RECUPERAR: la capacidad de las organizaciones para restaurar sus servicios tras un ciberataque

Las empresas deben estar preparadas para prevenir, protegerse y reaccionar ante incidentes de seguridad que puedan afectarles, y que podrían impactar en sus negocios. Por este motivo, es necesario proteger los principales procesos de negocio a través de un conjunto de tareas que permitan a la organización recuperarse tras un incidente grave en un plazo de tiempo, que no comprometa la continuidad de sus servicios. De esta forma se garantiza poder dar una respuesta planificada ante cualquier fallo de seguridad. Esto repercutirá positivamente en el cuidado de nuestra imagen y reputación como empresa, además de mitigar el impacto financiero y de pérdida de información crítica ante estos incidentes.

El modelo de Indicadores para la Mejora de la Ciberresiliencia (IMC) es un instrumento de diagnóstico y medición especialmente diseñado para ayudar a las organizaciones a autoevaluar su capacidad de anticipar, resistir, recuperar y evolucionar frente incidentes. Estas son las cuatro metas de la ciberresiliencia, la clave para reponerse de los incidentes. En concreto, la capacidad de recuperar permite determinar si una organización está preparada para restaurar con éxito sus servicios tras el impacto de un ciberataque. Para medir los objetivos de esta meta, se analizan sus dos dominios funcionales: la gestión de incidentes y la gestión de continuidad del servicio.

Gestión de incidentes

El dominio funcional de gestión de incidentes dentro de la meta recuperar mide la capacidad para identificar aquellos casos de situaciones sospechosas (eventos) susceptibles de convertirse en su conjunto en una violación de seguridad confirmada (incidente). A continuación, se muestran algunas acciones que nos permiten alcanzar esta meta:

• Establecer un proceso para la detección y notificación de eventos. Con este proceso se implantan los mecanismos para identificar eventos, por ejemplo, intentos de accesos no autorizados, tiempos de respuesta altos, incremento en volumen de archivos… en las infraestructuras que soportan el servicio; y para su notificación a los responsables, quienes procederán a su inmediato o posterior análisis. En este sentido, las herramientas de detección automática de eventos en tiempo real, como SIEM (Security Information and Event Management), IDS/IPS (Intrusion Detection and Prevention Systems) o los servicios de un SOC, pueden contribuir en este proceso.
• Establecer un procedimiento para clasificar y valorar ciberincidentes, basado en una tipificación predefinida de los mismos. Disponer de métricas de cada ciberincidente, tales como fecha de detección, fecha de notificación, fecha de resolución y fecha de cierre, puede resultar de gran ayuda para definir esta tipología. Este procedimiento servirá también para informar sobre el cumplimiento normativo de la organización en el caso de auditorías internas o externas.
• Documentar y transmitir los criterios que faciliten a los miembros del personal de la organización la identificación y reconocimiento de un ciberincidente para su reporte y análisis. Es esencial poder apoyarse en metodologías que permitan cumplir con los objetivos marcados. Por ejemplo, puede usarse la Guía nacional de notificación y gestión de ciberincidentes. Con este fin, se ha de establecer una estructura organizativa de respuesta a ciberincidentes o comité de gestión, así como un protocolo formal de escalado de los mismos a los responsables pertinentes. Para revisar y verificar periódicamente que cumples todo lo indicado, puedes elaborar una política.
• Elaborar un procedimiento para el análisis de incidentes que permita identificar las acciones necesarias para su resolución en el menor tiempo posible. Por ejemplo, respondiendo a las siguientes preguntas: ¿qué ha pasado?, ¿a quién afecta (usuarios/clientes/proveedores)?, ¿qué debo decirles?, ¿a quién tengo que avisar?, ¿tiene repercusiones legales o contractuales? o ¿tenemos bajo control los servicios y sistemas afectados?  
  Estimar la capacidad de respuesta ante un ciberincidente a través del tiempo medio en responder al mismo, que puede medirse como tiempo entre el momento de suceso de los ciberincidentes que afectan a un servicio y cuándo se resuelven. En caso de no haber sufrido nunca un ciberincidente, pueden considerarse, por ejemplo, los tiempos obtenidos en las pruebas de continuidad de negocio realizadas. Para este cálculo se recomienda seguir referencias como la Guía de Seguridad de las TIC CCN-STIC 817.
• Conocer y aplicar las vías formales de comunicación de los ciberincidentes, por ejemplo, la Agencia Española de Protección de Datos, las Fuerzas y Cuerpos de Seguridad del Estado, etc. Recuerda que puedes utilizar los buzones de respuesta a incidentes de INCIBE-CERT, en particular si tu organización es un operador crítico del sector privado que ofrece un servicio esencial según la Ley PIC, es decir, «necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas». Es importante notificar aquellos incidentes graves que hayan ocurrido en la organización. Además, si el servicio que provee la empresa está soportado por un Sistema de Control Industrial (SCI), debe prestarse especial atención a los incidentes relacionados con la seguridad física de los elementos SCADA distribuidos geográficamente fuera de la sede de la organización (plantas industriales, al aire libre, etc.).

