En el artículo de este mes, tratamos un tema poco habitual: las crisis de ciberseguridad y la (por lo general) nula preparación que nuestras organizaciones tienen ante este tipo de situaciones que exceden en magnitud a un “simple ciberincidente”. Nos conviene plantearnos preguntas que comiencen por un “¿Y qué pasa si…?”, evaluar el riesgo, y actuar en consecuencia.
En números anteriores de esta revista ya se publicó una serie de artículos sobre la Gestión de Ciberincidentes, en base a metodologías y conceptos ampliamente aceptados. Claramente, parece una cuestión puramente técnica, y de contar con los recursos apropiados, asumible en condiciones normales. Pero, ¿qué ocurre si el ciberincidente escala a un alcance o magnitud que el equipo asignado para su resolución es incapaz de contener? ¿O si se alarga en el tiempo de forma excesiva y afecta gravemente al funcionamiento de la organización, poniendo incluso en riesgo su existencia? Pues nos encontramos ante una crisis en materia de ciberseguridad que hay que afrontar, y como tal, la preparación previa será fundamental.
La “Guía de gestión de crisis de ciberseguridad en empresas”, publicada recientemente por el Instituto Nacional de Ciberseguridad de España (INCIBE) define este tipo de crisis aludiendo a que “Un incidente de ciberseguridad se convierte en una crisis cuando los daños ocasionados superan la capacidad de respuesta de la empresa afectada. Esto ocurre cuando los recursos y procedimientos habituales de la entidad no son suficientes para dar respuesta al incidente, provocando una escalada en la gravedad y el alcance del problema”.
La norma “ISO 22361 Gestión de crisis”, más general y no tan enfocada en la ciberseguridad como la guía del INCIBE, establece un enfoque sistemático para la gestión de crisis, que consta de cinco etapas clave: