El caos generado por un problema informático relacionado con una actualización de ‘Crowdstrike‘ nos proporciona un ejemplo perfecto para reflexionar sobre algunos aspectos de la cultura de la seguridad, su marco legal y cómo está evolucionando en los últimos años. En primer lugar, el motivo. Gran titular: no hace falta un ciberataque para generar un problema.
En un momento en el que todos estamos más o menos inmersos en teorías conspiranoicas de ciberataques provocados por hackers en la Dark Web u originados por motivos geopolíticos y de alta política internacional, si atendemos a las noticias que están apareciendo, hasta este momento, el motivo de este incidente no es más que una simple actualización informática, de las que se producen a centenares en cualquier departamento de IT de cualquier empresa.
Normas de la UE
Esta lección concuerda con el espíritu de las últimas normas sobre seguridad emanadas de la Unión Europea. Las últimas normas europeas ya no hablan de ciberseguridad sino de resiliencia operativa.
La Directiva NIS2 y CER, el Reglamento DORA…, todas estas normas aluden a la resiliencia cada vez con más frecuencia (y mencionan menos a la ciberseguridad). Tanto es así que “The Information Commissioner’s Office” en su documento del Reino Unido “Guide to NIS” llega a afirmar que la Directiva NIS (refiriéndose a la primera Directiva NIS) no es una norma sobre ciberseguridad.
El caos generado por un problema informático relacionado con una actualización de ‘Crowdstrike’ nos proporciona un ejemplo perfecto para reflexionar sobre algunos aspectos de la cultura de la seguridad
“NIS está dirigida primordialmente a mejorar la ciberseguridad, pero no es en sí misma una norma sobre ciberseguridad. Se refiere a “cualquier incidente” que tenga un impacto en un servicio, cuando dicho impacto produce un efecto disruptivo significativo. Eso incluye los impactos de causas “no-ciber”, por ejemplo, cortes de suministro eléctrico o desastres naturales, como inundaciones”.
En segundo lugar, la importancia de no despreciar los sistemas tradicionales. En un momento de crisis, como el que están viviendo muchas importantes empresas prestadoras de servicios esenciales e importantes (aeropuertos, medios de comunicación, aerolíneas, empresas financieras, etc), están salvando la continuidad de la operación por su capacidad de “volver a manual” y mantener los procesos a la manera tradicional: con personal formado que conoce las políticas y procedimientos.