Gestión de continuidad del servicio

El objetivo general de este dominio funcional es establecer procesos para desarrollar, revisar, probar y ejecutar los planes de continuidad asociados a los servicios, además de establecer procesos para gestionar un nivel adecuado de controles, que aseguren la protección de los servicios indispensables para el correcto funcionamiento de la empresa que dependen de las acciones de entidades externas. Para ello, se recomienda:

1. Respaldar la provisión del servicio que ofrece la organización con un Plan de Continuidad y seguir una disciplina de actualización periódica, actualizándose también cuando se conocen nuevos riesgos o cambios en el entorno organizativo u operativo. Para iniciar este plan, recomendamos los contenidos de este dosier: de contingencia y continuidad de negocio.
2. Probar el Plan de Continuidad para la provisión del servicio de la organización, es decir, verificar que disponemos de protocolos de prueba para el Plan de continuidad del servicio y si es verificado regularmente, a fin de:
   1. Determinar la viabilidad, exhaustividad y precisión del mismo con respecto al servicio que ofrece la organización.
   2. Recabar información sobre el grado de preparación de la organización.
   3. Asegurar que el objetivo de tiempo de recuperación (RTO, Recovery Time Objetive) no solo está documentado, sino que se emplea para garantizar la continuidad del servicio. Comprobar también que el RTO se ajusta a las exigencias de continuidad del servicio que ofrece la organización.

Si el servicio que ofrece la organización se basa en un Sistema de Control Industrial (SCI), que no permite la realización de una parada completa para la ejecución de pruebas del Plan de continuidad, puede plantearse la realización de paradas parciales o por fases; la realización de pruebas sobre una réplica del mismo; o incluso su simulación.

1. Identificar y priorizar las dependencias externas ligadas a servicios públicos, como servicios de emergencia o fuerzas del orden público, que contribuyen, directa o indirectamente, a la provisión del servicio, y las ligadas a proveedores de suministros básicos y de telecomunicaciones, que contribuyen, directa o indirectamente, a la provisión del servicio que ofrece la organización.
2. Identificar y gestionar adecuadamente los riesgos asociados a las dependencias externas, como por ejemplo proveedores de servicios cloud y otros proveedores tecnológicos, que contribuyen, directa o indirectamente, a la provisión del servicio que ofrece la organización, además de priorizar y actualizar los riesgos identificados. De esta forma podremos conocer si, para cada dependencia externa, la organización ha establecido y documentado un conjunto detallado de requisitos que deben cumplir, y cuál es el riesgo de no hacerlo, por ejemplo: caída de la disponibilidad del servicio o del suministro, pérdida de confianza de los clientes, etc.
3. Supervisar y gestionar la operación de las dependencias externas que dan soporte a la provisión del servicio que ofrece la organización. En este caso revisaremos que se realiza con regularidad una supervisión de las operaciones de los terceros que contribuyen, directa o indirectamente, a la provisión del servicio, de modo que quede verificado el cumplimiento de los requisitos de ciberresiliencia pactados entre las partes. Adicionalmente, se debe verificar si dichos requisitos han sido recogidos como parte de las cláusulas que conforman los acuerdos de prestación de servicios externalizados, o Acuerdos de Nivel de Servicio (ANS), alcanzados con dichas entidades. Por ejemplo: el tiempo máximo de no disponibilidad de la infraestructura de los servidores o las penalizaciones en caso de incumplimiento. 
   Para profundizar en este tema, puedes apoyarte en la norma ISO/IEC 27001:2017, el Esquema Nacional de Seguridad y la Legislación Nacional y Europea y su desarrollo (la Directiva NIS (UE) 2016/1148 y su trasposición al Real Decreto-ley 12/2018).

Todas las organizaciones están expuestas a sufrir ataques, pero lo más importante es tener la capacidad de estar preparadas tanto para detectarlos como para anticiparse e implementar medidas de protección de forma proactiva. Las metas anticipar, resistir, recuperar y evolucionar son estratégicas para asegurar la prestación resiliente del servicio. En particular, la meta recuperar es indispensable para recobrar con éxito la normalidad del servicio tras un ciberincidente.