La gestión de cibercrisis.

Si queréis remitiros directamente al documento oficial clicar en el siguiente link.

Para comenzar y a entrar en materia vamos a conceptuar las referencias a crisis y cibercrisis.

Cuando hablamos de crisis nos estamos refiriendo a una situación en un entorno determinado, por ejemplo una organización, que a causa de uno o varios incidentes ha dado lugar a daños tanto para la propia organización como a sus derivados, es decir, a su imagen, a sus trabajadores, a los clientes, etc.

Por ello, cuando hablamos de cibercrisis nos estamos refiriendo a aquellos incidentes, que mediante medios tecnológicos, que han provocado una crisis en una empresa, organización o institución.

De cara a poder actuar de un modo correcto ante una crisis se deben tener en cuenta una serie de factores como:

• La/s amenaza/s que provocan en la organización los incidentes.
• Los factores inesperados, es decir todos aquellos elementos que no habíamos previsto.
• La necesidad de tomar decisiones en poco tiempo y bajo condiciones de estrés.

Tenidas en cuenta estas opciones y actuando de un modo correcto y acorde con la lista de buenas prácticas que este esquema pretende aportar, no se debería tener mayor problema ante la resolución de una crisis, sea del tipo que sea.

Antes de entrar a conocer las buenas prácticas en cuestión, se han de tener presentes dos áreas de actuación distintas.

La primera área es la necesidad de un equipo de respuesta especial, es decir, personal preparado para poder responder de un modo profesional y eficiente ante los primeros momentos de la incidencia así como en momentos sucesivos.

Las actividades que deben llevar a cabo para poder gestionar estos sucesos son:

• Recopilar toda la información posible.
• Analizar dicha información.
• Monitorear el evento.
• Clasificar el peligro que genera.
• Priorizar los sucesos con mayor peligrosidad.

En segundo lugar se han de tener en cuenta que la gestión de la cibercrisis se ha de llevar de manera coordinada, comunicativa y precisa.

Para poder conocer en profundidad cómo se gestiona una cibercrisis debemos plantearnos 5 fases de diferentes alcances: liderazgo, preparación, respuesta, comunicación y cierre. Estas áreas tienen una presencia cíclica, tal y como se presenta en el siguiente esquema.

Dentro de cada una de estas fases se plantean una serie de subfases. Estas se consideran acciones que se han de llevar a cabo para tener éxito en las propias fases y por lo tanto en la gestión de crisis/cibercrisis que pueden perjudicar tanto a una población como a empresas y/o instituciones.

Como plantea el CCN-CERT, con la imagen que se presenta a continuación, podemos determinar una serie de etapas en la gestión de una cibercrisis, en base a ellas se implantarán las recomendaciones que se expondrán en puntos sucesivos.

En esta imagen podemos observar como la prevención, es decir todas las acciones que se toman antes del incidente para poder minimizar los riesgos de este cuando ocurra, forma un papel clave para la resolución de la crisis.

Por su parte durante el periodo en el que ocurre la crisis la opción de una respuesta rápida, eficaz y comunicativa permitirá una mejor gestión y una minimización de consecuencias negativas.

Por su parte, otra de las buenas prácticas que se deben llevar a cabo es tras el incidente. Es decir, tenemos que tener claro que una vez que el incidente finaliza no queda ahí sino que las consecuencias que generan deben concluirse y "cerrarse" de modo que no repercutan en futuro a medio plazo. Por ello son importantes los factores de liderazgo y cierre.

Por último no debemos perder de vista las acciones de liderazgo, aunque puedan parecer triviales y banales para un momento de tensión y duda como en el que desarrolla en mitad de una crisis/cibercrisis, quizás pueda ser el elemento clave para la buena resolución de la misma. Por este motivo debe actuar durante todas las fases.

A continuación, se determinan por cada fase una serie de recomendaciones para poder gestionar la crisis del modo más eficaz posible tras la ocurrencia de un incidente.

Las acciones que se redactan esta fase son consideradas como las más importantes de la gestión de crisis, ya que sin una buena gestión inicial y una buena distribución de las tareas las consecuencias podrían ser estrepitosas en un medio/largo plazo.

A manos del responsable de seguridad es el primer que toma contacto con la incidencia, por lo tanto es el primero y el responsable de clasificar el incidente en base a su gravedad. También es el encargado de reorganizar los pasos posteriores.

La adopción de una serie de valores y compromisos por parte de la empresa, la organización o la institución en cuestión aportan confianza, credibilidad y empatía. Estas cuestiones son básicas para ayudar a superar la crisis, no solo durante la llegada de os incidentes sino también posteriormente en el cierre de la misma.

Otra de las recomendaciones de buenas prácticas en el liderazgo es el control de la situación, esta opción debe comenzar con los directivos. Consiste en asegurar los recursos necesarios para la gestión de la crisis, es decir, contar con los equipos oportunos y la formación de los trabajadores necesaria.

Del mismo modo se refiere a la toma de decisiones, ya que una información controlada protegerá a la empresa en todos sus niveles.

Esta segunda fase tiene el objetivo de la prevención, es decir, anteponerse tanto formativamente como en organización de medios para estar preparado ante una posible crisis.

