馃摙 10 cursos de acci贸n recomendados ante incidentes inform谩ticos como el de CrowdStrike 馃摙

El reciente incidente inform谩tico de CrowdStrike, con rutilante impacto en diferentes sectores de la econom铆a y distintos pa铆ses, nos viene a advertir sobre la virulencia del impacto de los incidentes inform谩ticos sobre las organizaciones.  

En relaci贸n al riesgo de la ciberseguridad se desprende dos verdades incontrastables. En primer lugar el riesgo de ciberinseguridad se encuentra entre los top 3 de los riesgos medidos por el World Economic Forum tanto para la actualidad, como para los pr贸ximos 2 a帽os as铆 como los pr贸ximos 10 a帽os. En segundo lugar, el no menos trascendente impacto de las cadenas de suministro o de valor cuyos eslabones m谩s d茅biles suelen convertirse en la puerta de entrada para intrusiones a otros integrantes de la cadena. El ejemplo m谩s cabal fue el caso SolarWinds (Orion software) en el a帽o 2020.

En este caso el desastre en cadena causado por CrowdStrike no responder铆a a un ataque inform谩tico sino a un error humano que puede llegar a tener similar impacto a si involucrase un ataque malicioso (aeropuertos sin vuelos, pantallas sin servicio, bancos sin tranferencias, trenes sin salidas, garitas de migraci贸n cerradas, apag贸n mundial de las plataformas de Windows Microsoft).

El error interno autogenerado habr铆a consistido en una falla en la actualizaci贸n del software de seguridad del proveedor de Microsoft, CrowdStrike, ha paralizado sus equipos inform谩ticos por todo el mundo. 

Ante la inminencia de este tipo de eventos inesperados no solo se debe reinvindicar la trascendencia de contar con un procedimiento de gesti贸n de incidentes inform谩ticos sino tambi茅n su aplicaci贸n efectiva ante el surgimiento de este tipo de situaciones de las que ninguna organizaci贸n est谩 exenta de verse alcanzada. 


Ante todo se debe reunir el comit茅 de crisis multidisciplinario previsto en la respectiva pol铆tica. Es importante considerar que la seriedad del evento que se enfrenta amerita que no solamente sea competencia exclusiva del sector de IT, sino tambi茅n de los sectores de legales, comunicaciones institucionales, recursos humanos, entre otros.  

Una vez reunido el equipo se debe proceder como m铆nimo a desarrollar estas acciones: 
i) Verificar que efectivamente haya habido alguna afectaci贸n, determinando el alcance de los da帽os comprendidos y los sectores afectados. 
ii) Documentar el inicio de un caso bajo el Plan de Gesti贸n de Incidentes explicando las razones que ameritan la puesta en marcha de este procedimiento. 

iii) Recurrir a los logs y registros para identificar causas del incidente y grado de afectaci贸n de los sistemas. 

iv) Determinar la necesidad de desconecci贸n de aquellos sistemas identificados como comprometidos a los fines de su aislamiento del resto de la infraestructura no afectada.

v) Restaurar el back up con copias de seguridad para levantar sistemas y datos afectados. 

vi) Evaluar la necesidad de cursar aquellas notificaciones que sean mandatorias en virtud de obligaciones regulatorias o compromisos contractuales dentro de los plazos aplicables as铆 como aquellas que resulten convenientes. Y en su caso presentar las denuncias judiciales que pudieran corresponder. 

vii) Evaluar la necesidad de acudir a asesores externos para realizar un an谩lisis forense de lo sucedido y perservar aquellos elementos necesarios bajo cadena de custodia para emplearlo en un posible futuro litigio. 

viii) Mantener informados a los interesados a trav茅s de criterios de comunicaci贸n institucional previamente definidos y acordados por el comit茅 multidisciplinario de crisis que interviene.

ix) Luego de finalizada la gesti贸n del incidente verificar la necesidad de incorporar modificaciones a la pol铆tica de gesti贸n de incidentes atento las experiencias del evento enfrentado y capacitar al personal para que en el futuro est茅n aptos para enfrentar incidentes similares al ocurrido.

x) Renegociar contratos con proveedores inform谩ticos involucrados en el incidente padecido a fin de incorporar aquellas cl谩usulas necesarias para ajustar los niveles de seguridad requeridos o facultades de auditor铆a que pudiesen requerir.

Sin duda que existen otras medidas adicionales que pueden ser requeridas atento la estructura de la organizaci贸n y la naturaleza de los incidentes pero las enunciadas son aquellas que no pueden faltar en la mayor铆a de los casos. 


Desde Crearis Latam contamos con experiencia y conocimientos para apoyarte en la gesti贸n de este tipo de incidentes no deseados.

Comentarios
* No se publicar谩 la direcci贸n de correo electr贸nico en el sitio web.