Al menos el 50% de las organizaciones que cuentan con un plan de continuidad de negocio (BCP, por sus siglas en inglés) tomaron como base el estándar ISO 22301:2012. Como marco general, este estándar es una buena guía y permite a las organizaciones demostrar que están protegiendo efectivamente sus instalaciones, empleados, activos y partes interesadas.
De manera general, con el propósito de garantizar la continuidad de negocio, estas organizaciones terminaron desarrollando esquemas redundantes tanto en sus centros operativos como en la infraestructura e información con la que soportan su operación crítica; establecieron los equipos de trabajo con sus suplentes, los procesos a seguir; y capacitaron a la gente, realizaron pruebas y atendieron las mejoras o deficiencias que detectaron durante esas pruebas. Todo esto basado previamente en el alcance del BCP, el análisis de riesgos y el análisis de impacto al negocio (BIA, por sus siglas en inglés).
La mayor parte de los escenarios para los que se desarrollaron los BCP contempla interrupciones, ya sea de los centros de operaciones primarios o de los centros de cómputo primarios, por eventos catastróficos comunes ocasionados por la naturaleza (terremotos, huracanes, incendios, inundaciones, etc.) o por el ser humano (sabotaje, fallas humanas por negligencia o por errores, etc.).
Pero, ¿qué pasa con aquellos eventos que no ocasionan interrupciones en los centros operativos ni en los centros de cómputo pero sí ponen en riesgo la continuidad del negocio? Tal es el caso de los ciberataques.
Antes de continuar, es preciso diferenciar entre un evento de seguridad de la información, aquel que por definición pone en riesgo la integridad, disponibilidad o confidencialidad de la Información de una organización, y un ciberataque, que consiste en un intento malicioso y deliberado de un individuo, organización o nación para violar los sistemas de información de otros individuos, organizaciones o naciones en busca de algún tipo de beneficio.
La atención de un evento de seguridad de la información o de un ciberataque se debe llevar a cabo a través del proceso de gestión de incidentes de seguridad, el cual puede detonar la ejecución del BCP si se pusiera en riesgo la continuidad del negocio.
Fase ‘Plan’
Tomando como base cada una de las fases del ciclo de vida PDCA (Plan-Do-Check-Act, por sus siglas en inglés) del ISO 22301, se recomienda integrar algunas actividades para contemplar los ciberataques dentro de un BCP.
La fase de Plan, compuesta por las cláusulas 4 Contexto, 5 Liderazgo, 6 Planeación y 7 Soporte, enfatiza la importancia de comprender el contexto de una organización, analizar el liderazgo y el compromiso, planificar el proyecto y los objetivos del BCMS y establecer una base para el apoyo de la organización.
Dentro de esta fase es importante identificar los activos de información más valiosos de la organización, las conocidas joyas de la corona que deben ser cuidadas, así como aquella información personal que esté bajo la custodia de la organización (ya sea de empleados, proveedores, clientes, etc.) y que por ley debe ser protegida.
Asimismo, deberán ser involucrados los responsables de la gestión de riesgos, de la ciberseguridad y de las tecnologías de información dentro del liderazgo y su visión tendrá que estar incluida en el alcance, la política y los objetivos del BCP. Desde un principio, los roles y permisos de las tareas de ciberseguridad deberán quedar bien definidas y asignadas en el personal y los equipos que formen parte del BCP.
Es necesario cambiar el enfoque y asumir que la organización no solamente puede ser comprometida, sino que ya lo ha sido
Fase ‘Do’
La fase Do se aborda en la cláusula 8 Operación, donde se incluyen algunas actividades como la realización de un análisis de impacto al negocio (BIA, por sus siglas en inglés) y el análisis de riesgos junto con una discusión sobre el ejercicio y la prueba de los planes.
En esta fase, junto con los tradicionales análisis de riesgos tecnológicos y operativos, se deberá llevar a cabo explícitamente un análisis de riesgos sobre la ciberseguridad de la organización, un análisis de brechas de los controles de seguridad con los que cuenta la organización (este análisis ha de incluir la seguridad física de los sitios alternos, tanto el operativo como el de datos) y un análisis de riesgos sobre los proveedores de servicios que participen en los planes de continuidad de negocio.
Igualmente, los procesos y el equipo de gestión de incidentes deberán contemplar diferentes escenarios de ciberataques, no sólo aquellos que hacen inaccesible la tecnología (como es el caso de ataques de denegación de servicio DoS o DDoS, por mencionar algunos) o la información (ransomware), sino también aquellos que comprometen a la organización de una manera más sigilosa (como es el caso de las amenazas persistentes avanzadas (APT, por sus siglas en inglés) que pudieran extenderse del centro de cómputo primario al secundario).
Como parte del proceso de gestión de incidentes es importante considerar el apoyo y trabajo colaborativo con otras organizaciones del medio (por ejemplo, en el caso de los bancos e instituciones financieras es imprescindible el intercambio de notificaciones e información de manera oportuna sobre cualquier incidente, de tal manera que puedan tomar las debidas previsiones) e instituciones públicas o privadas de seguridad que puedan apoyar en caso de requerirse.
Es altamente recomendable que exista un proceso de manejo de crisis y que este contemple de qué manera se deberán comunicar de forma interna y externa los efectos causados por un ciberataque.
Fase ‘Check’
La fase Check contempla la cláusula 9 Evaluación de desempeño. Toma en consideración la importante tarea de verificar que lo que se ha conseguido en las pruebas de validación se puede lograr de manera consistente a través del monitoreo efectivo y la evaluación continua de los resultados.
Las recomendaciones dentro de esta fase son verificar el cumplimiento de los controles de seguridad previamente acordados y establecidos, así como el manejo de la información sensible (incluyendo cuentas y contraseñas) durante los ejercicios y las contingencias. De esta manera se pueden identificar mejoras o nuevos controles y procesos que ayuden a cerrar las brechas identificadas.
Fase ‘Act’
Por último, la fase Act, cláusula 10 Mejora, proporciona el marco para garantizar que los cambios requeridos desde la etapa de evaluación se incorporen de manera oportuna en los planes en los que se basa la organización. Con esta fase se cierra un ciclo y se detona el proceso de mejora continua para el siguiente.
Recomendaciones
Debido a que los ciberataques se han vuelto más comunes y que la filosofía de estos tiempos nos lleva a pensar que en todo momento pueden ser explotadas las brechas de seguridad de cualquier compañía, no basta solamente con la prevención. Es necesario cambiar el enfoque y asumir que la organización no sólo puede ser comprometida, sino que ya lo ha sido. Por lo tanto, las organizaciones deben:
- Tener una comprensión clara de las amenazas a las que se enfrentan y el impacto en el negocio si se produce un ciberataque.
- Estar preparadas para responder tanto interna como externamente cuando el ciberataque ocurra.
- Implementar procesos de detección de amenazas efectivos para que la información recopilada sea confiable y útil para la atención de cualquier evento de seguridad que las ponga en riesgo.
