Un plan que no ha sido probado no es un plan

Esta es una verdad que resuena en mis oídos a casi veinte años de haber tenido mi primer encuentro con una auditora de Inglaterra cuando de manera astuta yo trataba de lograr su aceptación de un Plan de Continuidad de Negocios del cual yo suponía tenerlo todo listo a nivel de papeles.

Era impresionante como cada vez que el proceso de revisión se acerca a una nueva etapa ya yo sabía por adelantado la información que debía tener a la mano y las respuestas de examen que tenía que responderle a ella cuando el momento lo indicada, parecía, según sus propias palabras, como si yo adivinara lo próximo que venía y lo tenía listo antes de que ella me lo pidiera.

Afortunadamente un buen auditor siempre va a buscar la evidencia material, por observación o por registro del punto que está evaluando con el propósito de corroborar que efectivamente se han implementados los controles necesarios para mitigar los riesgos existentes una infraestructura o en un proceso.

Las palabras que retumban en mis oídos son su continua interrogante: ¿pero has probado el plan? Refiriéndose a la etapa en que se realizan las pruebas de los planes para validar si se están logrando los objetivos propuestos dentro del mismo.

A cada una de estas interrogantes, astutamente, yo le presentaba otro juego de documentos que se suponía  que era la respuesta a su requerimiento o simplemente una forma de desviar la atención para pasar a otro punto en el que yo me sintiera con mejor posibilidades de salir victorioso de aquel proceso inquisitorio.

Después de una larga serie de preguntas y respuestas alternativas, con mucha madurez al ver mi esfuerzo o inexperiencia me marcó con las siguientes palabras

Hasta que tu no has probado un plan, no tienes ningún plan.

Esta breve introducción a propósito de cierta divulgación de información que ha sido publicada y que dice pertenecer a una cantidad indeterminada de usuarios pertenecientes a varias instituciones financieras de la sociedad dominicana.

Un evento como este debió haber disparado el Plan de Gestión de Incidentes de Seguridad de Información, un proceso crítico en toda organización que utiliza de Sistemas de Información, especialmente cuando mucha de esta información es información personal de los individuos, que son sus clientes y que ellos han asumido un compromiso de custodia, información que cae dentro de la clasificación de Información Personal.

La gestión moderna de Seguridad de la Información ha llegado a la conclusión que sin importar el nivel de esfuerzo que las organizaciones especializadas realicen para prevenir un incidente, que es el nombre que se le da a un evento o serie de eventos no programados que pueden suceder de manera aislada o formar un efecto dominó y que pudieran impactar negativamente el logro de los objetivos de la organización en lo relativo a Seguridad de Información, que los incidentes van a suceder y que por lo tanto debemos estar preparados para detectar, responder y recuperarse del mismo.

Gestión de Incidentes

A grandes rasgos de puede decir que un Programa de Gestión de Incidentes no es más que una serie de acciones coordinadas y concertadas durante el ciclo de vida de un incidente, es decir, desde que un evento de Seguridad de Información es clasificado como un incidente, el mismo es tratado de tal forma que se pueda identificar las causas, contener el daño para que no se propague el problema y resolver la situación que dio lugar al incidente lo antes posible, y al final, pero no en último lugar de importancia, proteger la reputación de la organización, que ha venido a ser el intangible más importante para una organización, al mismo tiempo que lo que la puede hacer desaparecer en cuestiones de días.

Análisis del caso

Hace varios días se circuló la información de que algunos bancos habían sido hackeados y que la muestra era una reducida cantidad de cuentas de usuarios con sus números de cuentas, credenciales de acceso y el contenido de las tarjetas de código eran la mejor demostración de que efectivamente el ataque había sido exitoso.

Esto puso a arder las redes sociales y se activó el modo pánico como si ya efectivamente los extraterrestres hubieran aterrizado en la Plaza de la Bandera y se dirigieran al Palacio Nacional para desde ahí poner la sede de su gobierno universal, toda una gran tragedia.

Me llamó la atención que varios de los canales de información por los cuales recibí la información, están relacionados con Profesionales de la Seguridad de Información.

Con esta base de narrativa procedo a realizar mis observaciones a todos los participantes tanto en la custodia de la información, los primeros respondientes, y los llamados profesionales de la seguridad de la información.

Mucho del contenido de este artículo forma parte de los entrenamientos que nuestra empresa ofrece en lo relativo a Seguridad de Información, Gestión de Riesgo, Gestión de Incidentes y Continuidad de Negocios.

Por lo regular un equipo, o Comité de Gestión de Incidente es un grupo multidisciplinario donde participan personas de las diferentes áreas de la organización, claro que están las áreas de tecnología que serían el mayor recurso para manejar el problema técnico, pero no deben faltar los departamentos de Recursos Humanos, por aquellas acciones de personal que pudiera tomarse o decisiones en cuanto a las condiciones del trabajo cuando incidente pueda tener consecuencias en la seguridad de las personas.

