I Cyber Security & Data Protection Online Forum

Los ciberincidentes deben llegar hasta el comité de dirección empresarial para su correcta gestión

78
guía ciberincidentes

Manuales y guías para prevenir o resolver ciberataques ya hay unos cuantos. Se van publicando conforme crece, desgraciadamente, este tipo de incidentes que tanto pueden repercutir – y no para bien – en los negocios. Sin embargo, la presentación de ayer de la “Guía para la gestión de crisis por ciberincidentes en la cadena de suministro” supone un hito en la materia “por ser la primera vez que se cuenta con un soporte institucional completo para ello”, resalta Ángel Pérez, su coordinador y CISO de Autopistas.

DSN, CCN, CNPIC, INCIBE y CESICAT se han unido a ISMS Forum (International Information Security Community) en la iniciativa, cuya puesta de largo eligió el marco de la celebración del primer Security & Data Protection Online Forum, una convocatoria múltiple en la que también se presentaba una guía de Buenas Prácticas en Auditorías RGPD, como informábamos ayer.

“Ha sido nuestro estreno en formato digital y estamos muy satisfechos con el número de participantes; mucho más que cuando convocamos presencialmente, también porque por aprovechar la logística hemos aunado varios foros y permitido que se fuera saltando de uno a otro”, comenta Pérez. El evento relativo a ciberseguridad y la elaboración de la guía de recomendaciones empezó a fraguarse ya en el último trimestre de 2019, tal y como comenta el experto.

“Detectamos por entonces muchos casos de incidentes con proveedores transversales, no solo de ciber y de tecnología, y nos llamó la atención su secuencia, pues se concentraron en muy poco tiempo y tuvieron bastante repercusión. Ahí vimos clara la necesidad de pautar unos protocolos para minimizar la exposición de las organizaciones a estos ataques de su seguridad e incluso, evitarlos de antemano. Su coste no es solo económico, sino reputacional en muchos casos”, afirma Ángel Pérez.

“A finales de 2019 ya detectamos muchos problemas de seguridad, además transversales, que nos animaron a crear un documento que pautara y ayudara a prevenir”

Entre los consejos dados en la nueva publicación, se insta a que cada empresa tenga su propia guía y en su defecto, recurrir a la “Clasificación de incidentes de ciber”, pues se considera fundamental tener una nomenclatura por niveles y categorías, según sean los ciberincidentes; “esto determinará cómo afrontarlos y con qué criterios de escalada dentro de la empresa atacada”. Para el CISO de Autopistas, “el gran error al actuar frente a un problema de seguridad informática es dejarlo circunscrito a esta categoría. Lo resuelven los profesionales especializados en ello y ahí se queda, no trasciende. Y no puede contemplarse como algo aislado. En las cadenas de suministro todo está interrelacionado y una brecha digital concreta puede ir expandiéndose y encadenándose, más aún cuando hay dependencia de terceros”.

Para evitar que un ciberataque concreto pueda ir creciendo en círculos concéntricos, la “Guía para la gestión de crisis por ciberincidentes en la cadena de suministro” da dos consejos claves a las empresas: identificar a los proveedores siempre y clasificarlos según nivel de riesgos, comprobar que tienen un responsable de seguridad y tener trato directo con él. “Ambas cosas firmadas por contrato previamente, en ningún caso esperar a que se desencadene el problema porque en esos momentos es todo muy complicado”, insiste Pérez. ¿La pega? Que para muchas compañías tener sus requerimientos agregados es algo que resulta complicado “y que lo consideran demasiado ambicioso, por lo que hacen una propuesta alternativa muy interesante que es proceder a ello por sectores; algo que aplaudimos desde las diferentes asociaciones y organismos relacionados con lo ciber”.

“Es clave clasificar por niveles los tipos de riesgo y escalarlos según los grados hacia los puestos ejecutivos para no dar solo una respuesta ciber”

Otro de los puntos que más se han subrayado en el foro ha sido la necesaria implicación del comité de dirección en todo lo que tenga que ver con ciberataques. “No es algo que ataña solo a un departamento como se cree, su relevancia exige que aparte de los expertos en seguridad informática haya unos interlocutores que lo escalen a puestos ejecutivos o hagan de enlace”. Ven muy recomendable que se forme un comité de crisis con un equipo específico. Para obrar correctamente dentro del manual, destaca un decálogo, cedido por el Instituto Cerdà, que resume los aspectos cruciales. Este documento ha despertado bastante interés y se contemplará sacarlo en un anexo que complemente la publicación.

Lo importante es tener una estrategia de protección bien definida, sobre todo si los incidentes de ciberseguridad tienen origen en el proveedor para frenar las amenazas graves. Para lograrlo deben regir las medidas de monitorización, contención y vuelta a la normalidad de la entidad afectada. Como novedad, el planteamiento ayer presentado “parte de un equipo de trabajo pluridisciplinar, inicialmente de 30 asociados, a los que hay que sumar los otros tantos profesionales que han colaborado en la revisión, con la misión de enumerar, de forma holística, qué buenas prácticas se deben aplicar para que la cadena de suministro tenga menores riesgos, y que si llegan se pueda reducir su impacto al seguir tales criterios”, concluye Ángel Pérez.

Este trabajo completa al ya publicado por ISMS Forum “Protocolo de actuación frente a incidente en proveedor”. Se puede descargar en www.ismsforum.es, la web de la organización, una entidad sin ánimo de lucro fundada en 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector.