4.5 Otras consideraciones técnicas
03
4.6 Gestión de la comunicación
Como venimos repitiendo a lo largo del capítulo, la recuperación de la actividad ante un incidente de seguridad supone un proceso empresarial completo, además de técnico, por ende, la gestión de la comunicación forma parte fundamental de una adecuada respuesta.
Pero ¿qué entendemos por “comunicación”? Aquí tomaremos el significado amplio considerando todos los contactos y las notificaciones que establecen interlocutores y canales autorizados de la organización para responder al incidente, desde que se detectan los primeros indicios del incidente hasta que se decreta el cierre.
En este punto, es tan importante que la gestión de la crisis se realice de forma adecuada como que se perciba de esta forma por la opinión pública y de las partes interesadas de la organización (ej.: clientes, colaboradores, accionistas…). Sobre estos últimos, es imprescindible que durante la preparación del plan de respuesta ante incidentes y antes de que se materialice un incidente de seguridad, la organización identifique quienes son estas “partes interesadas”, así como las personas que actuaran desde el lado de la organización y desde el otro lado cuando se produzca un incidente;
algunos ejemplos de partes interesadas serían:
• Asociados y accionistas.
• Clientes.
• Profesionales de la organización:
o Dirección.
o Profesionales no directivos.
o Otros profesionales.
o Representantes de los trabajadores.
• Proveedores de servicios.
• Administración pública (ej.: fuerzas y cuerpos de seguridad, inspectores…).
• Compañía aseguradora.
• Otros (ej.: compañía aseguradora…)
Es recomendable que la organización designe a una persona para el liderazgo del plan de comunicación, en este sentido puede ser el Área de Comunicación u otra área que la organización considere adecuada, pero, en todo caso, para la consecución del plan se deberá involucrar, además del Área de Comunicación, al Área de Asesoría Juridifica, Privacidad, Cumplimiento, TI y Seguridad de la información, así como otras áreas que pudieran verse impactadas por el incidente.
Durante la crisis es imprescindible que haya un único discurso compartido por los distintos miembros de la organización, que exista transparencia y se pongan en valor las acciones realizadas informando de forma periódica a las partes interesadas de las acciones llevadas a cabo.
52
4.7 Lecciones aprendidas
Para ayudar con la resolución de los incidentes de seguridad, existe un decálogo de aspectos a tener en cuenta en las estrategias de gestión de incidentes:
1. Decir siempre la verdad evitando emitir juicios personales sin base en criterios profesionales. Nunca mentir.
2. El silencio no es rentable. Toda información sobre el incidente y/o activos afectados puede ser de valor. Ocultar información u omitirla por creer que puede ser inútil puede ser perjudicial para el desarrollo de la resolución del incidente.
3. La crisis como oportunidad. Una vez superada, la crisis -al igual que ocurre, por ejemplo, con la gestión de quejas- es una excelente oportunidad para corregir errores y poner los medios para evitarlos en el futuro. Ya que la hemos sufrido, aprovechémosla.
4. La clave: prevención. La correcta gestión de una crisis comienza con su prevención. Cuanto mejor preparados estemos, más ahorraremos posteriormente en daños económicos y de reputación.
5. Proactividad. Es indispensable que exista una clara dirección de la crisis desde el primer momento, los roles de liderazgo en cada una de las etapas deben estar definidos y comunicados a todas las partes que intervienen en el plan de gestión de incidentes para evitar el caos, desorganización o parálisis cuando se produzca un incidente.
6. Transmitir confianza. En todo momento es importante que las partes interesadas mantengan la confianza en la organización, por lo tanto, se debe prestar especial cuidado en las acciones y comunicaciones que se les realicen.
7. Comité de crisis. Las personas que lo integren deben saber en todo momento qué deben hacer para no dejar nada a la improvisación y deben estar informadas de todo lo que está sucediendo entorno al incidente de seguridad.
8. Comunicación interna y externa. Muy centrada en la externa, la comunicación de crisis no debe descuidar su versión interna para evitar que los empleados de una organización, (ej.: publicaciones ilícitas en la prensa).
9. Gestión de las emociones. La gestión de otro tipo de aspectos, incluidos los económicos, debe quedar en un segundo plano cuando nos enfrentamos a una crisis que afecta directamente a personas, especialmente en casos de gravedad.
10. Manual de comunicación de crisis. Es importante disponer de una guía sencilla y práctica como herramienta básica para afrontar cualquier crisis y saber en cada momento quién hace qué y con qué propósito.
Con lo anterior, a pesar de ser una de las partes más importantes de la respuesta a incidentes ya que nos ayuda a identificar los puntos fuertes y aspectos de mejora en el plan de gestión de incidencias, las lecciones aprendidas a menudo se omiten al finalizar la fase de recuperación del incidente y esto puede ocasionar que se repitan errores
03
Una vez concluida una crisis, los equipos de respuesta a incidentes deben valorar las acciones llevadas a cabo para la detección, contención y respuesta del incidente para obtener conclusiones y aprendizajes que les permitan mejorar y optimizar futuras respuestas a otros incidentes. En esta línea, diferentes normas (ej.: ISO/IEC 27001) abogan por celebrar comités de lecciones aprendidas en los que deberán participar los integrantes de los diferentes equipos que hayan intervenido en la respuesta de un incidente y donde se deberían tratar aspectos cómo:
• Causas y evolución del incidente, ¿qué ocurrió exactamente?
• Valoración del papel del personal técnico y directivo en sus respectivos roles.
• Valoración de las políticas y procedimientos de gestión de incidencias (y otros de apoyo) previamente definidos y utilizados en el tratamiento del incidente.
• Valoración de las medidas y los controles existentes.
• Acciones ejecutadas que fueron efectivas y acciones innecesarias o podrían haberse realizado de una forma más óptima.
• Acciones efectivas y mejoras en el plan de comunicación.
• Acciones efectivas y mejoras en la coordinación entre las personas y áreas involucradas.
• Acciones preventivas y correctivas para prevenir incidentes similares en el futuro.
• Herramientas o recursos adicionales que se necesitan para detectar, analizar y mitigar futuros incidentes.
Además de la celebración de comités, otra táctica para extraer lecciones aprendidas de incidentes de seguridad es la de usar un cuestionario de autoevaluación similares al siguiente:
• ¿Cuál ha sido su rol en este incidente?
o Formo parte del equipo de respuesta a incidentes de seguridad.
o Formo parte del Comité de Continuidad (o órgano similar de coordinación si existe).
o No estoy en ninguno de los casos anteriores.
• Describe los puntos fuertes sobre la gestión de este episodio que quieras destacar (ej.:
aspectos técnicos, de coordinación, de comunicación...).
• Indica oportunidades de mejora detectadas desde una perspectiva tecnológica (si las has identificado).
• En el caso de que los conozcas, ¿crees que se han cumplido los niveles de servicio de la organización? (S/N); indica comentarios si procede.
• Indica oportunidades de mejora en aspectos asociados con los procedimientos o de servicio.
• Indica oportunidades de mejora en aspectos asociados con el Plan de comunicación.
54
• ¿Crees que habría sido necesario implicar a algún otro interlocutor en la gestión del incidente? En caso afirmativo explica por favor el motivo.
• Otros aspectos que quieras destacar.
4.8 Acciones generales
Este apartado recopila, a modo de puntos de control, las distintas acciones y tareas que deben ser ejecutadas en cuanto es declarado un incidente de ciberseguridad.
Los prerrequisitos básicos para agilizar la gestión del incidente son:
• Inventario de activos:
o Nombre de máquina, direcciones IP, responsable, clasificación de criticidad o sensibilidad de la información.
o Inventario de conexiones remotas (usuarios y accesos de proveedores / clientes).
o Listado de propietarios de los activos.
• Mapa de servicios (relaciones entre activos).
• Arquitectura de red y de sistemas con identificación de flujos de tráfico más importantes.
• Lista de contactos de los diferentes departamentos involucrados (ej.: listado de administradores, responsables de los negocios, proveedores...).
• Lista de contactos de los proveedores de los servicios críticos, así como servicios de soporte y servicios de seguridad de la información (incluyendo los proveedores de servicios de respuesta ante incidentes).
• Póliza de ciberseguro (coberturas y franquicias).