El otro grupo que juega un papel importante es la Consultoría Jurídica o el nombre que corresponda según cada organización para la función del manejo de los aspectos legales.

Y la posible gran estrella de todo este equipo lo es nada más y nada menos que Comunicaciones Corporativas, tanto a lo interno como a lo externo porque estos son los que tienen la función de comunicar de tal manera veraz para mitigar el daño que a lo externo le puede crear el incidente en cuestión.

De hecho, se dice que un daño reputacional es un daño a largo plazo, ya que los otros impactos pueden ser superados hasta instantáneamente, según la naturaleza y alcance de los mismos, pero cuando es lo reputacional esto se puede prolongar más allá de lo que se puede considerar aceptable y convertirse en un problema permanente, tanto como para operación como para la recuperación de la confianza.

Definición de Crisis

Situación con un alto nivel de incertidumbre que afecta las actividades básicas y/o la credibilidad de la organización y requiere de medidas urgentes.

  • Las crisis no siempre implican interrupción de la actividad empresarial o amenazas directa a la vida, la propiedad o los activos.
  • Sin embargo, casi siempre son un reto a la reputación de una organización y su marca, incluso si es solo a través de demostrar fortaleza o liderazgo efectivo.
  • Las crisis pueden llegar a ser altamente politizadas y estar sujetas a un intenso escrutinio del público y de los medios.

Resulta, que según las mejores prácticas, tales de la norma Internacional ISO/IEC 27035 que es una Guía para la Gestión de Incidentes de Seguridad de Información, puede demandar la activación del proceso de Gestión de Crisis, que se activa para responder a aquellos casos que tienen una naturaleza compleja y que requieren de una manejo muy especial.

Uno de los objetivos principales de un Plan de Gestión de Incidentes es disponer de procedimientos específicos y probados para los diferentes escenarios que puedan identificarse como probables en una organización.

De esta manera se podría disponer de una respuesta programada, oportuna y metódica, donde se considere que hacer en cada caso, disponiendo inclusive de los borradores pre aprobados por la alta dirección y el área de comunicaciones corporativa, de tal forma que cuando se presente la situación que corresponda a un escenario particular solo haya que seguir las instrucciones y posiblemente solo cambiar las fechas y alguno que otro dato relevante en el incidente que se encuentre en curso.

Para cada uno de estos planes de acción se crean procedimientos que pueden ser conocidos como recetas tipo recetas de cocina, ya que tienen una serie de instrucciones paso a paso, mejoradas a través del tiempo, que ayudarán a la respuesta correcta que logre los objetivos en cada caso.

Algunos escenarios básicos a tener en cuenta:

  • Avería que afecta centro de datos y por lo tanto interrupción de todos los servicios de la organización
  • Avería que afecta sistemas clave que impiden proveer el servicio a procesos importantes del negocio
  • Contaminación con programas maliciosos, ataque de virus
  • Robo o acceso no autorizado a la información
  • Fraude en servicios financiero
  • Compromiso de la privacidad de los usuarios

Dependiendo de la naturaleza de la organización el número de posibles escenarios podrá diferir de los que hemos sugerido como los más frecuentes.

Veredicto del evento

Si se fijan ya para este momento me estoy refiriendo al evento, ya que desde el punto de vista de las organizaciones de intermediación financiera nunca llegó a materializarse el incidente, debido a que la información vertida en el sitio de divulgación no fue exfiltrada, o extraída de los sistemas de información de las entidades financieras sino que los mismos usuarios, los propietarios de la información, o terceros que pudieran fungir como custodias, fueron quienes la entregaron, posiblemente,  mediante manipulación por medio de ingeniería social, quizás un ejemplo clásico de un caso de phishing.

Para ver más información acerca del phishing, les recomiendo visitar el siguiente enlace.

https://youtu.be/xDdVnRHO3CE

Llamado a nuestros colegas de Seguridad de Información

Como regla de oro de la Gestión de Incidentes, es confirmar si verdaderamente es un incidente para evitar aquello de los falsos positivos, que son aquellas situaciones que parecen indicar la ocurrencia de un incidente cuando realmente no lo son.

En este caso muchos de la comunidad formaron parte de la propagación de la información, que al final no resultó ser un incidente.

El problema no es que se comparta la información de que se habías publicado datos de cuenta habientes incluyendo los números de las tarjetas de código, sino que una buena parte de la comunidad asumió que fue un hackeo, por lo que estuvieron esparciendo información posiblemente, falsa, incompleta y sin confirmar.

