CiberTodos 2017. La prevención y la comunicación adecuada,determinantes para evitar o minimizar las crisis de ciberseguridad
Desde cómo establecer las conductas adecuadas a la hora de prevenir y afrontar una crisis cibernética, las técnicas forenses y de investigación de estos incidentes, la comunicación adecuada de los mismos y hasta los seguros que se pueden contratar para afrontar sus efectos.
Todos estos asuntos fueron abordados ayer en el “Cibertod@s”, la productiva y esclarecedora jornada organizada por ISACA (Asociación para la auditoría y el control de los Sistemas de Información).
Bajo el título “La ciberseguridad, una responsabilidad de todos”, se establecieron los parámetros adecuados ante los ataques en materia de seguridad informática y cómo se deben asumir las nuevas normativa, que ya están marcando las nuevas responsabilidades a las que deben hacer frente todas las empresas e instituciones.
A partir de la presentación por parte del presidente de ISACA Madrid, Ricardo Barrasa, ya en la primera de las conferencias, “Gestión de Crisis”, Marcos Gómez, director de servicios de Ciberseguridad de la Dirección de Operaciones de INCIBE (Instituto Nacional de Ciberseguridad), partió de la premisa de que “el hecho de que una crisis aparezca en los medios de comunicación la convierte en una crisis, aunque inicialmente no lo fuera”, porque además “cualquier incidente físico, se convierte en un incidente virtual a través de las RRSS y los otros medios virtuales”.
Hay que predecir, entrenar (Ciberejercicios), auditar y comunicar
Marcos Gómez también indicó que cualquier hecho o incidente se debe predecir a través de los datos y se debemos aprender de estas situaciones de crisis que se producen (para evitar filtraciones, por ejemplo). Para evitar los daños que se pueden producir en una compañía por una pequeña filtración “las organizaciones deben hacer un plan hacia dentro. Hacer ciberejercicios, entrenarse mejor, participar en crisis, y resolverlas. Pero también es importante hacer auditorías, para eso están los profesionales de Isaca”.
Por su parte, Juan Carlos Gómez Castillo, Director Global de Ciberinteligencia, Control y respuesta a Ciberamenazas de Telefónica, explicó que “una de las claves de la crisis es reducir la entropía. Los ciberejercicios nos sirven para saber las capacidades de unos y otros, y también para entrenar a los colaboradores”. Para ello hay que gestionar relaciones con los agentes externos y comunicar, es decir “compartir la información previa a la crisis y ya durante la crisis”.
Cooperación con proveedores externos.
Según Félix Muñoz, de InnoTec (Grupo Entelgy) “la información en los momentos de crisis puede descontrolarse y llegar hasta los medios de comunicación a través de indiscreciones de los propios empleados, de la repercusión en las RRSS… para evitarlo es imprescindible el entrenamiento previo (ciberejercicios) y concienciar desde la base tanto a empleados como a proveedores externos ” .
Ataques de ciberterrorismo y de postverdad
Juan Carlos Gómez, de Telefónica, aclaró que los ataques que cualquier empresa puede recibir “no son solo ciberguerra o ciberterrorismo. También pueden ser ataques que tratan yconsiguen cambiar la opinión de la gente. Hay que identificar quién te quiere hacer daño yqué capacidad tiene de hacerte ese daño”.
Joaquin Castellón, director Operativo del Departamento de Seguridad Nacional (DSN) y moderador de la charla, incidió en este sentido. “Vivimos en la época de la postverdad.
Debemos y es necesaria la creación de una gobernanza de la seguridad. Necesitamos estructura, legislación, regulación… que sirva para prevenir incidentes y que el código penal recoja los delitos que pueden producirse. Intentamos conectar el mundo técnico con otros mundos fundamentales para ser efectivos, como la colaboración policial, judicial, internacional…”
¿Cómo perseguimos los delitos cibernéticos?
Magistrado Eloy Velasco: “sólo los jueces y los fiscales pueden utilizar medios
tecnológios para investigar”
La segunda conferencia del Cibertod@s situó los ciberataques en el plano de la investigación policial, la persecución del delito y su tratamiento judicial. Moderado por Abel González, de la Universidad a distancia de Madrid (UDIMA), intervino el Magistrado Eloy Velasco quien aseguró con no compartir dos recientes e ilustrativas sentencias en materia de ciberseguridad vulnerada, las cuales criticó abiertamente.
“Una es el caso Falciani, en cuya sentencia del pasado mes de febrero el Tribunal Supremo Español, que aceptó como prueba las lista de evasores fiscales que sacó del banco suizo en el que trabajaba, deja impune el hecho de que un informático haya robado miles de datos de un banco”.
