Tenemos una interesantísima resolución de archivo de la Agencia Española de Protección de Datos. Me parece muy relevante para entender qué valora la Agencia para concluir que una brecha de seguridad ha sido gestionada de manera adecuada.
La brecha de seguridad fue provocada en Mapfre por un ataque ransomware. En este enlace ya explicamos qué es esto del ransomware.
Medidas de mitigación que aplicó la empresa
Las medidas de mitigación que aplicó Mapfre para tratar de minimizar el impacto del ataque y solucionarlo fueron las siguientes:
(1) Se aislaron segmentos de la red y se apagaron los sistemas hasta confirmar el alcance.
-> Estoy bastante segura de que esto no lo improvisaron sobre la marcha. Si pudieron activar unas medidas de mitigación rápidas es, fijo, porque tienen un buen plan de brechas de seguridad procedimentado e implementado.
(2) Puesto que el ataque implicó que los malos les cifraran datos, (unido al apagado de equipos que tuvieron que hacer comentado en el punto anterior), la disponibilidad de recursos para trabajar quedó muy afectada, así que activaron su Plan de Continuidad de Negocio.
-> De nuevo, esto tampoco es improvisado. Convocaron al Comité de Crisis compuesto por un equipo multidisciplinar de diversas áreas de la empresa para activar el plan que tenían definido y, seguramente, probado.
(3) Gracias a que tienen prioridades de trabajo marcadas en el Plan de Continuidad de Negocio, fueron limpiando y controlando el entorno de manera ordenada y haciendo una restauración segura. En paralelo, se investigaba el incidente.
-> Me repito: esto es gracias a procesos definidos en el Plan de Continuidad de Negocio y en el Plan de Brechas de Seguridad. No es magia, son instrucciones que las empresas deben definir para saber qué hacer cuando sucede la brecha, en lugar de ponerse a correr en círculos con las manos en la cabeza.
(4) Se pusieron en contacto con el CCN-CERT y el INCIBE, que son organizaciones de interés relacionadas con la ciberseguridad, para informarles de lo ocurrido y que pudieran alertar del tipo de ataque.
-> De nuevo, esto tampoco es improvisado. Por ejemplo, unos procedimientos basados en una ISO 27001 bien desplegada, recoge precisamente un objetivo de control consistente en el contacto con los grupos de interés.
(5) Denunciaron el ataque a la Guardia Civil.
Medidas de seguridad que tenían implementadas con carácter previo a la brecha de seguridad
(1) Tenían procedimientos de gestión de usuarios y control de acceso lógico para la generación de alta de usuarios y asignación de credenciales de usuario, que incluye la realización de una evaluación de impacto para valorar los riesgos.
(2) A partir de la crisis del Covid y la necesidad de teletrabajar, realizaron una reevaluación del riesgo e implantaron un plan específico de ciberseguridad, así como un plan de concienciación, también específico, para el personal.
(3) Tienen definido un plan de auditorías periódicas para revisar el cumplimiento de la normativa de protección de datos.
Medidas de seguridad implantadas a partir de la brecha
Generaron algo llamado “plan de fortificación del entorno” que, al parecer, consistió en verificar que no se habían quedado puertas traseras abiertas por las que pudieran volver a entrar los malos.
Archivo de las actuaciones
La Agencia de Protección de Datos archiva las actuaciones, por tanto, no sanciona a la empresa y concluye:
- Que Mapfre disponía de medidas de seguridad razonables en base a los riesgos que había estimado.
- Que si bien no están adheridos a un código de conducta, sí que han participado en la elaboración de una guía para el tratamiento de datos personales por aseguradoras.
- Que el impacto producido sobre los datos personales fue bajo, porque eran datos básicos (ID de acceso a los sistemas y contraseña) y no tenían aplicación fuera de los entornos de sistemas de la empresa. Además, el volumen de datos afectados fue bajo (menos de 100).
- Que además de disponer de medidas técnicas y organizativas razonables para intentar evitar un ataque de este tipo, la reacción de la empresa a la brecha de seguridad fue diligente, tanto en su relación con organismos de interés (Incibe, CCN-CERT, Guardia Civil) como en el seguimiento de su evolución con la Agencia de Protección de Datos.
La resolución completa puede consultarse en este enlace.
Creo que se pueden extraer muy buenas conclusiones de esta resolución:
(1) Desde mi visión siempre preventiva en materia de seguridad de la información y de los datos personales, me agarro al “te lo dije” sobre lo muy necesario que es para las organizaciones contar con procesos, no sólo definidos, sino también implementados y probados.
Creo que la historia que vemos en esta resolución es la de unos procedimientos de seguridad de una empresa que han funcionado, así que, seguramente, hagan dos cosas muy fundamentales respecto a esos procedimientos:
- Medirán que funcionan adecuadamente.
- Los mantendrán actualizados en base a las métricas de funcionamiento.
(2) Otra conclusión que extraigo es que la Agencia de Protección de Datos valora la diligencia (y también la buena fe, en vista a la referencia al código de conducta) de la empresa al tener implementados estos procesos y medidas de seguridad basadas en análisis de riesgos. No sabemos, claro, qué hubiera pasado de haber afectado la brecha a más volumen de datos y más sensibles pero, desde luego, la implementación de medidas técnicas y organizativas adecuadas para el tipo de datos y el entorno, se ha tenido en cuenta.
(3) Todo el despliegue que hizo Mapfre para la gestión de la brecha vale mucho dinero. Si os leéis la resolución a fondo, veréis que aquí han habido análisis forenses de distintos proveedores para tirar del hilo del origen del ataque, el cómo y por dónde. Además de dejar la “casa” limpia y desinfectada y ajustar luego las medidas de seguridad. Es un despliegue de medios que tiene pinta de caro.
No todas las organizaciones tienen la fuerza monetaria y logística que ha desplegado Mapfre en las medidas correctivas cuando el ataque ya se había producido.
Pero sí creo que todas las organizaciones tienen mucha necesidad de definir procedimientos para seguir las instrucciones, el “how to”, para evitar que las brechas sucedan y para saber qué hacer cuando sucedan. Y no me refiero a procedimientos basados en las 12 pruebas de Asterix que sólo se sabe quien los ha escrito (y eso con un poco suerte) pero que son tan farragosos y enredados que no los conoce ni los aplica nadie. Me refiero a procedimientos útiles, que se puedan cumplir y basados en el análisis de los riesgos y necesidades concretas de la organización, en función de su tamaño y actividad.
Y, desde luego, las organizaciones también tienen mucha necesidad de implementar medidas de seguridad técnicas adecuadas para la información y datos que tratan y para los sistemas informaticos que utilizan para tratarlos. Y eso incluye la selección de proveedores que cumplan medidas adecuadas de seguridad porque he visto cosas que vosotros no creeríais más allá de Orión.
Y termino con algo que me parece lo más fundamental desde mi punto de vista: la concienciación de los usuarios que utilizan los equipos informáticos y las aplicaciones de la empresa.
De nada sirve tenerlo todo securizado si luego los malos llaman al trabajador, le engañan y el trabajador facilita sus credenciales de acceso para que los malos puedan entrar hasta la cocina. Y no es que los trabajadores sean tontos, es que los ataques son muy buenos y están muy bien dirigidos. Hay malos que son verdaderos artistas de la ingeniería social (otro día hablo de eso) pero desde luego, lo que sí suelen estar los trabajadores es muy desinformados sobre los riesgos y cómo los explotan los malos. Y, para eso, la formación y concienciación de los trabajadores es básica.
