Ciberincidentes: lineamientos para respuesta y recuperación

El Banco Central de la República Argentina (BCRA) estableció una serie de lineamientos para la respuesta y recuperación ante ciberincidentes con el fin de limitar los riesgos en la estabilidad financiera e impulsar la ciberresiliencia del ecosistema en su conjunto, en línea con las recomendaciones del Consejo de Estabilidad Financiera (FSB, por su siglas en inglés) incluidas en el trabajo Prácticas efectivas para la respuesta y recuperación ante incidentes cibernéticos, informe final.

Estos lineamientos están dirigidos a entidades financieras, proveedores de servicios de pago que ofrecen cuentas de pago e infraestructuras del mercado financiero. Sin embargo, por su carácter general, pueden ser también adoptados por cualquier institución del sistema financiero, proveedores de servicios de tecnología informática y de comunicación, entre otros.

Un ciberincidente, según la definición que incluye el glosario publicado en la página web del BCRA, es un evento relacionado a una infraestructura tecnológica en la que interactúan personas, procesos, datos y sistemas de información y que pone en peligro la ciberseguridad o infringe las políticas de seguridad, los procedimientos de seguridad o las políticas de uso aceptables por las entidades, sea o no ese evento producto de una actividad maliciosa.

Respecto a la implementación de estos lineamientos, los actores alcanzados podrán adoptar las prácticas que sean más adecuadas para sus modelos de negocio, teniendo en cuenta su tamaño, complejidad o riesgos en relación con el ecosistema financiero. Deberán dejar constancia de los fundamentos de los criterios de implementación adoptados, los que tendrán que ser puestos a disposición de la Superintendencia de Entidades Financieras y Cambiarias, cuando ésta los solicite.

Los lineamientos contemplados en la Comunicación A7266 son los siguientes:

Gobierno. Aquí se promueve la definición de un marco para la toma de decisiones, donde se asignen los roles y responsabilidades necesarios para la coordinación de estas actividades de forma tal que se involucre a los participantes internos y externos necesarios cuando ocurre un ciberincidente. Se plantea el esquema a través del cual se organizan y gestionan las actividades de respuesta y recuperación, se impulsa una cultura que acepte la eventual ocurrencia de los ciberincidentes, los enfrente y gestione apropiadamente.

Planificación y preparación. Este ítem contempla la preparación previa a la ocurrencia de un incidente que juega un rol significativo en la efectividad de las actividades de respuesta y recuperación. Este lineamiento se centra en el establecimiento y el mantenimiento de las capacidades de planificación y preparación de la organización, que le permitirán responder, recuperarse y restablecer actividades críticas, sistemas y datos comprometidos en un ciberincidente hasta volver a la operación normal. En este apartado tienen un papel relevante los planes y procedimientos, que deben incluir los criterios necesarios para saber cuándo activar las medidas y cómo responder ante ciberincidentes.

Análisis. Este lineamiento hace referencia al análisis forense, la determinación de criticidad e impacto del ciberincidente y la investigación de la causa que lo originó. Se destaca la necesidad de definir una taxonomía para clasificar ciberincidentes.

Mitigación. En este eje se hace foco en las medidas de mitigación con el fin de prevenir el agravamiento de la situación y erradicar o eliminar las consecuencias de los incidentes de manera oportuna, para minimizar su impacto en las operaciones y servicios. Contempla las medidas de contención, aislamiento y erradicación que son de gran importancia.

Restauración y recuperación. En estas pautas se tratan las actividades que deben realizarse para restaurar los sistemas y activos afectados por un ciberincidente, y recuperar los datos, las operaciones y los servicios afectados a su estado habitual, de manera segura.

Coordinación y comunicación. Este apartado se refiere a la coordinación adecuada de la organización con los distintos actores involucrados, tanto internos como externos, y con las autoridades. Durante el ciclo de vida de un ciberincidente, se debe coordinar a las partes interesadas para brindar una respuesta y una atención común sobre las amenazas y mejorar así la ciberresiliencia del sistema. Se resalta la importancia de definir el lenguaje y la frecuencia necesaria de la comunicación, de acuerdo con el tipo de público destinatario.

Mejora continua. Este lineamiento finalmente hace referencia a los procesos que se deben considerar para mejorar las actividades y capacidades de respuesta y recuperación ante ciberincidentes, a través de las lecciones aprendidas en la resolución de casos y del uso de herramientas proactivas, en particular la realización de ejercicios, pruebas y simulacros.

Viernes 16 de abril de 2021.

Compartilo en Facebook   Compartilo en Twitter    Compartilo en Linkedin    Compartilo en WhatsApp