberseguretat (anteriormente CESICAT), lo que da una pista sobre la relevancia del trabajo acometido. Tal como apunta en el prólogo Rosa Díaz, directora general de INCIBE, las empresas tienen dentro de sus principales activos la información que poseen. Es preciso que adopten un enfoque de gestión de riesgos y elaboren un plan director de seguridad que contenga las medidas técnicas y organizativas necesarias para abordarla de forma coherente con los riesgos detectados y la estrategia de la empresa.
En los últimos años, las empresas han incrementado su dependencia de la tecnología. Además, debido a la especialización, ha aumentado la subcontratación de aquellas actividades que no forman parte del core de la compañía. Pero es muy importante involucrarse en la gestión del riesgo que generan los proveedores, según un informe de Deloitte, un 83% de las organizaciones han sufrido incidentes a través de alguno de sus proveedores en los últimos tres años. Esta guía ofrece una serie de recomendaciones para implementar buenas prácticas en la gestión de proveedores. Más allá del cumplimiento, estas prácticas nacen de la experiencia de los profesionales que la han redactado, y la guía enumera una serie de medidas técnicas y organizativas que tienen un impacto real en la seguridad. Por ejemplo, la guía recoge algunas pautas como la necesidad de clasificar a los proveedores en función del nivel de riesgo que suponen para la compañía, y, a partir de ahí, establecer controles basados en un análisis de coste/beneficio. Hay que tener en cuenta que un exceso de medidas solicitadas a un proveedor podría suponer un excesivo e injustificado incremento del coste económico del servicio. Además, también es importante realizar un análisis de impacto de negocio (BIA o business impact analysis) de los procesos en los que incide el proveedor, lo que permitirá establecer medidas de contingencia para poder seguir prestando servicio en caso de ciberincidente. Por otra parte, es conveniente contar con un plan de respuesta, enlazado con el propio del proveedor, que identifique lo antes posible el incidente e incluya la definición de estructura de coordinación entre ambas organizaciones. Es muy importante que este plan de respuesta enlace con la estrategia de gestión de crisis en la compañía, empezando por identificar de forma nítida
qué episodios pueden suponer una situación de crisis, qué estructuras de coordinación deben establecerse (golden, silver y bronze team) y qué buenas prácticas es conveniente adoptar. El trabajo se complementa con el Protocolo de actuación rápida, publicado de forma independiente, que ofrece recomendaciones de coordinación con el proveedor afectado por el incidente, así como de medidas de monitorización, contención y vuelta a la normalidad en la propia entidad. Este protocolo contempla varias etapas, que van desde la notificación de incidente hasta la clasificación de su gravedad, el corte de comunicaciones, la comprobación de la efectividad de las medidas, la verificación de la resolución en el proveedor y el cierre del incidente.
/ ALGUNAS RECOMENDACIONES En resumen, la gestión de una crisis es tarea compleja, pero si esta tiene origen en un punto donde la organización no tiene control, se puede volver una tarea imposible. Hasta que leas la guía apunto tres recomendaciones principales: » Identifica qué proveedores generan más riesgo para tu compañía. » Pide que nombren un responsable de seguridad. » Establece protocolos de relación con él en materia de ciberseguridad y continuidad. En caso de incidente, este tiempo invertido vale oro.