Partiendo de la premisa de que le riesgo cero no existe, lo que debemos pretender en esta fase es minimizarlo lo máximo posible. Para ello se debe tener en cuenta la prevención, es decir, la capacidad de preposicionarse la empresa, la organización o la institución ante un incidente. De este modo se pretende identificar las áreas más vulnerables que puedan dar lugar a situaciones de riesgo, de este modo también se minimiza el impacto lo máximo posible.

Existen varios planes y protocolos de gestión de crisis, ejemplos: ISMS4, ISO 27001, ISO 22301 o BCM5.

Con estos protocolos y el esquema que estamos exponiendo se redactan las responsabilidades de forma clara y precisa, así como la formación de empleados y la comunicación tanto interna como externa.

Una de las partes más importantes a la hora de prevenir una crisis, es decir de estar preparado para ella, es la configuración del comité de crisis. Este comité es el máximo órgano de tomas de decisiones a la hora de responder ante un evento y en momentos sucesivos. Tenemos que tener en cuenta que no siempre se van a requerir sus servicios, solo en aquellos casos más graves.

Tareas del comité de crisis:

• La tarea principal de este comité es agilizar el proceso de toma de decisiones para resolver incidencias
• Tomar y gestionar las prioridades.
• Formular las tácticas y estrategias a seguir.
• Liderar los equipos de actuación.

Según el plan proyectado por el CCN-CERT, la composición del comité de crisis debería ser el siguiente.

Las responsabilidades que tiene este comité vienen determinadas en el siguiente cuadro.

Desde el punto de vista operativo, el comité de gestión se adecua según el nivel de ciberataque. El nivel de cada ciberataque se observa según el impacto y el riesgo.

FORMAS DE ACTUACIÓN DEL COMITÉ DE CRISIS.

Dependiendo del ciberincidente que se dé trabajará un equipo u otro, para los ataque de peligrosidad baja o media, únicamente interviene el RSI ( responsable de la seguridad de la información), con una posible intervención del equipo plata si fuese necesario.

Para ataques de peligrosidad alta/muy alta y crítica, intervienen el comité oro y plata conjuntamente, incluso pueden aportar ayuda el equipo bronce.

Del mismo modo es necesario tener en cuenta que una cibercrisis puede o no resultar objeto del comité, es decir, a pesar de estar en cierto riesgo no es suficiente como para convocar el comité de crisis.

Una de las claves en la gestión de crisis es probar los planes, procedimientos y configuraciones. De este modo se pretende evaluar la superficie física de la organización y las vulnerabilidades que puedan existir.

En esta línea para poder hacer frente a las posibles ciberamenzas se debe tener un equipo lo suficientemente capacitado para ello. Por ello se realizan diferentes eventos de simulación, es una técnica de entrenamiento y preparación para los trabajadores.

Los Stakeholders son los llamados grupos de interés, estos son el conjunto de personas o grupos del entorno organizativo que pueden verse afectados a causa de las actividades que desarrollan.

Por lo tanto son grupos que se pueden ver tanto o más afectados por una incidencia y por tanto una posible crisis o cibercrisis como la propia organización, empresa o institución. Esto puede provocar posibles consecuencias muy perjudiciales para la empresa en un futuro.

Por ello es necesario desarrollar el gráfico de Stakeholders, de este modo se plasma, visualiza e identifica de forma jerárquica aquellos posibles afectados y se puede trazar un plan atendiendo a su riesgo.

Los posibles afectados pueden dividirse en 3 áreas.

1. Internos: Sindicatos, accionistas, empleados, familiares, etc.
2. Externos: Clientes, proveedores, inversores, organismos, etc.
3. Medios de comunicación: como periódicos o medios online.

Dos autoridades que destacan en la gestión es:

El CERT de cada país: como proveedor de servicios y gestor de incidentes de seguridad.
Autoridad de gestión de Ciberseguridad a nivel nacional.

En la siguiente fase se muestran los pasos a seguir para gestionar y resolver los posibles incidentes que conformen la crisis o la cibercrisis.

En primer lugar se debe realizar un diagnóstico inicial que consiste en recabar las primeras informaciones de lo que está sucediendo, de este modo encontramos una primera aproximación a las circunstancias que conforme se vaya profundizando en ellas se irá actualizando y completando dicho diagnóstico.

El primer diagnóstico debe notificarse al CERT, de este modo se tendrá constancia de lo ocurrido y podrán aportar apoyo en línea, instrucciones específicas y herramientas para solucionar el problema. Así, se puede limitar el impacto del ataque incluso antes de implantar soluciones técnicas.

Establecer un comité coordinado evita la improvisación y por tanto disminuye el riesgo de fracaso.

La coordinación es una parte fundamental de la toma de decisiones y la comunicación, ya que sin ella podría perjudicar la imagen de la empresa, organización o institución además de perjudicar aún más en la crisis que se está sufriendo.

Dicha coordinación suele depender de los valores de la organización, pero también dependen de:

Valores de la organización y su cultura.
Identificar riesgos y determinar planes de acción.
El grado de entrenamiento del comité.
Stakeholders.