También se refirió a la sentencia de enero de 2016 del caso Barbulescu, que en la que el Tribunal para los Derechos Humanos (TEDH) dictaminó que “no estaba mal que un empresario pueda leer los correos privados de un trabajador, porque como los empresarios son los dueños de los dispositivos, los dueños pueden ver lo que hay dentro”. El pasado mes de septiembre la Gran Sala del TEDH dio su amparo a Barbulescu y rectificó así la sentencia del año anterior, que había dado la razón al Estado rumano y al empresario “espiador”.
Sus razones para enfrentarse a ambas sentencias están en el la correspondiente Ley Orgánica que establece que “si alguien te trae una prueba que se ha obtenido vulnerando derechos fundamentales, no tienes la prueba”.
Así, explicó que “según la Ley de enjuiciamiento criminal (art 31 bis 2015) Sólo los jueces y los fiscales pueden utilizar medios tecnológios para investigar. Ni periodistas, ni informáticos, ni investigadores privados, ni nadie más. Los ciudadanos y los poderes públicos están sujetos a la legislación… Los empresarios, los informáticos o los periodistas… son ciudadanos. No pueden conseguir ninguna prueba vulnerando la Constitución”.
Policía Nacional: “Cualquier tipo de delito tiene repercusión tecnológica”
Otra interesante intervención fue la realizada por María Jesús Llorente, investigadora del Cuerpo Nacional de Policía, quien explico que pertenecía a la sección forense de la Comisaría general de la policía científica, dedicada a todo tipo de delitos, dentro de la nueva jefatura para la ciberdelincuencia que se ha creado.
LLorente dejó claro que “ahora cualquier tipo de delito tiene repercusión tecnológica”. Explicó que en la actualidad lo primero que se estudia cuando se produce un asesinato, por ejemplo, son “los contactos de su teléfonoy los últimos mensajes de la víctima. Se deben recoger y analizar las evidencias convenientemente. La Brigada de Investigación tecnológica investigan los delitos. Ellos nos envían las evidencias y nosotros las analizamos y realizamos el informe pericial, por ejemplo, en los casos de pornografía infantil”.
Según la investigadora, en la nueva jefatura cuentan con “una sección operativa y una de mantenimiento técnico de los medios. Hay un grupo especializado en obtener información de dispositivos móviles, una parte de ingeniería para incidentes en medios de transporte, atracciones de feria, y otra para medios de pago (tarjetas de crédito). También, por supuesto, hay un departamento dedicado a software en todo tipo de dispositivos”.
Una queja: pocos medios
En total dijo que existían 16 plantillas en España, coordinadas desde Madrid, pero se atrevió a denunciar la importancia de “todos los procedimientos que se decidan aplicar se apoyen con dinero. Necesitamos herramientas, si no hay presupuesto, no se pueden hacer determinados procedimientos. No hay volcado si no tenemos discos duros. Ahora tratamos de automatizar procesos, porque hay pocos medios”.
Tras explicar un ejemplo de actuación en un caso de informe pericial de un supuesto delito de pornografía infantil, “hacemos copias forenses que se almacenan, se ordenan, se identifican los archivos y se hasean comparando lo obtenido con lo que hay en las bases de la Policía, Interpol, etc, y las seleccionamos y clasificamos, en función del desnudo que contienen”.
Llorente habló del notable retraso de los casos en su departamento. “Estamos trabajando con delitos cometidos aún a través de Ares, Emule… llevamos tres años de retraso. Ahora están delinquiendo a través de redes Thor, pero no somos capaces de analizar eso todavía
Fiscalía General del Estado: “Los nuevos delitos cibernéticos surgidos deben tener su
correspondiente respuesta legislativa”
Ana María Martín Martín de la Escalera, representante de la Unidad de Criminalididad informática de la Fiscalía general del Estado, defendió en su intervención que “la ciberseguridad en efecto es una responsabilidad de todos. Han surgido nuevas formas de cometer delitos, y a la hora de combatir está nuevas formas delictivas, deben tener su respuesta en la legislación”.
Además explicó que “esta respuesta sebe ser armonizada, ya que este tipo de delincuencia es transnacional y traspasa fronteras”.
Martín destacó no obstante que se han producido avances legislativos “gigantes, como lamodificación 13/2015 de la Ley Orgánica de Enjuiciamiento Criminal. Nos encontrábamos hasta entonces con un grave problema de falta de legislación adaptada”.
Con esta modificación de la Ley “se han establecido normas generales que han guiado a los jueces a la hora de ordenar interceptación de comunicaciones, nuevos conceptos como el tráfico, y la delimitación de delitos objeto de este tipo de medidas que pueden ser invasivas, no solo los realizados por bandas armadas, o de terrorismo, sino también ante cualquier delito que se haya consumado a través de elementos telemáticos”.
