Como dice nuestro acertado refranero español “más vale prevenir que curar”. En la actualidad tecnológica que vivimos se ha convertido en requisito indispensable, para toda organización, contar con un correcto sistema de prevención y gestión de incidencias y brechas de seguridad que puedan comprometer o incluso suponer la pérdida total de información importante para las mismas, sin hablar de las inevitables consecuencias que supondrían tanto para la continuidad de negocio como a nivel reputacional.
En marzo de este año, se decretaba un estado de alarma por crisis sanitaria COVID-19, que hizo que miles de empresas y entidades tuvieran que recurrir, de manera “forzada”, al teletrabajo con el fin de seguir ofreciendo sus servicios y productos a clientes y potenciales clientes.
La falta de previsión y de una correcta implementación de recursos técnicos en las empresas, han provocado importantes incidencias de seguridad, así como el incumplimiento reiterado de la normativa en materia de protección de datos, véase Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD) entre otras.
Atendiendo y para intentar evitar tropezar dos veces con los mismos incidentes y brechas de seguridad ya vividos, os dejo una sencilla hoja de ruta en fases que, espero, sirva para implementar/mejorar procedimientos internos de gestión al respecto, así como reducir los riesgos ante un cibeincidente. La idea es que sea útil tanto en modo teletrabajo como en sede de la entidad.
Para ello he tomado como base el Anexo del INCIBE procedimiento de gestión ciberincidentes para el sector privado y la ciudadanía., entre otras fuentes detalladas a lo lardo de la exposición del artículo.
PRIMERA FASE. LA PREVENCIÓN.
Sin duda la fase más importante de todas, como bien indica el INCIBE, “una buena anticipación y entrenamiento previo pueden ser la diferencia entre una gestión eficaz de un incidente o un desastre absoluto.”
La fase de prevención deberemos establecerla en tres pilares fundamentales:
- El equipo humano, es por todos sabidos que el usuario es el eslabón más débil cuando se habla de seguridad, por ello es tarea casi imprescindible por parte de las empresas realizar labores de formación y concienciación para que los usuarios sean capaces de hacer un uso responsable de los sistemas, tanto propios como puestos a disposición, y de la información que manejan.
Algunos recursos útiles que nos pueden ayudar son:
- Las infografías, representaciones gráficas que nos ayudarán a que nuestros empleados puedan de una forma visual y sencilla conocer las obligaciones y pautas marcadas por la empresa para garantizar la seguridad y el cumplimiento de las obligaciones establecidas.
- Las píldoras formativas, acción formativa breve pensada para profundizar en una temática concreta con el fin de poder darle un carácter mucho más práctico.
- Las guías de actuación, son herramientas muy útiles que nos ayudarán a, como la propia palabra indica, guiar a nuestros empleados sobre como deben proceder y actuar ante por ejemplo una violación de seguridad.
- “Para muestra, un botón”, contar incidentes reales ocurridos en el pasado, a la propia entidad o a terceras, forman un excelente material para concienciar sobre amenazas existentes y posibles consecuencias de un uso inadecuado de los sistemas de información, marcando instrucciones de lo que se debe y no se debe hacer en el futuro.
Las opciones son múltiples y con ellas además de contar con un equipo humano más formado y concienciado, estaremos cumpliendo con lo establecido en el artículo 32.4 RGPD que indica que responsables y encargados del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable (…)
- El establecimiento de procedimientos internos de cumplimiento. Toda empresa que quiera garantizar la seguridad, confidencialidad e integridad de la información de su empresa deberá implementar un sistema de control interno.
Algunos ejemplos de procedimientos que nos ayudarán a conseguir el fin perseguido aquí son:
- Procedimiento “Bring Your Own Device”- en el que se desarrolle cómo los empleados deben asegurarse de que protegen los datos, documentos y aplicaciones mientras se trabaja desde ubicaciones externas, protección que se extiende tanto en el uso de dispositivos de propiedad de la empresa como propios del personal o usuarios y sin importar si la ubicación.
- Procedimiento de violaciones y brechas de seguridad – en el se desarrolle el modo en que la entidad debe actuar ante las brechas/violaciones de seguridad que puedan producirse dentro de la entidad, robo, pérdida, destrucción etcétera.
- Procedimiento de medidas de seguridad ligada a los RRHH – donde se detallen y documenten las pautas para transmitir, a los empleados con acceso a datos, aquellas medidas de seguridad que han de tener en el tratamiento de datos derivado de su desempeño laboral, reduciendo así el riesgo de robo, fraude y mal uso de los medios.
- Procedimiento de regulación del teletrabajo – un procedimiento hoy en día más necesario, el cual deberá regular la aplicación del teletrabajo, especificando las posibles fases de aprobación interna, así como las principales características, condiciones y recomendaciones establecidas por la entidad para poder realizarlo de forma segura.
De nuevo las posibilidades recogidas son muchas, y todas ellas deberán tenerse en consideración sin perder de vista el Principio de Responsabilidad Proactiva, artículo 5 RGPD, a través de este principio de protección de datos, las entidades están obligadas a demostrar que sus actividades de tratamiento de datos cumplen con los principios relativos al tratamiento de datos, implantando medidas técnicas y organizativas apropiadas a fin de demostrar que los tratamientos que realizan son conformes con el RGPD.
- Directamente relacionado con el Principio de Responsabilidad Proactiva se encuentra el tercer pilar, implementación de medidas de seguridad conforme al estado de la tecnología. El factor humano no es siempre la causa de un posible ciberincidente, existen otras variables que se deben tener en cuenta, como pueden ser las posibles vulnerabilidades en programas o sistemas operativos, programas maliciosos, intrusiones o ataques a través de la red, etcétera. Será necesario conocer estas amenazas y aplicar las medidas preventivas adecuadas para evitar, en la medida de lo posible, que los ataques tengan éxito.
Con el RGPD los riesgos asociados a cada tratamiento será lo que determine las medidas de seguridad a implementar, por ello un correcto análisis de riesgos requiere identificar los activos que gestiona una entidad y las amenazas por las que podrían ser afectados, a partir de aquí́ se debe definir un plan de tratamiento de riesgos que recoja qué acciones se van a realizar para controlar los riesgos previamente identificados durante el análisis, pudiendo ser mitigados, transferidos o aceptados.
El propio RGPD en su artículo 32.1 establece que se deberán aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
SEGUNDA FASE.LA IDENTIFICACIÓN.
A veces resulta imposible gestionar todos los ciberincidentes que pueden llegar a materializarse, sin embargo, existen indicativos de ataque comunes que ayudan a identificar un incidente de seguridad, determinar su alcance y los sistemas afectados. Destacamos los que más nos trasladan en nuestro día a día profesional:
- Correo electrónico: Los ataques de suplantación de identidad a través de correo electrónico han resultado ser una técnica con un elevado porcentaje de éxito y son ampliamente utilizados. Este tipo de ataques puede contener enlaces o ficheros adjuntos maliciosos.
- Uso inapropiado de los activos: La instalación de programas no autorizados, el acceso a paginas web de dudosa legalidad o los posibles descuidos al utilizar documentación confidencial son un origen común de numerosos ciberincidentes.
- Pérdida o robo de activos: La pérdida o robo de documentación o de dispositivos que no cuentan con las medidas de seguridad apropiadas como el borrado remoto o el cifrado de información.
En el momento en que se inicia la fase de identificación es altamente recomendable aplicar políticas de confidencialidad compartiendo la información solamente con aquellas usuarios implicados y autorizados por la entidad. Las comunicaciones cifradas y el almacenamiento seguro de la información se deben tener en cuenta también a partir de este momento.
TERCERA FASE. CONTENCIÓN Y DOCUMENTACIÓN.
En esta fase se busca contener el problema, evitando que el atacante cause más daños como, por ejemplo, comprometiendo dispositivos adicionales o divulgando más información. Es el momento de clasificar el ciberincidente y si el mismo tiene impacto directo en datos de carácter personal deberemos atender a los artículos 33 y 34 del RGPD para valorar la notificación del mismo a la AEPD, para ello conviene registrar y documentar lo ocurrido con ayuda de herramientas de gestión y ticketing, además de llevar a cabo procedimientos de toma y preservación de evidencias para analizarlos y poder utilizarlos en caso de ser necesarios ante la Autoridad de Control u Órganos Jurisdiccionales.
CUARTA FASE. MINIMIZACIÓN DEL IMPACTO.
Tras la contención de un incidente, la erradicación puede ser necesaria para solventar determinados efectos del incidente de seguridad, como por ejemplo, eliminar un malware o desactivar de cuentas de usuario vulneradas.
Algunos ejemplos de tareas de erradicación que nos proporciona la AEPD en su Guía para la gestión y notificación de brechas de seguridad podrían ser:
- Comprobar la integridad de todos los datos almacenados en el sistema, mediante un sistema de hashes por ejemplo, que permita garantizar que los ficheros no han sido modificados, especial atención debe ser tenida con relación a los ficheros ejecutables.
- Revisar la correcta planificación y actualización de los motores y firmas de antivirus.
- Análisis con antivirus de todo el sistema, los discos duros y la memoria.
- Restaurar conexiones y privilegios paulatinamente. Especial acceso restringido paulatino de máquinas remotas o no gestionadas.
Deberá fijarse un plazo para la implementación de las tareas de erradicación para conseguir el objetivo de esta fase.
QUINTA FASE. RECUPERACIÓN.
Solucionado el incidente de seguridad y verificada la eficacia de las medidas adoptadas, se entra en la fase de recuperación, que tiene como objetivo el restablecimiento del servicio en su totalidad, confirmando su funcionamiento normal. Se deberán establecer procedimientos de monitorización y mejora continúa evitando así que sucedan nuevos incidentes basados en la misma causa.
Por último comentaros que en algunos casos para la consecución con éxito de las fases descritas en el presente, resulte necesario solicitar asistencia de entidades externas, como proveedores de servicios especializados en la materia.
