📢 10 cursos de acción recomendados ante incidentes informáticos como el de CrowdStrike 📢

El reciente incidente informático de CrowdStrike, con rutilante impacto en diferentes sectores de la economía y distintos países, nos viene a advertir sobre la virulencia del impacto de los incidentes informáticos sobre las organizaciones.  

En relación al riesgo de la ciberseguridad se desprende dos verdades incontrastables. En primer lugar el riesgo de ciberinseguridad se encuentra entre los top 3 de los riesgos medidos por el World Economic Forum tanto para la actualidad, como para los próximos 2 años así como los próximos 10 años. En segundo lugar, el no menos trascendente impacto de las cadenas de suministro o de valor cuyos eslabones más débiles suelen convertirse en la puerta de entrada para intrusiones a otros integrantes de la cadena. El ejemplo más cabal fue el caso SolarWinds (Orion software) en el año 2020.

En este caso el desastre en cadena causado por CrowdStrike no respondería a un ataque informático sino a un error humano que puede llegar a tener similar impacto a si involucrase un ataque malicioso (aeropuertos sin vuelos, pantallas sin servicio, bancos sin tranferencias, trenes sin salidas, garitas de migración cerradas, apagón mundial de las plataformas de Windows Microsoft).

El error interno autogenerado habría consistido en una falla en la actualización del software de seguridad del proveedor de Microsoft, CrowdStrike, ha paralizado sus equipos informáticos por todo el mundo. 

Ante la inminencia de este tipo de eventos inesperados no solo se debe reinvindicar la trascendencia de contar con un procedimiento de gestión de incidentes informáticos sino también su aplicación efectiva ante el surgimiento de este tipo de situaciones de las que ninguna organización está exenta de verse alcanzada. 

Ante todo se debe reunir el comité de crisis multidisciplinario previsto en la respectiva política. Es importante considerar que la seriedad del evento que se enfrenta amerita que no solamente sea competencia exclusiva del sector de IT, sino también de los sectores de legales, comunicaciones institucionales, recursos humanos, entre otros.  

Una vez reunido el equipo se debe proceder como mínimo a desarrollar estas acciones: 
i) Verificar que efectivamente haya habido alguna afectación, determinando el alcance de los daños comprendidos y los sectores afectados. 
ii) Documentar el inicio de un caso bajo el Plan de Gestión de Incidentes explicando las razones que ameritan la puesta en marcha de este procedimiento. 

iii) Recurrir a los logs y registros para identificar causas del incidente y grado de afectación de los sistemas. 

iv) Determinar la necesidad de desconección de aquellos sistemas identificados como comprometidos a los fines de su aislamiento del resto de la infraestructura no afectada.

v) Restaurar el back up con copias de seguridad para levantar sistemas y datos afectados. 

vi) Evaluar la necesidad de cursar aquellas notificaciones que sean mandatorias en virtud de obligaciones regulatorias o compromisos contractuales dentro de los plazos aplicables así como aquellas que resulten convenientes. Y en su caso presentar las denuncias judiciales que pudieran corresponder. 

vii) Evaluar la necesidad de acudir a asesores externos para realizar un análisis forense de lo sucedido y perservar aquellos elementos necesarios bajo cadena de custodia para emplearlo en un posible futuro litigio. 

viii) Mantener informados a los interesados a través de criterios de comunicación institucional previamente definidos y acordados por el comité multidisciplinario de crisis que interviene.

ix) Luego de finalizada la gestión del incidente verificar la necesidad de incorporar modificaciones a la política de gestión de incidentes atento las experiencias del evento enfrentado y capacitar al personal para que en el futuro estén aptos para enfrentar incidentes similares al ocurrido.

x) Renegociar contratos con proveedores informáticos involucrados en el incidente padecido a fin de incorporar aquellas cláusulas necesarias para ajustar los niveles de seguridad requeridos o facultades de auditoría que pudiesen requerir.

Sin duda que existen otras medidas adicionales que pueden ser requeridas atento la estructura de la organización y la naturaleza de los incidentes pero las enunciadas son aquellas que no pueden faltar en la mayoría de los casos. 

Desde Crearis Latam contamos con experiencia y conocimientos para apoyarte en la gestión de este tipo de incidentes no deseados.