Ana María Martin se mostró de acuerdo con los cambios a mejor, “aunque no por ello tenemos carta blanca para intervenir, con esta regulación la policía y otras autoridades pueden pedir determinados datos, obtener IPs, registrar los dispositivos de almacenamiento masivos, acceder a sus contenidos , incluso a la nube, por si están las pruebas del delito almacenadas en ellas, o dar cobertura legal a la figura del Agente Encubierto”.
Hasta 2015 solo existía el agente físico, no en el mundo ciber. “Ahora hay un gran volumen de delitos y es necesario agentes infiltrados virtuales que no podían actuar, porque muchas veces debían realizar incluso actos que podrían ser ejecutivos de delito” como, por ejemplo, “acceder a canales cerrados de información, compartir e introducir archivos ilícitos, analizar lo que se mete en red para seguir el rastro, o incluso “pagar” para meterse en foros de pederastas, en los que se le exige facilitar archivos ilícitos. Ahora van a poder realizar estas actividades con garantías, para así luchar contra esos delitos”.
“¿Cómo se realiza el seguimiento forense de un incidente?”
Indicios, evidencias y pruebas
Al hilo de la legalidad, la tercera mesa debatió sobre el seguimiento forense de un incidente.
En el debate participaron, técnicos y peritos como Álvaro Conde, de Neimor Homes, quien explicó que en su empresa trabajan con un comité formado par varios departamentos que estudia, antes de denunciar un ciberataque, “el impacto reputacional que tiene, si afecta a terceros, si es recurrente o solo se ha producido una vez, el nivel del ataque en cuanto a intensidad, y si nuestros protocolos han funcionado o no correctamente”.
Conde habló del indicio como una herramienta que puede proporcionarnos una evidencia de un ciberataque, que finalmente puede permitir buscar pruebas penales. Que un directivo desvía a su cuenta privada 3000 € de la empresa, es un indicio que pone en marcha un comité para analizar el hecho”.
“A través de alertas –explicó Conde- se pueden obtener datos de cuando se cambia una cuenca de pago de un proveedor, y así evitar fraudes de los piratas informáticos en este msentido. Hay que controlar de varias formas para ponérselo complicado a los criminales”.
Alfoso Hurtado, de Ecija, aclaró que era conveniente denunciar por la vía penal primerocualquier ataque cibernético, pero que también debía realizarse por la vía administrativa, e incidió en la necesidad de mezclar controles automatizados con manuales y con otros no previstos para conseguir impedir ataque impredecibles”.
Por su parte, Eugenio Picón, de Peritoinformático.es, habló de la importancia de realizar una buena labor de obtención de las pruebas. “Nosotros estamos al servicio de los juzgados, de los abogados y de la policía. El indicio es una pista y la evidencia lo que es evidente. Prueba el conjunto de acciones que les sirve a los jueces. Los peritos trabajamos con los indicios y las evidencias es lo que nos piden los abogados”.
Garantizar las pruebas
Así, Picón explicó que “un juez nos hará preguntas técnicas de nuestro ámbito. Nosotros debemos asesorar de los indicios y las pruebas informáticas que se han a usar en el juicio. Creo que es importante matizar que, en el ámbito penal, para que un perito pueda ver un correo electrónico es necesario la orden judicial, pero en el ámbito laboral es distinto”.
La mesa también habló de cómo se garantizaba la cadena de custodia de las evidencias y pruebas, y de nuevo Alfonso Picón aclaró que era importante por parte de los profesionales del peritaje “poder certificar siempre la prueba como única. En el juicio contra los supuestamente de Anonimous en España la prueba presentada tenía diferente has -información que identifica como único cada archivo- que la obtenida y ello la invalidó».
Comunicación adecuada y control de daños
“Ante un ciberataque hay que tener una respuesta estudiada y estructurada”
El cuarto debate de la jornada “Cibertodos” tuvo como protagonista a la información como herramienta para controlar las crisis, en vez de para alimentarlas. Un buen ejemplo de respuesta a cómo se debe actuar en materia de comunicación ante una crisis de ciberseguridad, la describió Vicente Moscardó, de Bankia, entidad en cuya sede se celebró el evento.
Según Moscardó, “ante un ciberincidente, o tienes una respuesta estructurada o puedes esperar un fracaso, porque no avisan de que se van a producir. Hay que contar con un Plan de gestión de crisis, para poder prevenir y minimizar los impactos que se hayan podido producir en un indidente de ciberseguridad”.
Explicó que en su empresa “constituimos un grupo o comité de respuesta ante los incidentes de ciberseguridad, desde la Dirección de Seguridad de Información.
Somos el órgano competente para crisis, es multidisciplinar, pues lo forman desde el departamento que se ocupa de la seguridad de información, la seguridad física, de la dirección de comunicación interna y de la externa, con los mensajes que hay que lanzar, tecnología, infraestructura y constructores de apps, auditoría, asesoría jurídica, gestión de cliente… Lo componemos una serie de directivos que nos permite coordinar la crisis y tomas las decisiones adecuadas”.
Moscardó hablo de herramientas, como el sistema F24, “que está fuera de nuestras instalaciones, nos permite la coordinación virtual de los38 directivos, y así tomar decisiones, ante el ataque. Así, coordinamos actuaciones y queda una bitácora de todo ello”.
Como no todas las empresas son iguales, Intervino Juan Manuel Gil, precisamente el representante de F24 (Servicios de información), quien habló de la idoneidad que controlar el impacto que tenga en el exterior de la empresa el ataque que esté sufriendo.
“Cada empresa tiene sus umbrales. Debes primero conocer el impacto, controlar los sistemas y manejar la información, de manera que no digan lo primero que se les ocurra al comunicarse con el exterior. Hay también que manejar muy bien la información interna; saber qué estoy sufriendo, cuál es el impacto real, controlar redes sociales… nadie puede llegar a una toma de decisiones adecuada sin saber qué impacto estamos teniendo fuera” dijo.
El papel de los Mass Media, y de los propios empleados
La periodista Ana Samboal puso en claro que el papel de los medios de comunicación ante estas crisis no puede ser otro que el de contar lo que ocurre enterándose a través de las fuentes que sean necesarias, ante el silencio de la empresa, si esta no comunica.
Así mostro su postura partiendo de una premisa y una pregunta: “las crisis van a ocurrir, pero ¿están preparadas las empresas y las administraciones públicas para las crisis? No, no están preparadas para cualquier situación de crisis”.
Samboal describió el modus operandi de un periodista en estos casos “ante cualquier indicio, un periodista debe ponerse en contacto primero con la empresa. Si recibes silencio, porque no tienen respuestas, los tiempos de las empresas son distintos a los de los periodistas. Entonces estos buscan otras fuentes, como otras empresas del sector que sean competencia, o bien alguien que trabaje en la empresa afectada… Todos recordamos los pantallazos de los trabajadores de empresas afectadas por WannaCry”.
Insistió en que “es necesaria una comunicación fluida y veraz, porque la información va a salir, puedes ir por detrás de los acontecimientos, o por delante… La primera misión del departamento de comunicación de una empresa es establecer el lazo de confianza con el periodista”.
Estuvo de acuerdo con Samboal Luis Serrano, de la agencia de comunicación Llorente & Cuenca. También insistiño en que “todos los empleados sois el empleado portavoz. No existe comunicación externa e interna, porque son la misma. Hoy en día las crisis se reflejan de inmediato en las RRSS, todo se trasmite en streaming, en vivo. Hay que prepararse para gestionar esto. Hay que intentar ser proactivo, y dar la información que se te pide”.
“Una póliza de seguros no es una solución, pero ayuda”
La mesa redonda sobre ciberseguros cerró la jornada y en ella se habló de las coberturas principales que aportaban este tipo de seguros a las empresas; la responsabilidad civil ante terceros (ante una fuga de datos, por ejemplo), los gastos de defensa jurídica, de recuperación de datos y de los profesionales forenses, lo que deja de ganar una empresa si se ha caído un sistema informático…
Ante la entrada en vigor el próximo mes de mayo de 2018 del nuevo Reglamento de Protección de datos, el régimen sancionador aumentará hasta 20 millones o 4% facturación de la compañía en caso de haber sufrido un ciberataque, y será obligatoria la notificación fehaciente a los afectados de que hay una brecha de seguridad.
El sector de los ciberseguros mueve actualmente entre 2000 o 3000 millones de dólares en estas coberturas. Está previsto un crecimiento exponencial a 10.000 millones en las primas de ciber en 2020.
No obstante, los profesionales del sector (Santiago Sánchez (Chubb), Carlos Rodríguez (AIG) y Pablo Montoliú (AON), aclararon que “el seguro está como última línea de defensa y está para actuar cuando todo lo demás falló. No es un mecanismo de prevención. Está para mitigar las pérdidas. Y resulta que es cada vez más fácil que se active una de estas pólizas”.
Finalmente el presidente de ISACA Madrid, Ricardo Barrasa, agradeció a sponsor como Ecija, Innotec, Bankia, a los asistentes y a los organizadores su papel en este Cibertodos, e invitó a los asistentes a los próximos eventos de la asociación, que este año cumple ya su 30 aniversario.
. Leer artículo completo en Frikipandi CiberTodos 2017. La prevención y la comunicación adecuada,determinantes para evitar o minimizar las crisis de ciberseguridad.