Manuales y guías para prevenir o resolver ciberataques ya hay unos cuantos. Se van publicando conforme crece, desgraciadamente, este tipo de incidentes que tanto pueden repercutir – y no para bien - en los negocios. Sin embargo, la presentación de ayer de la “Guía para la gestión de crisis por ciberincidentes en la cadena de suministro” supone un hito en la materia “por ser la primera vez que se cuenta con un soporte institucional completo para ello”, resalta Ángel Pérez, su coordinador y CISO de Autopistas.
DSN, CCN, CNPIC, INCIBE y CESICAT se han unido a ISMS Forum (International Information Security Community) en la iniciativa, cuya puesta de largo eligió el marco de la celebración del primer Security & Data Protection Online Forum, una convocatoria múltiple en la que también se presentaba una guía de Buenas Prácticas en Auditorías RGPD, como informábamos ayer.
“Ha sido nuestro estreno en formato digital y estamos muysatisfechos con el número de participantes; mucho más que cuando convocamospresencialmente, también porque por aprovechar la logística hemos aunado variosforos y permitido que se fuera saltando de uno a otro”, comenta Pérez. Elevento relativo a ciberseguridad y la elaboración de la guía de recomendacionesempezó a fraguarse ya en el último trimestre de 2019, tal y como comenta elexperto.
“Detectamos por entonces muchos casos de incidentes conproveedores transversales, no solo de ciber y de tecnología, y nos llamó laatención su secuencia, pues se concentraron en muy poco tiempo y tuvieronbastante repercusión. Ahí vimos clara la necesidad de pautar unos protocolospara minimizar la exposición de las organizaciones a estos ataques de suseguridad e incluso, evitarlos de antemano. Su coste no es solo económico, sinoreputacional en muchos casos”, afirma Ángel Pérez.
“A finales de 2019 ya detectamos muchos problemas de seguridad, además transversales, que nos animaron a crear un documento que pautara y ayudara a prevenir”
Entre los consejos dados en la nueva publicación, se insta aque cada empresa tenga su propia guía y en su defecto, recurrir a la “Clasificaciónde incidentes de ciber”, pues se considera fundamental tener una nomenclaturapor niveles y categorías, según sean los ciberincidentes; “esto determinarácómo afrontarlos y con qué criterios de escalada dentro de la empresa atacada”.Para el CISO de Autopistas, “el gran error al actuar frente a un problema deseguridad informática es dejarlo circunscrito a esta categoría. Lo resuelvenlos profesionales especializados en ello y ahí se queda, no trasciende. Y nopuede contemplarse como algo aislado. En las cadenas de suministro todo estáinterrelacionado y una brecha digital concreta puede ir expandiéndose yencadenándose, más aún cuando hay dependencia de terceros”.
Para evitar que un ciberataque concreto pueda ir creciendoen círculos concéntricos, la “Guía para la gestión de crisis porciberincidentes en la cadena de suministro” da dos consejos claves a lasempresas: identificar a los proveedores siempre y clasificarlos según nivel deriesgos, comprobar que tienen un responsable de seguridad y tener trato directocon él. "Ambas cosas firmadas por contrato previamente, en ningún casoesperar a que se desencadene el problema porque en esos momentos es todo muycomplicado”, insiste Pérez. ¿La pega? Que para muchas compañías tener susrequerimientos agregados es algo que resulta complicado “y que lo considerandemasiado ambicioso, por lo que hacen una propuesta alternativa muy interesanteque es proceder a ello por sectores; algo que aplaudimos desde las diferentesasociaciones y organismos relacionados con lo ciber”.
“Es clave clasificar por niveles los tipos de riesgo y escalarlos según los grados hacia los puestos ejecutivos para no dar solo una respuesta ciber”
Otro de los puntos que más se han subrayado en el foro hasido la necesaria implicación del comité de dirección en todo lo que tenga quever con ciberataques. “No es algo que ataña solo a un departamento como secree, su relevancia exige que aparte de los expertos en seguridad informáticahaya unos interlocutores que lo escalen a puestos ejecutivos o hagan de enlace”.Ven muy recomendable que se forme un comité de crisis con un equipo específico.Para obrar correctamente dentro del manual, destaca un decálogo, cedido por elInstituto Cerdà, que resume los aspectos cruciales. Este documento hadespertado bastante interés y se contemplará sacarlo en un anexo quecomplemente la publicación.
Lo importante es tener una estrategia de protección biendefinida, sobre todo si los incidentes de ciberseguridad tienen origen en elproveedor para frenar las amenazas graves. Para lograrlo deben regir lasmedidas de monitorización, contención y vuelta a la normalidad de la entidadafectada. Como novedad, el planteamiento ayer presentado “parte de un equipode trabajo pluridisciplinar, inicialmente de 30 asociados, a los que hay quesumar los otros tantos profesionales que han colaborado en la revisión, con la misiónde enumerar, de forma holística, qué buenas prácticas se deben aplicar para quela cadena de suministro tenga menores riesgos, y que si llegan se pueda reducirsu impacto al seguir tales criterios”, concluye Ángel Pérez.
Este trabajo completa al ya publicado por ISMS Forum “Protocolo de actuación frente a incidente en proveedor”. Se puede descargar en www.ismsforum.es, la web de la organización, una entidad sin ánimo de lucro fundada en 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector.