GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO, GCN / BCM.
En esta distopía en la que la pandemia del COVID-19 nos ha hundido en nuestro mundo global, demostrando la peor cara de la internacionalización de lo que nos ocurre, hemos de empezar a pensar en la recuperación y en el día después, sin dejación del presente y siendo muy cuidadosos con nuestros recursos. Empezaremos esta entrada con algunas definiciones.
Continuidad del negocio:
Capacidad de la organización para continuar el suministro de productos o servicios a niveles predefinidos aceptables tras un incidente disruptivo.
FUENTE: ISO 22300.
Disrupción:
Rotura o interrupción brusca.
FUENTE: RAE.
Incidente de seguridad.
Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información.
FUENTE: ENS.
La Gestión de la Continuidad del Negocio, GCN ó BCM (Business Continuity Management), por sus siglas del inglés, es una parte fundamental de la Dirección en las organizaciones y de la gestión del riesgo, que se debe considerar como un proceso continuo.
La Gestión de la Continuidad del Negocio debe ser un aspecto importante a considerar en nuestra sociedad globalizada, interconectada, con tecnologías novedosas, más complejas y, además, con una alta presencia de riesgos que en cualquier momento podrían llegar a materializarse.
La GCN / BCM se desglosa en una fase de planificación (Planificar), seguida por la fase de implementación (Hacer), de la verificación (Verificar) y, por último, se deben realizar mejoras sobre todo el sistema (Actuar), conformando así el conocido ciclo PHVA ó PDCA (Plan, Do, Check, Act) ó PDSA Cycle (Plan-Do-Study-Act).
Véase:
https://deming.org/explore/p-d-s-a
El GCN / BCM está normalizado desde el año 2012 bajo el estándar internacional ISO 22301; certificable como otros Sistemas de Gestión que también puede servir para consulta y orientación en las organizaciones.
En España está editado por AENOR con la designación UNE-EN ISO 22301:2015. Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del Negocio. Especificaciones. (ISO 22301:2012).
También existe un organismo internacional para la Certificación de la GCN /BCN que es el Disaster Recovery Institute International (DRI), fundada en 1988, acreditada por el American National Standards Institute, ANSI, y observadora en ISO.
Véase:
En el modelo Plan-Do-Check-Act forman parte de la Planificación los siguientes elementos de Gestión de la Continuidad del Negocio, GCN / BCM.
– Los requisitos necesarios para establecer el contexto de la GCN / BCM como se aplica a la organización, así como las necesidades, requisitos y alcance.
– Los requisitos específicos del rol de la alta dirección en GCN / BCM y cómo el liderazgo articula sus expectativas en la organización a través de una declaración de política GCN / BCM.
– Los requisitos relacionados con el establecimiento de riesgos y oportunidades, estrategias, objetivos y principios rectores para la GCN / BCM en su conjunto. Ello no se ha de confundir con establecer oportunidades de tratamiento de riesgos derivados de la evaluación de riesgos, así como el impacto comercial y objetivos de recuperación derivados del análisis de impacto del negocio (business impact analysis BIA).
– Actividades GCN / BCM en lo que se refiere al establecimiento, competencia y comunicación de forma recurrente, según sea necesario con los grupos de interés.
Asimismo, en el ENS, Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, actualizado por el Real Decreto 951/2015, en su CAPÍTULO II. Principios básicos. Artículo 7. Prevención, reacción y recuperación, señala:
1. La seguridad del sistema debe contemplar los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre el mismo no se materialicen, no afecten gravemente a la información que maneja, o los servicios que se prestan.
2. Las medidas de prevención deben eliminar o, al menos reducir, la posibilidad de que las amenazas lleguen a materializarse con perjuicio para el sistema. Estas medidas de prevención contemplarán, entre otras, la disuasión y la reducción de la exposición.
3. Las medidas de detección estarán acompañadas de medidas de reacción, de forma que los incidentes de seguridad se atajen a tiempo.
4. Las medidas de recuperación permitirán la restauración de la información y los servicios, de forma que se pueda hacer frente a las situaciones en las que un incidente de seguridad inhabilite los medios habituales.
5. Sin merma de los demás principios básicos y requisitos mínimos establecidos, el sistema garantizará la conservación de los datos e informaciones en soporte electrónico.
De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.
Véase:
https://www.boe.es/eli/es/rd/2015/10/23/951
Por lo tanto, no es solamente en el ámbito voluntario de la Certificación al cual pueden acogerse las organizaciones, sino también deben hacerlo en base a las disposiciones legales del ENS, por el cual se establecen cláusulas para la Continuidad del Negocio y la GCN / BCM.
Adicionalmente, la introducción de nuevas tecnologías IoT (el Internet de las Cosas) en la industria o en dispositivos última generación, tales como los Tacógrafos Inteligentes obligatorios en las nuevas cabezas tractoras, impulsan la toma en consideración de la ciberseguridad y el prisma GCN / BCM en sectores muy diversos, como por ejemplo en el transporte de mercancías por carretera en la UE, donde hasta ahora no tenían esta exposición al riesgo.
Se considerará que una entidad es Resiliente (véanse otros artículos sobre Resiliencia en la web de la Escuela DPD /DPO AUDIDAT) cuando hayan desarrollado su compromiso con las áreas de gestión de la continuidad del negocio GCN / BCM, lo que a su vez incluye la gestión de emergencias, la recuperación ante desastres y la gestión de las crisis. Véanse:
Si nos centramos en la fase de Planificación, nos debemos plantear la pregunta: ¿por dónde empezamos?, es decir hay que buscar un sentido desde el origen a la GCN / BCN. Si utilizamos el sentido común y ya que lo que buscamos es la Continuidad del Negocio, lo que hemos de evitar son los cortes, interrupciones, indisponibilidades, etc., conocidos como Incidentes de Seguridad.
¿Qué hace que un Incidente de seguridad sea lo suficientemente relevante como para requerir nuestra atención? Podemos utilizar tres criterios básicos para clasificar un Incidente:
CRITERIO MÉTRICA
Duración Horas / días
Alcance Número de personas / sistemas afectados
Coste Pérdidas y gasto de restablecimiento
Fuente: Escuela DPD /DPO AUDIDAT.
Además, hemos de estudiar qué incidentes pueden causar un mayor valor en nuestras métricas, dependiendo de su taxonomía. ENISA proporciona una interesante guía en su web.
La taxonomía según el tipo de los ciberincidentes se desglosa del siguiente modo:
• Spam. Correo electrónico masivo no solicitado. El receptor del contenido no ha otorgado autorización válida para recibir un mensaje colectivo
• Delito de odio. Contenido difamatorio o discriminatorio, ciberacoso, racismo, amenazas a una persona o dirigidas contra colectivos.
• Pornografía infantil, contenido sexual o violento inadecuado.
• Sistema infectado con malware.
• Conexión con servidor de Mando y Control (C&C) mediante malware o sistemas infectados.
• Distribución de malware usando los recursos de una organización.
• Configuración de malware que aloje ficheros de configuración, como ataque de webinjects para troyano.
• Nombre de dominio generado mediante DGA (Algoritmo de Generación de Dominio), empleado por malware para contactar con un servidor de Mando y Control (C&C).
• Escaneo de redes (scanning), mediante envío de peticiones a un sistema para descubrir posibles debilidades. Se incluyen también procesos de comprobación o testeo para recopilar información de alojamientos, servicios y cuentas, tales como peticiones DNS, ICMP, SMTP, escaneo de puertos.
• Análisis de paquetes (sniffing), mediante observación y grabación del tráfico de redes.
• Ingeniería social, consistente en recopilación de información personal sin el uso de la tecnología, como con mentiras, trucos, sobornos, amenazas, etc.
• Explotación de vulnerabilidades conocidas, a través del intento de compromiso de un sistema o de interrupción de un servicio mediante la explotación de vulnerabilidades con un identificador estandarizado. Puede ser el desbordamiento de buffer, puertas traseras, cross site scripting (XSS), etc.
• Uso no autorizado de recursos para propósitos inadecuados, incluyendo acciones con ánimo de lucro, como el uso de correo electrónico para participar en estafas piramidales.
• Derechos de autor por ofrecimiento o instalación de software carente de licencia u otro material protegido por derechos de autor, como Warez.
• Suplantación con ataque en el que una entidad suplanta a otra para obtener beneficios ilegítimos.
• Phishing con suplantación de otra entidad con la finalidad de convencer al usuario para que revele sus credenciales privadas.
• Criptografía débil, consistente en servicios accesibles públicamente que puedan presentar criptografía débil, como servidores web susceptibles de ataques POODLE/FREAK.
• Amplificador DDoS, consistente en servicios accesibles públicamente que puedan ser empleados para la reflexión o amplificación de ataques DDoS, como DNS open-resolvers o Servidores NTP con monitorización monlist.
• Servicios con acceso potencial no deseado, como Telnet, RDP o VNC.
• Revelación de información mediante acceso público a servicios en los que potencialmente pueda relevarse información sensible, como SNMP o Redis.
• Sistema vulnerable por mala configuración de proxy en cliente (WPAD) ó versiones desfasadas de sistema.
• APT, ataques dirigidos contra organizaciones concretas, sustentados en mecanismos muy sofisticados de ocultación, anonimato y persistencia. Esta amenaza habitualmente emplea técnicas de ingeniería social para conseguir sus objetivos junto con el uso de procedimientos de ataque conocidos o genuinos.
• Ciberterrorismo Uso de redes o sistemas de información con fines de carácter terrorista.
• Daños informáticos PIC, borrado, dañado, alteración, supresión o inaccesibilidad de datos, programas informáticos o documentos electrónicos de una infraestructura crítica. Conductas graves relacionadas con los términos anteriores que afecten a la prestación de un servicio esencial.
• Otros. Todo aquel incidente que no tenga cabida en ninguna categoría anterior.
Véase:
https://www.enisa.europa.eu/publications/reference-incident-classification-taxonomy
