El coronavirus como Amenaza Persistente Avanzada (APTs) en la continuidad de negocio

Moisés Lopez. Senior Manager Riesgos Tecnológicos de BDO 

En el ámbito de la ciberseguridad estamos muy acostumbrados a escuchar el término APT (por Advanced Persistent Threat), como una de las amenazas con mayor riesgo y la capacidad de atacar de forma “avanzada” (mediante múltiples vectores de ataque) y continuada en el tiempo, lo cual, llevado al campo de la Continuidad de Negocio, es una situación similar a lo que está ocurriendo con este cisne negro llamado Coronavirus.

pandemia APTs

Un escenario de pandemia trae consigo “múltiples vectores de ataque” y un efecto realmente continuado en el tiempo donde se añaden otras circunstancias, como que la respuesta no depende únicamente de nosotros y de nuestros equipos, nuestra compañía o nuestros proveedores críticos y/o esenciales, sino de todo el entorno, incluido los gobiernos y organismos públicos cuyas medidas de contención de la pandemia también deben ir formando parte de nuestra respuesta a la contingencia desde el punto de vista de Continuidad de Negocio.

Nos encontramos ante un escenario que afecta de un modo u otro a todos los pilares que conforman la Continuidad de Negocio, donde, entre otros, tenemos:

  • Las personas, como principales afectadas y las más vulnerables ante este tipo de crisis, donde si el factor humano debe predominar siempre, en este caso, se hace más evidente y necesaria una gestión cercana, certera y que anteponga las necesidades de cada una de las personas que componen la organización a cualquier actividad empresarial.

Sin las personas el mundo se para, toda actividad queda aplazada, incluido, nuestro propio plan de continuidad de negocio.

  • Los proveedores críticos y/o esenciales con los cuales tenemos una dependencia tan importante que, cuando dejan de darnos servicios de modo abrupto, nos impacta y debemos tenerlo previsto en nuestro plan de continuidad, pues bien, en este escenario de pandemia, se ven tan afectados como nosotros, quizás, con la única excepción de aquellos servicios esenciales como suministro eléctrico, etc. que, por suerte, mantienen la “normalidad”.

Sin duda, nuestra cadena de suministro se verá afectada.

  • La/s sede/s, curiosamente una de las casuísticas más probadas (¿cuántas pruebas de continuidad sobre posibles incendios de la sede se habrán hecho?) y menos afectada en este tipo de crisis ya que, en este caso, la sede sigue en su sitio, esperando nuestra vuelta.
  • La tecnología, siempre en el ojo del huracán de la continuidad, revisando la capacidad de cumplir con los tiempos de recuperación, CPD secundarios, estrategias activo-activo, etc. pero en este escenario de pandemia, las principales capacidades solicitadas son más referente a proporcionar solución de teletrabajo, en aquellos casos donde no se contemplaba, y con ello, equipos, VPNs, móviles, …, es decir, suministros y por supuesto, capacidad de comunicaciones y conexiones que difícilmente han sido testadas sus capacidades y, en muchas casos, dimensionadas para soportar el teletrabajo al nivel exigido por esta crisis.

Por otro lado, y tal como avanzamos con el “modelo APT”, se trata de una amenaza continuada en el tiempo, sin fecha fin predefinida y donde el mejor escenario habla de semanas para un comienzo de vuelta a la normalidad, y seguro que ninguna posible prueba del Plan de Continuidad que hayan realizado las compañías ha durado tanto, ni se han planteados tantos escenarios posibles (IT, sede, etc.), por lo que nos enfrentamos a esa incertidumbre de poder retornar a la normalidad sin incidencias, donde, además, para minimizar esos tiempos tenemos una dependencia absoluta de nuestro entorno (ciudadanos, gobiernos, administraciones, etc.)

pandemia

Del mismo modo que ocurre con las APTs en el ámbito de la ciberseguridad, se deben articular respuestas y planes de recuperación que no sólo contemplen un “vector de ataque”, sino que permitan responder, en la medida de lo posible, a los distintos escenarios que van acaeciendo.

Todo ello está llevando a, si no se disponía de ello previamente, armar planes de continuidad de negocio flexibles, dinámicos y con capacidad de gestionar variantes forzadas por los condicionantes de nuestro entorno, estableciendo, además, escenarios en cadena más allá de los típicos para contingencia tecnológica y/o de indisponibilidad de sedes o facilities.

Por ello, nuestra mejor defensa, aunque no la única, debe estar en disponer de un Plan de Continuidad de Negocio actualizado y probado, donde, al menos, se disponga de:

  • Comunicación activa con las personas; con un equipo de comunicación donde, por un lado, se sea capaz de transmitir los mensajes y acciones de la organización para gestionar la crisis (tanto para la formación de comités, equipos de respuesta, protocolos de recursos humanos, riesgos laborales, etc.) y por otro, se traten de mitigar posibles bulos, incluso internos, que puedan surgir durante todo el periodo de crisis.

De manera adicional, debe existir recepción activa, es decir, este equipo de comunicación también debe escuchar tanto internamente como externamente de modo que puedan catalizarse, y transmitirse internamente si es necesario, todas las comunicaciones oficiales realizadas por los organismos competentes en la materia (Sanidad, Organización Mundial de la Salud, …).

Para todo ello, es importante aplicar un principio de proporcionalidad, tan importante es informar como no saturar constantemente con informaciones, noticias, cambios constantes, solicitudes, etc. y si la estrategia ha sido teletrabajar, se establece el hilo de comunicación con cada responsable y se deja trabajar.

  • Información actualizada sobre nuestras prioridades de recuperación, marcadas por los resultados del Análisis de Impacto en el Negocio (BIA, por sus siglas en inglés), que nos permita tomar decisiones conociendo el impacto para el negocio de las mismas.
  • Disponer de información actualizada de las dependencias; más allá de las personas, los procesos de negocio requieren de activos para funcionar, y debemos conocer, en todo momento, cuales son estos activos y como podremos proveerlos en esta situación de crisis.
  • Listado de actividades y tareas a realizar como parte de lo establecido en nuestro plan, con sus responsables asignados, donde si, por ejemplo, una estrategia ha sido el empleo del teletrabajo, cada uno sepa cual es su papel para garantizar dicha estrategia.
  • Establecer, si no se disponía de ellos, equipos multidisciplinares de respuesta y comunicación fluida entre los mismos, de modo que se pueda realizar seguimiento del estado de situación e informar al comité de crisis.
  • Contemplar la activación de distintos planes conforme la evolución de la crisis, ya que, tal como se ha descrito, este escenario activa necesariamente otros, donde previamente se debía establecer las posibles soluciones y alternativas (proveedores alternativos, etc.).

De manera adicional, en un escenario de pandemia, siempre habrá medidas que no se hayan podido prever, especialmente aquellas que son resultado de la acción directa del Gobierno y/o administraciones públicas, como la declaración del estado de alarma en España, y las acciones que ello trae consigo, y por ello, es especialmente importante, disponer de planes de continuidad flexibles y actualizados.

Los cisnes negros existen, incluso en bandadas, pero también nuestra capacidad para vencerlos.