Al recibir información de más de una fuente procedí a confirmarlo de la mejor manera como me fue posible, y procedí a compartir la información correcta con las personas que me seguían preguntando al respecto y no seguir propagando una información que lucía estar basada en suposiciones.

Un detalle interesante es que estaban propagando un enlace hacia un sitio que estaba difundiendo información ilegal y que sin ningún problema podría ser una trampa para contaminar los visitantes a este sitio.

Es decir, se pudiera estar dirigiendo a la población a una trampa, y parte de los referentes son de la comunidad de Seguridad de Información.

Lecciones aprender de este posible incidente.

  • Al parecer las personas contactadas, o las que brindaron información no manejaron el concepto de crisis, y se limitaron las dos o tres líneas que les ofrece Twitter sin darse la oportunidad de comunicar de manera completa el mensaje que querían dejar.
  • Al parecer no comprendieron que la preocupación básica era si sus sistemas habían sido comprometidos, que es en sí lo que causaría el problema reputacional. No me quedó claro el objetivo de la comunicación.
  • Al parecer, las respuestas que se ofrecían dejan intacta la pregunta inicial ¿te hackearon si o no? Y se concentran en la validez o activación de las cuentas
  • El que se desactivaran las cuentas como medida proactiva de protección de los clientes pudo ser explotado a favor de la entidad, pero por la forma en que fue manejada parecería que estuvieran asumiendo el hecho como un ataque a su infraestructura y no a clientes que entregaron su información mediante el engaño.
  • Aunque las redes sociales sean parte del futuro, su credibilidad es cuestionada o simplemente no alcanzan el grueso de la sociedad, por lo que siempre se deben evaluar si cumplieron los objetivos de la comunicación al usar un medio u otro.
  • Al parecer, este tipo de incidente no tiene un plan de comunicación concreto, por eso la poca efectividad

Por la notoriedad y nerviosismo que provocó esta brecha de información de usuarios comprometidos, quizás mediante alguna técnica de ingeniería social, este era el mejor momento para lanzar una campaña masiva de concienciación acerca del phishing y otras formas de ingeniería social.

El propósito de una campaña de conciencia es compartir información básica que sea lo suficiente como para producir un cambio de actitud hacia la Seguridad de Información de parte de la audiencia ¿cuando es que se dará inicio a este tipo de campaña que permee toda la sociedad dominicana?

¿Por qué fallan los Programas de Gestión de Incidentes?

  • No tienen la visibilidad de todas las areas
  • A veces se considera que solo son asunto de Tecnología y Seguridad de Información
  • La alta dirección no participa de ellos
  • No se identifican los objetivos a lograr
  • No existen las recetas para cada escenario debido a que carecen de escenarios
  • el área de Seguridad de Información no cree en ellos
  • Tecnología de Información no cree en ellos
  • No se tiene entendimiento de la crisis
  • La peor estrategia de comunicación es la no comunicación, la comunicación parcial, posponer la información o esconder la magnitud de los hechos
  • No está ensayada
  • Los planes no son actualizados
  • A veces se crean solo para salir del paso
  • El personal no ha sido debidamente entrenado acerca de como manejar y responder frente a este tipo de situaciones
  • Lo último, pero no lo menos importante, no se considera el daño reputacional como un daño a largo plazo y más costoso que otros tipos de impacto.

Conclusión

Finalmente, al parecer el proceso de Comunicación de Crisis no logra el objetivo principal, mantener la credibilidad de la organización y una imagen positiva frente a todas sus audiencias identificadas frente a la adversidad, y el aumento de la confianza en la robustez de las prácticas y controles de seguridad del sistema financiero.

Luego del fracaso comunicacional previo a la llegada del huracán George por las autoridades del momento, la sociedad dominicana quedó en un estado tal de intranquilidad, que ante el rumor de un maremoto que a la fecha no se sabe dónde o con quién se inició, en diferentes partes del país las personas hicieron lo propio para ponerse a salvo según los medios de que disponían y una gran cantidad de personas salieron huyendo se sus hogares y se dirigieron a las zonas más altas donde se estimaba que no llegarían los efectos, las olas destructivas del maremoto.

Todavía a la fecha de hoy se tiene como un referente sobre la desconfianza natural que hay que tener sobre los esquemas de comunicación cuando estos no son manejados de manera correcta.

Esta es una buena oportunidad para actualizar los planes de Gestión de Incidentes, probarlos, atender las realidades de comunicación de manera oportuna y prepararse para los próximos eventos, que seguramente no serán tan amistosos.

El autor es entrenador certificado de varias capacitaciones basadas en normas ISO, además es un consultor de Ciberseguridad tanto a nivel nacional como internacional.

Para ver más información sobre este tema visita www.cyborg.com.do/isoim27035

Puede ser contactado en d.robles@cyborg.com.do

 

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*