Tras el éxito de las primeras ediciones del Proyecto de Gestión de Crisis Cibernéticas, Cyber Crisis Management Project en inglés, se ha llevado a cabo la cuarta edición realizada por ISMS Forum, que ha contado con la participación de 28 compañías españolas, y con el apoyo por parte del sector público del Departamento de Seguridad Nacional, INCIBE y el CNPIC, y privado, a través del Business Continuity Institute (BCI), ECIX Group, F24, Nextvision, Mapfre y OYLO Trust Engineering.

La presentación de los resultados se realizó durante la Décima Edición del Foro de la Ciberseguridad de ISMS Forum, y corrió a cargo de Andrés Ruiz, Senior Cybersecurity Advisor National Security Department, Spanish National Liaison Officer with the EU Cybersecurity Agency, DSN; Carlos González, Active Resilience Director, OYLO Trust Engineering; Daniel Largacha, Global SOC Director, Mapfre; Cyber Security Centre Director, ISMS Forum; Francisco Pérez, Partner of Digital Law, Ecix Group; y Manel Herrer, Vice-Chair, Chapter del Business Continuity Institute (BCI) España.     

“Los desafíos a los que nos enfrentamos cada día van creciendo. Las amenazas no descansan ni desaparecen, sino que están continuamente mutando para adaptarse a la situación actual, y lo hemos podido ver durante la pandemia. Un ejemplo de ello es el ransomware. Tanto entidades públicas como privadas han sido víctimas de este tipo de ciberataques, afectando a los servicios que prestan y a su imagen corporativa. Tal como recoge el Informe Anual de Seguridad Nacional, en lo que respecta a los dos equipos de respuesta a incidentes de ámbito nacional, el INCIBE-CERT y el CCN-CERT, el primero ha gestionado 133.155 incidentes, lo que supone un 23% más respecto al año anterior, y el segundo ha gestionado un total de 82.530 incidentes, lo que supone un 192% más que el año anterior”, comentó Andrés Ruiz al comienzo de la mesa redonda.

“Estos ejercicios se tienen que realizar con una periodicidad cada vez mayor, haciendo mucho énfasis en todos los aspectos relacionados con la comunicación para poder dar una seguridad a nuestros clientes de que el servicio no va a verse interrumpido”, añadió Manel Herrer.

En esta edición, los ejercicios se han distribuido en tres misiones, en cuya historia o trama podemos encontrar un ransomware que implica gestión de proveedores, crisis de imagen y reputación, extorsión a trabajadores, y robo de información sensible, entre otras. “Las necesidades que planteaba ISMS Forum para el diseño de una plataforma fueron básicamente tres: que los usuarios participantes pudiesen recibir información e inputs en diferentes formatos, que la herramienta permitiera tomar decisiones puntuales en cada momento en el que el Comité hubiese identificado que fuese necesario adoptar una decisión empresarial y, por último, que la herramienta pudiese ofrecer soluciones de trazabilidad de cumplimiento del ejercicio”, explicó Francisco Pérez.

“Continuamos mejorando la madurez de las compañías y el nivel de documentación de procesos, e incluso se han creado planes específicos para gestionar el ransomware. En cualquier caso, sigue predominando el conocimiento tecnológico sobre otras áreas, si bien todavía hay dificultades para involucrar o tratar incidentes con una visión más transversal e integral, permitiendo un análisis sobre la casuística y no uno centrado en la metodología. Por otro lado, se van dando unas respuestas cada vez más regladas sobre cómo categorizar y evaluar el impacto de los incidentes y se va extendiendo el servicio SOC, con el que cuentan cada vez más compañías”, afirmó el Director de Resiliencia de Oylo.

El proyecto de CiberCrisis pretende ayudar a mejorar las capacidades de gestión y respuesta de las empresas entrenando sus procedimientos para afrontar crisis cibernéticas. La finalidad del proyecto es fomentar las buenas prácticas en materia de Ciberseguridad y gestión de crisis analizando los procedimientos de gestión de crisis, midiendo el estado de madurez y las capacidades de resolución de incidentes de las organizaciones, y evaluando la adaptación al nuevo marco normativo GDPR/NISD, así como fomentando la interlocución con los organismos competentes.