domingo, 11 de junio de 2017 0 comentarios

CISO y DPO, más que amigos en casos de incidentes.

La aprobación del RGPD (o en ingles GDPR) está planteando, sobre todo en las organizaciones que no pertenecen a la zona Euro y que por tanto no tenían legislaciones en materia de protección de datos, una actividad intensa para este 2017 que será el año de la adecuación. Sorprende ver qué hay más interés y análisis del tema en el extranjero que en nuestro país. Aquí, la maltrechada LOPD, vista como una ley de segunda división, está lejos de alcanzar las cotas de cumplimiento que debieran ser razonables.

Es evidente que la protección de datos de carácter personal es ya vista por muchos modelos de negocio como una ventaja competitiva. Los continuos escándalos relacionados con fugas de información y el alto coste reputacional que ha tenido para muchas de las empresas afectadas ha podido servir para valorar el papel que juega la privacidad. Además, contribuye a ello que la percepción del usuario final sobre las consecuencias que tiene una inadecuada protección de sus datos.

La jueves pasado tuve la oportunidad de poder explicar, en el V Congreso APEP la problemática de la notificación de las violaciones de seguridad y una de las cuestiones que surgió en el turno de preguntas fue precisamente las casuísticas de la toma de decisiones entre DPO y CISO y los posibles conflictos.

En mi modesta opinión, creo que en empresas grandes, ambas figuras van a ser necesarias y complementarias. Cada uno aporta una visión distinta de un mismo problema y por tanto, deben contar con voces propias dentro de un comité de gestión de crisis.

El CISO aporta a ese comité el conocimiento interno de las medidas de seguridad que están implantadas, un detalle de los problemas que puedan existir (Fruto de actividades como los pentesting que se hayan contratado, las tareas de auditoría interna o bien la gestión de vulnerabilidades propia de la organización).

Por su parte, el DPO aporta a ese comité un conocimiento de los distintos tratamientos de datos que se llevan a cabo en la compañía, los niveles de riesgo identificados y una estimación de las consecuencias que pueda acarrear en materia de protección de datos. El DPO, por la condición que tiene el cargo, será el interlocutor en caso de incidentes, con la Agencia Española de Protección de Datos y debe ser el responsable de recabar la información establecida por el Art. 33 respecto a la notificación de las brechas de seguridad.

Como ya comenté en el monográfico dedicado al nuevo reglamento en el día de la protección de datos del 2016 para APEP, la notificación de las violaciones de seguridad supone un proceso de gestión de incidentes maduro.

Existen diferentes criterios que pueden ser válidos. Vamos a ver los tres más importantes.

NIST.
Descrito en el documento 800-61 Computer Security Incident Handling Guide, como siempre, los americanos adoptan un esquema de funcionamiento muy pragmático y que resuelve de forma completa pero sencilla el problema que abordan. Este proceso de gestión de incidentes se centra en las siguientes fases que muestra este gráfico.



ENISA.
Es un ciclo con mas fases y que detalla el documento Good practice for incident management. El ciclo está mas detallado y contempla fases como el triaje para la valoración de acontecimientos y la respuesta proporcional en función de varios parámetros: tipo de evento, severidad, área afectada, etc.


ISO 27035. 
El estándar unifica criterios y establece las fases comunes que deben ser planteadas dentro de un proceso de identificación y gestión de incidentes. 



En todos estos marcos de trabajo es necesario destacar la importancia que tienen las lecciones aprendidas. Se puede tropezar una vez, pero si ocurre, es muy importante aprender para que no vuelva a suceder lo mismo sin haber incorporado alguna mejora.

En cualquier caso, cuando se sospecha que un incidente puede estar ocurriendo o ya ha ocurrido y se está en fase de contención y respuesta del mismo, CISO y DPO juegan en el mismo equipo y su única misión es lograr minimizar en la medida de lo posible, los daños o impactos que pueda causar la brecha de seguridad. En situaciones de contingencia no se está para discusiones internas ni para medir egos. En esos momentos lo primero es salvar al paciente y posteriormente ya se harán los análisis que correspondan para que en las lecciones aprendidas se determinen nuevas decisiones o cambios que afecten al proceso de gestión de incidentes.

El CISO en caso de incidentes será quien tenga que llevar la voz cantante respecto a qué mejoras o medidas paliativas se pueden incorporar para que la crisis se resuelva. Al DPO le debe tocar valorar si con ello, el incidente en materia de protección de datos, se subsana o si se requiere alguna acción más. Además, debe valorarse si además de informar a la Autoridad de control, se requiere la notificación al afectado (válida como respuesta en aquellos casos en donde sea prioritario hacer caducar la información filtrada para que pierda vigencia como los casos donde se filtran usuario y contraseña).

Como creo haber explicado, CISO y DPO son dos remeros de un mismo barco que además deben trabajar coordinados y juntos cuando se trata de salir de una brecha de seguridad.





miércoles, 4 de enero de 2017 0 comentarios

Ciberseguros, un complemento a la gestión de la seguridad.

El presente post es una extensión de una conversación surgida en un hilo de Whatsapp sobre este tema y que creo, conviene explicar de forma más extensa.

Ya el año pasado, algunas de las aseguradoras empezaron a ofrecer a ciertos clientes la posibilidad de contratar ciberseguros frente a los riesgos tecnológicos que preocupan en muchas organizaciones. Tal como explica el documento de Thiber, un monográfico sobre ciberseguros que recomiendo leer, existe una preocupación general por parte de las empresas sobre cómo gestionar la incertidumbre que genera la inseguridad informática. Según el sector y la regulación, las consecuencias son diversas y por tanto, la necesidad de poder hacer frente a estas situaciones se hace más compleja.

Antes de entrar en materia, voy a tratar de contextualizar un poco el proceso de toma de decisiones en materia de gestión del riesgo tecnológico.

Hasta la fecha, un CISO ha contemplado como marco de trabajo el desarrollo de las estrategias de seguridad pensando en la construcción de medidas de protección que den buenos resultados. En este contexto, la utilización de estándares y buenas prácticas como ISO 27001 han sido las opciones más habituales por aquellos que se han preocupado por robustecer su posición en materia de seguridad. Además, la regulación en general también ha establecido e impuesto unos mínimos controles operativos que han tratado de obligar a la puesta en marcha de aquellas medidas de protección consideradas básicas para lograr mitigar los riesgos más preocupantes. Este ha sido el enfoque por ejemplo de la legislación en materia de protección de datos de carácter personal o las normas PCI-DSS para la protección de información sobre medios de pago.

Bajo el prisma de la gestión, el rol del CISO hace de puente entre la Alta Dirección (cuyo rol es la toma de decisiones) y la parte operativa (cuyo rol es la aplicación de las medidas y su monitorización). El CISO por tanto debe fundamentar su trabajo en revisar los resultados obtenidos por las medidas y las métricas de eficacia implantadas para modificar los niveles de riesgo y comunicar a la Alta Dirección los resultados obtenidos y los efectos sobre los umbrales de riesgo gestionados.

Esta jerarquía en la toma de decisiones queda muy bien explicada en el NIST Cybersecurity Framework, una referencia para el gobierno de la seguridad que hay que tener en mente siempre. En este documento, podemos encontrar los diferentes ciclos de información y retroalimentación que implica la gestión operativa del riesgo tecnológico.



Quienes tienen construido un adecuado marco de gestión de la seguridad saben que el RIESGO es el elemento central de la toma de decisiones. En la fase de análisis, la organización debe ser capaz de identificar los diferentes elementos que determinan el estado de la seguridad de la información de una organización como ilustra mi siguiente gráfico.





El CISO, como experto en la materia, debe establecer para cada escenario de riesgo qué opciones de gestión son planteables y proponer a la Dirección unas determinadas acciones (Proyectos o actuaciones dentro del plan de tratamiento de riesgos) que tengan por objetivo llevar los niveles de riesgo a unos umbrales aceptables por la Dirección. En cada caso, según el tipo de medida y su estrategia, se centrarán en la identificación, prevención, detección, respuesta o recuperación frente a incidentes. De nuevo el NIST Cybersecurity Framework nos sirve para identificar qué decisiones son las más adecuadas en cada caso y qué estrategia de mitigación del riesgo nos resulta más viable poner en marcha para poder satisfacer las necesidades de negocio. Los ciberseguros entran, dentro de este marco, como una opción dentro de la función de respuesta (Cuando hacen frente al proceso de respuesta frente al incidente y suministran apoyo o cobertura) o recuperación (Cuando hacen frente a indemnizaciones, gastos o multas una vez los daños ya se han producido).


Como ya se ha dicho en este blog más de una vez, las opciones de gestión de riesgo son solamente cuatro: Aceptar, evitar, reducir o transferir. En aquellos casos en dónde estamos incorporando medidas de seguridad, nuestra opción pasa por la reducción de riesgos. Es frecuente también que la opción de evitar los riesgos no sea viable por suponer el cese de la actividad que genera riesgo y eso no ser aceptable por parte de Dirección. Por poner un ejemplo claro, en una organización dedicada al e-commerce no es una opción frente a riesgos vinculados a una intrusión informática el no disponer de la Web como canal de venta. Ese riesgo deberá contar con cualquier otra medida pero no con una que suponga el cese del propio negocio, obviamente.



Cada escenario de riesgo tiene un contexto diferente y plantea unas hipótesis de impacto a la organización concretas que deberá valorar. Influye mucho en las opciones de tratamiento y su viabilidad el tipo de organización, su cultura interna, su modelo de negocio, su sector y las regulaciones establecidas. Vamos a ver en el siguiente apartado qué papel pueden desempeñar los ciberseguros. 

Los ciberseguros como una opción de transferencia de riesgo.

Las empresas dedicadas a los seguros tienen como misión la gestión de la incertidumbre que plantean determinados eventos y su modelo de negocio se fundamenta en el análisis de las estadísticas y un conocimiento profundo de las probabilidades para ganar dinero con ello. Cada tipo de seguro se diseña para la protección frente a determinados sucesos y establece unas condiciones aseguradas (en cuyo caso el asegurado percibe unas indemnizaciones por daños según criterios de estimación pactados y tasados por peritos) y unas exclusiones (condiciones que si el asegurado no cumple, permiten al asegurador no hacer frente a las consecuencias del suceso).

Teniendo esto claro, los ciberseguros tienen una juventud relativa que hacen que todavía los modelos estadísticos no sean lo suficientemente maduros como para poder calibrar y pronosticar bien escenarios futuros. Por este motivo, las pólizas de contratación de este tipo de seguros suponen una declaración previa por parte de la organización que pretende contratarlos de qué nivel de madurez en materia de gestión de la seguridad ha conseguido implantar. 
Es normal que la empresa aseguradora, que hará frente a los daños, quiera saber en qué medida el cliente potencial puede o no ser víctima y cual es su exposición a riesgos tecnológicos. En función de ese nivel de madurez, la aseguradora ajustará la prima del seguro (la cuota fija que debe pagarse por parte del asegurado para gozar del nivel de cobertura frente a incidentes deseado). Obviamente, cuanto mayor nivel de seguridad y madurez demuestre la empresa que quiere contratar el seguro, menor será la póliza exigida por la aseguradora. Es evidente que quien se protege bien tiene menos probabilidades de ser víctima, y por tanto, la aseguradora exigirá menos cuota por la póliza.

Una de las reflexiones del monográfico de Ciberseguros de Thiber va en esta linea. El hecho de que entren las diferentes aseguradoras a ofrecer este tipo de productos tiene como beneficio general (Siendo muy optimistas respecto a cuál debe ser la cultura de sus potenciales clientes) que las organizaciones van a tener que robustecer sus políticas de seguridad de la información para poder satisfacer algunos de los requisitos que estas empresas aseguradoras entienden como mínimos para poder contratar, ya que el proceso de contratación requiere a sus clientes el cumplimiento de unas cautelas mínimas de ciberseguridad como condición sine qua non para la contratación de las pólizas.

Por tanto, lo primero que hay que tener claro es que para que la aseguradora nos respalde, nosotros deberemos haber garantizado un nivel adecuado de protección según lo que declaramos en el momento de la contratación, suponiendo que todas las medidas que decíamos tener han sido efectivas. De hecho, las aseguradoras normalmente incluyen en el contrato que sea una peritación realizada por ellas las que valore qué ha sucedido y qué dosis de responsabilidad ha podido tener el cliente en el incidente.

Los ciberseguros son una opción interesante de transferencia de riesgo para las siguientes casuísticas:
  • Situaciones donde los daños son difíciles de cuantificar o haya que hacer frente a indemnizaciones, sanciones o multas de terceros que no se pueden valorar a priori pero que son adecuadamente cubiertas por las establecidas por la póliza.
  • Situaciones donde se quiere contar con la capacidad externa de asumir costes por incidentes pero que en vez de aprovisionar fondos de reserva, se quiera contar con el respaldo de la aseguradora.
  • Situaciones donde la prestación de servicios de la organización requiera por parte de sus clientes potenciales, disponer de seguros como estos para que queden tranquilos y contemplen este tipo de seguros como un factor diferenciador respecto a la competencia.
Los ciberseguros no son una opción suficiente cuando se aplican a escenarios de riesgo que tienen un impacto directo en el core de nuestros servicios de negocio. Por ejemplo, si el incidente es una fuga de información de datos de nuestro área de I+D+i, las indemnizaciones no van a reparar el daño a la compañía dado que nuestros "secretos" han dejado de serlo y van a permitir a potenciales competidores beneficiarse de todo nuestro esfuerzo a mucho menor coste. Si el incidente supone la fuga de datos de clientes, podrá hacer frente a sanciones pero no podrá servir para recuperar la reputación o credibilidad ya que los daños si se han producido y el seguro sólo REPARA.

La letra pequeña de los ciberseguros.

Como hemos comentado al principio, el objetivo de toda aseguradora es ganar dinero a base de su conocimiento sobre estadísticas y probabilidades. Todo seguro por tanto, en la fase de contratación, debe dejar claro en qué hipótesis iniciales deben basarse esos cálculos y qué exclusiones no quedarán cubiertas. 
Respecto a las hipótesis iniciales, los ciberseguros normalmente incluyen cuestionarios de valoración del nivel de gestión y madurez de la seguridad. Para ello, como es normal, debe preguntarse por todo tipo de medidas de seguridad y se debe valorar y  calibrar su adecuado funcionamiento. Es fundamental entender por parte de la entidad que quiere contratar que mentir aquí no tiene sentido, puesto que en caso de incidente, la aseguradora podrá en la peritación o en el análisis forense encontrar que las premisas iniciales no eran ciertas y por tanto, no hacer frente a las indemnizaciones por posible fraude.

También es esencial entender bien lo que figuran en los apartados de exclusiones. Este tipo de secciones en los seguros sirven para marcar las rayas rojas por parte de la aseguradora respecto a lo que SI que respaldan y lo que NO. Por tanto, todo lo que son exclusiones son zonas no cubiertas y por tanto, escenarios de riesgo de nuestra organización que no han sido transferidos.

En estos apartados figuran siempre declaraciones respecto a lo que se entienden como "Actos deshonestos y fraudulentos y deliberados del asegurado" o "Responsabilidades asumidas por contrato o acuerdo".

En un ciberseguro que he tenido que analizar (Y que tuve que leer varias veces), una de las exclusiones hacía referencia a cualquier incidente informático ocasionado por una vulnerabilidad técnica conocida y no resuelta por el cliente. Es decir, la aseguradora no se hacía cargo de aquellos casos de intrusión en donde el atacante explote vulnerabilidades que tienen parche disponible pero que no ha sido instalado por la organización. Si realizamos un análisis técnico de dicha afirmación, lo que la aseguradora sólo cubre son los incidentes ocasionados por vulnerabilidades "Zero-day". Sin embargo, las estadísticas revelan que en un alto porcentaje de los incidentes más serios, las causas siempre son originadas por sistemas sin parchear.

Consejos para la contratación.

Para finalizar este extenso post, como recomendaciones generales para utilizar este tipo de productos, creo necesario considerar los siguientes puntos:
  • Implicar al área de TI en la toma de decisiones y al personal de seguridad de la información si lo tiene.
  • Identificar bien qué compromisos asume el asegurado para gozar de la cobertura contratada.
  • Analizar bien las exclusiones para tener claro qué escenarios de riesgo no se incluyen en la póliza.
  • Valorar si las indemnizaciones, junto con las franquicias a pagar en cada caso, suponen de verdad el apoyo necesario en caso de incidente.
Todo cliente, por mucho marketing que le hagan o muchos cantos de sirena que pueda escuchar de comerciales debe tener claro lo que el ciberseguro NO ES: 
  • No servirá de nada si usted no goza de unos niveles de protección básicos y no cumple sus compromisos respecto a la eficacia de las medidas. Si ocurre un incidente que podía evitarse, lo más normal es que la aseguradora no se haga cargo por incumplimiento de responsabilidades asumidas en contrato.
  • No va a ser la solución a todos sus males. Transferir riesgos es una opción pero no siempre válida en todos los casos. Si el incidente, por ejemplo, supone la fuga de datos de sus clientes, la aseguradora podrá darle una indemnización pero la credibilidad, reputación y confianza de sus clientes no volverá con eso.
  • No es una bala de plata que implica cruzarse de brazos. El seguro no le cubrirá si la causa del incidente es interna debida a negligencia en la protección.
  • Puede ser un coste extra inútil si no tiene claro qué ha contratado y en qué condiciones podrá utilizarlo. Cuando haya sufrido el incidente no será el mejor momento para comprobar si la cobertura era o no la adecuada.
Espero que este extenso post sea de ayuda y aclaración respecto a esta nueva opción de gestión del riesgo que hay que saber bien contextualizar para rentabilizar y optimizar su eficacia.












 
;