En el transcurso de la Cuarta Edición del IV Foro Regional de Barcelona organizado por ISMS Forum y su Capítulo Regional de Barcelona que tuvo lugar el pasado jueves 16 de marzo en modalidad presencial en la Casa Convalescència UAB Campus, uno de los alicientes fue la presentación de la Guía de Incidencias de Seguridad en la Nube para Pymes.

Esta publicación fue presentada por los dos coordinadores del grupo de trabajo que son Olga Forné, CISO Global en Abertis y Board Member en ISMS Forum Barcelona, y Toni García, CISO, CIO y CDO en LETIPharma y Board Member de ISMS Forum & ISMS Forum Barcelona. Un documento que pretende facilitar los primeros pasos hacia una gestión de incidencias en la nube exitosa.

Olga Forné y Toni García

El citado grupo de trabajo está también configurado por Miguel Ángel Pérez, Mariano J. Benito, Ángel Pérez, Antonio Fontiveros, Carlos José Alcón, Carlos Martínez, David Llorente, Eduardo González, Enrique Cervantes, Eva Cristina Cañete, Gemma Déler, Gonzalo Martínez, Iván Sánchez, Javier Sevillano, José González, Luis Paredes, Luis Pérez Pau, Rafael Hernández, Ramón Ortiz, Tomás Ávila, Trina de Miguel, Xavier Macarrilla, Xavier Rubiralta, Beatriz García y Cynthia Rica.

Sobre la gestación de la Guía de Incidentes, Olga Forné destacó que “el destinatario de esta publicación son pymes y a esas empresas que gestionan sus incidentes de seguridad con poca madurez”.

“Vimos que había un dato importante en este contexto: Las grandes empresas pueden contar con un equipo interno para atender este tipo de incidentes, pero en el caso de la pyme, solo piensa en el incidente de seguridad cuando tiene que afrontarlo. En muchas ocasiones no tiene ni los recursos económicos, ni sabe a quién recurrir cuando se ve inmersa en este tipo de situaciones”.

Para esta experta, “focalizamos la Guía de Incidentes en la problemática de la pyme y en la parte del cloud (nube), que son servicios más económicos y fáciles de utilizar”.

Por su parte, Toni García afirma que esta publicación tiene una utilidad clara: “El objetivo es hacer sencillo la explicación de este tema de incidentes en la nube que no siempre es sencillo de entender. Se trata de que dicho experto tecnológico, que trabaja en una pyme, pueda tener un documento de consulta en el momento de afrontar un incidente de seguridad en la nube”.

Democratizar el conocimiento

El desarrollo de esta guía y su utilidad pretende, para Forné, “aclarar que el escenario cloud tiene tantos ataques que cualquier contexto convencional. Al final sale más rentable atacar una nube donde está todo el mundo que dirigir el ataque a una empresa en concreto. Queremos con la guía que las pymes sepan que hay incidentes en el cloud y que hay que estar preparado para afrontarlos con garantías”.

En la práctica, destaca que “hemos procurado que el lenguaje de la guía sea sencillo para que todo el mundo pueda entenderlo al mismo tiempo”.

Por su parte,Garcíaafirma que “los incidentes en la nube son elevados y suceden por tres cuestiones. En primer lugar, un usuario pica porque hay un compromiso. En segundo lugar, de un administrador o un usuario que suele tener privilegios. Por último, porque hay una vulnerabilidad. De esos tres, el único que el cloud te puede ayudar es cuando al externalizar te ofrece algunas medidas de seguridad, pero los otros dos vectores los sigues teniendo”.

Además, aclara que “como el cloud está mucho más expuesto, si se hace un análisis del coste del beneficio y de lo que cuesta atacar a un usuario, es mucho más fácil atacarlo. En este caso, puede caer cualquiera porque alberga a diferentes empresas. Hay muchas medidas que las debe poner el usuario que se instala en este universo en la nube”.

Una publicación de gran utilidad

Respecto a la estructura de esta publicación, Olga Forné indica que “arrancamos en la introducción explicando lo que es el cloud y la gestión de incidentes en la nube para que se familiaricen con estos conceptos. Luego entramos en la parte central de la guía, donde desgranamos todas las etapas de un incidente de seguridad y qué debe hacerse antes, durante y después de dicho incidente”.

Al mismo tiempo, nos señala que “no solo es una guía tecnológica, también nos hemos centrado en la parte de procesos, de personas que deben afrontar este tipo de incidentes, así como su relación con el negocio y la propia comunicación del incidente con los stakeholders (partes interesadas). Es muy importante saber gestionar la comunicación con terceros si surge este incidente, así como la comunicación interna. Dos elementos claves para salvaguardar la reputación de la empresa”.

“El gran valor de esa guía es que pasamos por todas las etapas del incidente y a todos los niveles. En cada una de estas etapas hemos diseñado una estructura sencilla, fácil de entender con determinadas preguntas y respuestas, similares a los Frequently Asked Questions (Preguntas Frecuentes) que hay en algunas páginas web como elemento de guía del usuario de esta publicación”.

Forné también subraya que “se ha incluido un capítulo en la guía de las regulaciones que hay que tener en cuenta y que se tienen que revisar antes de incluso pensar en la gestión del incidente. Es importante conocer la regulación que hay que cumplir antes de establecer un plan de respuesta de incidentes”.

Por su parte, ToniGarcía reconoce estar satisfecho del trabajo final concretado en esta Guía de Incidentes en la Nube que se presentó en este IV Foro Regional de Barcelona: “Es una publicación extensa porque hemos explicado muchas cosas intentando que no fuera compleja”.

Desde su punto de vista, “lo cierto es que hay muchos temas a tener en cuenta, desde la regulación, a las acciones que se toman antes del incidente o las que se desarrollan después. Toda esa información es clave para la gestión de dichos incidentes en la nube. Creemos que es un elemento de consulta indispensable para poder afrontar con garantías la llevanza de estos incidentes”.

De cara al futuro, ambos expertos confirman que “la guía se irá actualizando conforme a los cambios que surjan, tanto a nivel regulatorio como de las propias plataformas. Iremos incorporado distinta casuística de forma sencilla para que el usuario sepa cómo gestionar determinados incidentes. Esperamos que esta base de conocimiento de la guía se pueda ir complementando y actualizando en el futuro”.

    

DESCARGA LA GUÍA: /backoffice/ckfinder/userfiles/files/guia-incidencias-nube-20231678875623.pdf