Para evitar una postura pasiva por parte de la organización, el tener contratada a una empresa de servicios que cumpla con los requisitos o necesidades que la propia organización no pueda aportar, es fundamental ya que de este modo la respuesta ante una cibercrisis será rápida y eficaz.

Por otro lado la respuesta rápida ante el primer indicio de crisis/cibercrisis es fundamental, ya que la toma de decisiones de forma proactiva y sin dilaciones permitirán a la organización resolver la situación sin comprometer, aún más, el riesgo al que esta se expone.

Las opciones que se redactan a continuación, consiste en tener la capacidad de transmitir la información de forma clara, sencilla y sincera tanto de forma interna como externa.

Se debe determinar el tipo de información a brindar, según el tiempo y la prioridad de los actores implicados.

Por ello la mejor fuente de información debe ser la propia organización, empresa o institución. De este modo se evitarán los bulos y transgresiones de la información elegida por el comité de crisis.

El discurso debe ser unificado, coordinado y proactivo, por lo que es fundamental la figura del portavoz.

Las características que deben tener el mensaje son:

Transparencia; no negar la realidad.
Plasmar la organización, institución y/o empresa como fuente de información fiable.
Mostrar una actitud de serenidad y confianza, así como de compromiso por parte de todos los empleados.
Asumir responsabilidades.
Estar atentos a todas las acciones realizadas.
Asegurarse de la viabilidad de las acciones tomadas para la resolución del problema.

Una negativa o un sesgo de la información acerca del incidente es perjudicial para la empresa.

Mantener la transparencia durante una crisis no es fácil pero es beneficioso, ya que permite mejorar la credibilidad y reputación de la empresa a largo plazo.

A pesar de ello no es necesario publicar toda la información acerca del incidente desde un primer momento sino que conforme pase el tiempo y se aporten más datos y conclusiones sobre las circunstancias mayor credibilidad y acierto tendrá la empresa no solo en su exposición de los hechos sino también en su respuesta.

Consiste en evaluar todas las medidas que la organización ha tomado desde la coordinación preventiva con el CERT hasta la formulación de planes.

Por lo que se debe demostrar y valorar la capacidad de la organización en la resolución de problemas.

En esta última fase no solo se han de tener en cuenta el cierre de las incidencias ocurridas sino también el cierre de sus consecuencias en un plano futuro de medio/largo plazo.

Para cerrar la crisis no basta con solucionar los problemas, sino que es necesario dedicar el tiempo y los recursos necesarios para evaluar el daño y recopilar las lecciones aprendidas de cara a posibles incidencias futuras.

Por lo que para cerrar, verdaderamente, una cibercrisis/crisis es necesario realizar los siguientes pasos:

Realizar un análisis relevante.
Sacar conclusiones una vez obtenida toda la información.
Definir futuros planes de acción, mejorar los actuales o mantenerlos.
Controlar la implementación de dichos planes.

Esta recomendación está relacionada con el anterior, ya que es necesario enfatizar en resumir lo sucedido e implementarlo en el formato específico de objetivos futuros.

Además de que no serviría de mucho solucionar los incidentes y no mejorar la gestión para posibles futuros.

Conclusiones.

Una de las primeras conclusiones que podemos aportar es que las probabilidades de que se produzca un evento que cause un impacto negativo en una organización, empresa o institución, van a depender del nivel de preparación de la organización. Es decir, de los métodos de prevención y la capacidad preventiva de esta.

En cuanto a la concienciación y la formación del personal y los empleados es fundamental, a pesar de ello tenemos que tener presente que aún en tiempo de desarrollo tecnológico, no es la suficiente lo que pone de manifiesto las prioridades de la organización y/o la insuficiencia de recursos.

Por otro lado, en muchos casos el rol del RSI no está lo suficientemente determinado y valorado, lo que podría provocar un aumento inconsciente de las consecuencias negativas de la crisis.

Otra de las prioridades que ha de tener una organización, empresa o institución es la comunicación, este sistema es fundamental para manejar de forma correcta una crisis. Esto se debe a que todos los grupos de interés o partes interesadas se han debido de identificar previamente y han estado preparándose y formándose para poder gestionar la comunicación de la manera más eficaz posible. Por ello, es necesario que los diferentes miembros de la organización, empresa o institución compartan una misma idea sobre la crisis en cuestión, de este modo se mostrará una total transparencia y la asunción de responsabilidades.

Por último, no podemos obviar la necesidad de notificar al CERT y a la mayor brevedad posible, el incidente aunque sean los primeros momentos de este. De este modo los expertos podrán proporcionar soluciones para resolver el incidente y minimizar su impacto.

Tampoco podemos dejar de lado la necesidad latente de invertir en Ciberseguridad, ya que no solo permitirá estar preparado tanto formativa como técnicamente sino que minimizará el impacto en los servicios de la empresa y protegerá la reputación de la organización y/o institución.

• Escuela internacional de criminología y criminalística. Gestión de cibercrisis.
• Buenas prácticas en la gestión de crisis. Institut Cerdá. Diciembre de 2018.
• CCN-CERT BP/20.