Inicio / Blog / EVOLUCIONAR: la capacidad de las organizaciones para adaptar y mejorar sus servicios tras un ciberataque

EVOLUCIONAR: la capacidad de las organizaciones para adaptar y mejorar sus servicios tras un ciberataque

Publicado el 25/11/2021, por INCIBE
IMC: meta evolucionar

Toda organización debe estar preparada para que, tras el impacto de un ciberataque, cambie, mejore y adapte sus procesos y servicios. Por este motivo es necesario proteger los principales procesos de negocio a través de un conjunto de tareas que permitan a la organización evolucionar tras un incidente grave para rediseñar sus estrategias y minimizar el posible impacto de futuros ciberataques. Además de mejorar la seguridad de nuestro servicio, permitirá mitigar el impacto financiero y de pérdida de información crítica y repercutirá positivamente en nuestra imagen y reputación como empresa.

El modelo de Indicadores para la Mejora de la Ciberresiliencia (IMC) es un instrumento de diagnóstico y medición especialmente diseñado para ayudar a las organizaciones a autoevaluar su capacidad de anticipar, resistir, recuperar y evolucionar frente incidentes. Estas son las cuatro metas de la ciberresiliencia, la clave para reponerse ante los ciberincidentes. La capacidad de evolucionar permite determinar si una organización está preparada para adaptarse y mejorar sus procesos y servicios tras el impacto de un ciberataque. Para medir los objetivos de esta meta se analizan sus dos dominios funcionales: la gestión de la configuración y de los cambios (CC) y la comunicación (CM).

Evolucionar: Cambiar las funciones y las capacidades con el fin de rediseñar las estratecias, a fin de minimizar los impactos negativos de los ciberataques reales o previstos.

Gestión de la configuración y de los cambios

El dominio funcional de gestión de la configuración y de los cambios, enmarcado dentro de la meta evolucionar, mide la capacidad para mantener la integridad de todos los activos de nuestra organización (tecnología, información e instalaciones) que son necesarios para proporcionar los servicios esenciales. A continuación, se muestran algunas acciones que nos permite alcanzar este dominio:

  • Gestionar la configuración de los activos de información y tecnológicos. Con este proceso se implantan los procedimientos para la gestión de las configuraciones de los componentes y equipos informáticos o tecnológicos, asociados al sistema que hace posible la provisión del servicio esencial, de forma que se facilite su restablecimiento aceptable tras un ciberincidente de consecuencias graves. En este sentido, se recomienda implantar mecanismos con los que detectar cambios en dichos activos, ya sea a nivel de políticas y procedimientos, técnicos (software de gestión de cambios), o físicos, como inspecciones o auditorías.
  • Probar los cambios en los activos tecnológicos antes de pasar a producción. Se deben probar los cambios aplicados en los sistemas mediante el uso de procedimientos formales de control de cambios. La revisión técnica de las aplicaciones antes de dichos cambios es sumamente importante para asegurar que no existan degradaciones o interrupciones en el servicio. Cada vez que se identifique un cambio, se deberá diseñar y ejecutar el conjunto de pruebas para asegurar que no haya ningún impacto negativo en las operaciones o seguridad de la organización.

Comunicación

El objetivo general de este dominio funcional es establecer procesos que garanticen la comunicación entre responsables involucrados en la operación de los servicios esenciales, tanto internos como externos a la organización. Para ello, se recomienda:

  • Establecer mecanismos de comunicación externos a la organización en materia de ciberresiliencia. Por ejemplo, aquellos utilizados para comunicarse con clientes, proveedores externos (servicio en la nube), asignar responsables y canales de comunicación con INCIBE o las Fuerzas y Cuerpos de Seguridad del Estado u otros servicios de emergencia. Estos mecanismos deberán evaluarse para analizar si resultan eficaces y si se emplean con regularidad. En este sentido, es recomendable utilizar los canales habilitados y crear buenas prácticas para la comunicación de ciberincidentes.
  • Garantizar la disponibilidad de los canales de comunicación internos o externos requeridos por el servicio esencial. El objetivo es garantizar que, en caso de interrupción, los mecanismos necesarios para establecer las comunicaciones oportunas con los actores indispensables para recuperar la provisión del servicio esencial, existen y funcionan. Se trata de verificar, por ejemplo, que se puede comunicar el incidente a quien corresponda para su resolución. Por ello, es recomendable establecer procedimientos de verificación de las comunicaciones.
  • Comunicar la estrategia de continuidad a toda la organización. Esto permitirá conocer si las delegaciones de autoridad y asignaciones de responsabilidad se han llevado a cabo satisfactoriamente (con la difusión y transferencia requeridas), a fin de que todo el personal involucrado las conozca, y reconozca en quién o quiénes recae la autoridad en todo momento. En este sentido, existen varias recomendaciones para las empresas:
    • Establecer, verificar y mejorar un procedimiento para la asignación y comunicación de responsabilidades y autoridades dentro del Plan de Continuidad de Negocio (PCN) a todo el personal implicado.
    • Garantizar la comunicación de responsabilidades y autoridades dentro del Plan de Continuidad de Negocio (PCN) a todo el personal implicado, que conoce sus funciones y responsabilidades.
    • Garantizar que la estrategia de continuidad es comunicada y entendida dentro de la organización, así como la importancia de cumplir con dicha estrategia.
    • Comprobar que los cambios o variaciones de requisitos legales son comunicados a los empleados y otras partes interesadas.

Para profundizar en este tema, recuerda que puedes recurrir a la norma ISO/IEC 27001:2017, el Esquema Nacional de Seguridad y la Legislación Nacional y Europea, así como su desarrollo (la Directiva NIS (UE) 2016/1148 y su trasposición al Real Decreto-ley 12/2018).

En definitiva, a pesar de que cualquier organización puede ser susceptible de sufrir algún tipo de ciberataque, lo fundamental es que dispongan de las herramientas y procedimientos necesarios para detectarlos, anticiparse y ser capaz de adaptarse para mejorar las medidas de protección de forma proactiva. Las metas anticipar, resistir, recuperar y evolucionar son estratégicas para asegurar la prestación resiliente del servicio. En particular, la meta evolucionar es indispensable para adaptar la organización de cara a minimizar el impacto de futuros incidentes.