Continuidad de Negocio ante un Ciberataque

Según Sophos, se estima que en México los ciberataques generaron pérdidas por 8,000 millones de dólares para el primer trimestre de 2019. Esto es algo así como 5,200 pesos por mexicano al año o 18 veces el presupuesto asignado al programa de Ninis del gobierno actual. La verdad, no lo creo.

Los números de estos cálculos están matizados por los intereses de quienes los generan y por la falta de información; porque seamos prácticos, ¿conoces a alguien que informe institucionalmente sobre un ciberataque y el costo que le generó?

Sin embargo, el sistema financiero mexicano, que tiene ciertos protocolos que elevan la posibilidad de conocer la realidad a partir de sus requerimientos, nos da números más bajos, pero igual de interesantes. Según la OEA (Organización de Estados Americanos) con datos de la CNBV (Comisión Nacional Bancaria y de Valores), reporta que el monto robado por ciberataques en todo 2019, a las entidades financieras mexicanas, fue de 35 millones de dólares, a 5 razones sociales distintas.

Pero no solo es un asunto de la industria financiera, en general, todos los sectores de la industria que cuenten con almacenamiento y procesamiento de información son susceptibles de recibir ciberataques. Sin embargo, por su impacto económico, el sector bancario y financiero son de los más vulnerables a este tipo de ataques cibernéticos (bancos, casas de bolsa, uniones de crédito, etc.). Otros sectores que se ven amenazados por el valor de su información son organismos de gobierno y salud (hospitales y aseguradoras).

En un mundo de estadísticas, los números nos han llevado a perder el sentido de lo que significan realmente. Toma como ejemplo cualquier estadística que escuches diario, tarde o temprano, se normaliza, aun la más trágica.

Para este caso, hablaremos de ciberseguridad como concepto de amenaza, nos enfocaremos en sus efectos y no tanto en su evaluación, y daremos algunos consejos del cómo reaccionar ante una contingencia de este tipo.

Contingencia por Ciberataque

Los ciberataques deben ser gestionados por las organizaciones desde el punto de vista de Gestión de Riesgos e Incidentes de Seguridad, y resultará de gran utilidad que existan marcos de trabajo en apego a estándares y mejores prácticas tanto de Seguridad (como ISO27001 o NIST) que por una parte aseguren la confidencialidad, integridad y disponibilidad de la información, así como de Continuidad de Negocio (como ISO22301) que, de manera complementaria, vigilen el cumplimiento normativo y la resiliencia operativa de los procesos críticos de negocio. El objetivo debe ser el poder identificar, proteger, y detectar estas amenazas, así como responder y recuperar en caso de que ocurra alguna de ellas. Y precisamente en lo que se refiere a recuperar es que llega el tema de Continuidad de Negocio.

Las mejores prácticas de Continuidad de Negocio proponen 4 escenarios de contingencia que pueden afectar a una empresa:

Evidentemente, un ciberataque es causa de los escenarios II y III, al afectar parcial o completamente la capacidad de procesamiento, acceso a la información o comunicaciones entre los sistemas, cuando busca exponer, alterar, desestabilizar, destruir o eliminar controles de seguridad para obtener acceso o utilizar un activo de información sin autorización, generando consecuencias desde daños personales, hasta pérdidas millonarias para organizaciones, además de una evidente afectación operativa y reputacional.

Estrategias de Continuidad de Negocio frente a un escenario II y III

Cuando los sistemas de Información no funcionan, con instalaciones accesibles o no, la estrategia consiste en la reparación de la falla, así como la activación y uso de infraestructura alterna, lo que normalmente se conoce como DRP.

Para efectos operativos, las estrategias deberán enfocarse en:

1. Infraestructura básica: La estrategia es contar con capacidad de generación interna a través de plantas alternas, con la capacidad de combustible suficiente para abastecer al menos por un día de operación los recursos de data center, alarmado y computo principal, y habilitar lo necesario para mantener las recargas de Diesel el tiempo que dure la contingencia.
2. Telecomunicaciones: la estrategia corre con base en la activación de comunicaciones alternas, que no tenga las mismas características del Telco principal, basado en la redundancia de medios, acometidas y carriers. Esto es, si el principal es vía cable de cobre, el alterno debe ser subterráneo por fibra óptica y así con todo lo que implique comunicaciones.
3. Cómputo: La estrategia consiste en tener stock de máquinas y la información en la nube o en servidores y establecer políticas sobre almacenamiento de información solo en los sitios oficiales evitar tener documentos en el escritorio.
4. Aplicativos: En caso de perder aplicativos de negocio, si estos son proporcionados por proveedores, la estrategia se centra en tener un proveedor de respaldo o cómputo de respaldo, que nos habilite los aplicativos en contingencia. En caso de ser aplicativos de Banxico, operar de acuerdo con las disposiciones y manuales de operación, informar a las autoridades de la interrupción y aprovechar los servicios redundantes que ofrece Banco de México.
5. Información y datos: La estrategia consiste en mantener respaldos y que estos respaldos se actualicen periódicamente, algunas regulaciones piden con exactitud como debe ser respaldada la información y pueden aprovecharse técnicas como el 3-2-1.
6. DRP. Mantén un DRP en un ambiente aislado al principal, que actué acorde al RTO y RPO determinado para los procesos que ejecute el sistema, siempre con la idea en la cabeza de que volver a operar no es encender los servidores, sino que el proceso se vuelva a ejecutar. Y para el caso de ciberataques, contempla la sana distancia requerida para que tu sistema principal no contagie a tu DRP.
7. Sitio Alterno de Trabajo: Consiste en proveer a los colaboradores de un lugar con el ecosistema de operación y tecnología donde puedan continuar trabajando en el menor tiempo posible, de preferencia en ubicación de riesgos distintos a los del sitio principal, pero con todas las prestaciones del original.

Regreso a casa

Después de operar en el data center alterno y de generar datos e información, cuando la contingencia haya sido resuelta, la operación tecnológica deberá ser devuelta al sitio principal. Pero para el caso de una contingencia causada por ciberataque, según el ciclo NIST, después de la Recuperación, deberá reiniciarse el proceso de Identificación, que permita conocer el qué, cómo, cuándo y quién de la causa de la contingencia. A diferencia de otros riesgos, las ciberamenazas podrían quedarse a vivir en nuestra infraestructura, esperando otro momento para volver a atacar.

Prepárate porque va a suceder

Tarde o temprano te va a pasar, con mucha o poca afectación, pero sucederá una contingencia, y en este mundo actual, probablemente sea debido a un ciberataque. Durante 2019, el 100% de las contingencias reales detonadas por nuestros clientes fue relacionada a esta amenaza.

Igual que en todo plan, la recomendación es que tu BCP se mantenga vivo y actualizado, y con usuarios y recursos ejercitados. Prueba, prueba y vuelve a probar. Y por supuesto, asegúrate que no serás atacado y que, si te atacan, podrás contener a los maleantes antes de que sea demasiado tarde.

Integral Risk Management & Compliance

Identity Security

Data Privacy Security

Application Security

Infrastructure Protection

Public & Corporate Safety

Cybersecurity Managed Services

Cyberintelligence

Forensic Investigation

Resilience Services

OT Security