Acontecimiento de ciberseguridad con gran impacto sobre la actividad de la organización y que requiere tomar decisiones rápidas con información limitada. Esta podría ser la definición de cibercrisis, cuya probabilidad de que ocurra dependerá del grado de preparación previa de la organización. Así pues, será muy pequeña si se han tomado un gran número de medidas preventivas; y progresivamente mayor cuanto menor sea el trabajo de prevención llevado a cabo con anterioridad. Así lo pone de manifiesto el reciente documento publicado por el CCN-CERT, denominado Gestión de Cibercrisis: Buenas prácticas en la gestión de crisis de ciberseguridad.
En él se hace hincapié en que, con independencia del origen que cause la crisis, es importante la componente de gestión que su resolución implica. Para ello, la organización afectada necesita haberse dotado de las capacidades y estructuras de gestión adecuadas que le han de permitir abordarla con garantías de éxito. En ese sentido, se identifican dos esferas de actuación:
- Operativa y de respuesta técnica al incidente. Tiene que ver con el motivo que la origina y cuyos efectos inmediatos deben ser contenidos y resueltos por un equipo de respuesta especializado.
- Organizativa y estratégica, en la medida en que su impacto afecta a diferentes ámbitos de la organización. Requiere de una respuesta coordinada a alto nivel, determinando los canales de comunicación con otras unidades o entidades, propias y/o ajenas.
Es fundamental, por tanto, realizar un trabajo previo que haga que la organización esté preparada cuando surja la crisis. Ahí se incluye el análisis de riesgos, el desarrollo de los planes de actuación asociados y la definición de las estructuras de gestión oportunas. Todo ello con la finalidad de estimar el tipo de ciberataque más probable para adelantarse al problema diseñando el modo de gestionarlo.
Buenas prácticas en ciberseguridad
Además de lo anterior, esta guía recoge un decálogo de trece buenas prácticas que se consideran componentes fundamentales del modelo de éxito para abordar una crisis y que está organizado en cinco ámbitos (liderazgo, preparación, respuesta, comunicación y cierre). Todos ellos se basan en análisis detallados de episodios reales recientes de los que se derivan recomendaciones para abordar crisis en general. Y es que, si bien estas buenas prácticas son comunes para todos los casos de gestión de cibercrisis, no todas las crisis provocadas por ciberincidentes exigen el mismo tipo de actuaciones.
Finalmente, incorpora cuatro casos de estudio para mostrar de forma práctica las principales acciones que se han de llevar a cabo ante las situaciones concretas que se detallan.
Buenas prácticas y casos de estudio
Buenas prácticas:
- Liderazgo, valores y control.
- Planes y protocolos estructurales.
- Comité de Crisis. Configuración.
- Control permanente de la superficie de exposición.
- Gestión adecuada de grupos de interés (stakeholders).
- Diagnóstico inicial y escenarios posibles.
- Coordinación.
- Iniciativa y proactividad.
- Discurso unificado y fuente oficial de información.
- Transparencia, empatía y asunción de responsabilidades.
- Puesta en valor de las acciones adoptadas.
- Cierre formal de la crisis.
- Implementación de lecciones aprendidas.
Casos de estudio:
- Ciberespionaje.
- Ransomware.
- Intento de Sustracción de fondos.
- Orientación sobre niveles y criterios de evaluación y clasificación de cibercrisis.
Archivado en:
