El caos generado por un problema informático relacionado con una actualización de ‘Crowdstrike‘ nos proporciona un ejemplo perfecto para reflexionar sobre algunos aspectos de la cultura de la seguridad, su marco legal y cómo está evolucionando en los últimos años. En primer lugar, el motivo. Gran titular: no hace falta un ciberataque para generar un problema.
En un momento en el que todos estamos más o menos inmersos en teorías conspiranoicas de ciberataques provocados por hackers en la Dark Web u originados por motivos geopolíticos y de alta política internacional, si atendemos a las noticias que están apareciendo, hasta este momento, el motivo de este incidente no es más que una simple actualización informática, de las que se producen a centenares en cualquier departamento de IT de cualquier empresa.
Normas de la UE
Esta lección concuerda con el espíritu de las últimas normas sobre seguridad emanadas de la Unión Europea. Las últimas normas europeas ya no hablan de ciberseguridad sino de resiliencia operativa.
La Directiva NIS2 y CER, el Reglamento DORA…, todas estas normas aluden a la resiliencia cada vez con más frecuencia (y mencionan menos a la ciberseguridad). Tanto es así que “The Information Commissioner’s Office” en su documento del Reino Unido “Guide to NIS” llega a afirmar que la Directiva NIS (refiriéndose a la primera Directiva NIS) no es una norma sobre ciberseguridad.
El caos generado por un problema informático relacionado con una actualización de ‘Crowdstrike’ nos proporciona un ejemplo perfecto para reflexionar sobre algunos aspectos de la cultura de la seguridad
“NIS está dirigida primordialmente a mejorar la ciberseguridad, pero no es en sí misma una norma sobre ciberseguridad. Se refiere a “cualquier incidente” que tenga un impacto en un servicio, cuando dicho impacto produce un efecto disruptivo significativo. Eso incluye los impactos de causas “no-ciber”, por ejemplo, cortes de suministro eléctrico o desastres naturales, como inundaciones”.
En segundo lugar, la importancia de no despreciar los sistemas tradicionales. En un momento de crisis, como el que están viviendo muchas importantes empresas prestadoras de servicios esenciales e importantes (aeropuertos, medios de comunicación, aerolíneas, empresas financieras, etc), están salvando la continuidad de la operación por su capacidad de “volver a manual” y mantener los procesos a la manera tradicional: con personal formado que conoce las políticas y procedimientos.
En la Fundación ESYS llamamos a esto seguridad integral, es decir, lo importante no es la vía de la disrupción, sino que, sea cual sea la causa, se mantenga la operación del negocio. Y para ello los departamentos encargados de la seguridad digital y la seguridad física deben colaborar hacia el objetivo común: que los servicios continúen. Quizá esta segunda lección daría lugar a una reflexión colateral sobre la experiencia de los empleados con más experiencia y el edadismo, pero será otro el momento de desarrollarlo. Seguimos.
La figura de los proveedores
En tercer lugar, la importancia de la cadena de suministro. Esta situación encarna el mejor ejemplo de que grandísimas empresas, que dedican muchos millones de euros a su seguridad, pueden verse afectadas porque un proveedor (uno de los miles que contratan y que hace 10 años era casi una Pyme) provoca, incluso sin intención, un incidente que, en primera instancia, les interrumpe los servicios de forma generalizada a empresas de medios de comunicación, tecnológicas, de aviación, financieras, etc.
También la Directiva NIS2 recoge esta posibilidad y establece la obligación de vigilancia y diligencia debida (no de control y supervisión, que es diferente) de las empresas esenciales e importantes, no sólo en su propia operativa, sino también en la de su cadena de suministro.
Y, por último, pero no menos importante, la relevancia de la diversificación como primera herramienta básica de minimización del riesgo. Cuanto mayor es la concentración de una economía en unos pocos proveedores, mayor es el riesgo de que el impacto de cualquier incidente se multiplique hasta el infinito, como está ocurriendo en estos momentos. Esto nos lleva a reflexionar sobre algunas de las decisiones adoptadas o en vías de adopción de la UE con respecto a temas de seguridad.
La Directiva NIS2 establece la obligación de vigilancia y diligencia debida (no de control y supervisión, que es diferente) de las empresas esenciales e importantes
En términos muy simplificados se podría decir que, antes de vetar, restringir o reducir el número de proveedores de algunos servicios imprescindibles por considerarlos “de algún/alto riesgo” debería sopesarse el efecto simétrico que se produce cuando se eliminan opciones de la lista: la concentración de riesgo en una lista corta de proveedores.
Esto es aplicable a diversas piezas legislativas en diferentes grados de maduración: desde la Toolbox de ciberseguridad 5G al European Cybersecurity Certification Scheme for Cloud Services (EUCS) en el que trabaja ENISA, etc.
Estándares de regulación
Esta reflexión no induce necesariamente a descartar medidas de seguridad basadas en la exigencia de altos estándares (que naturalmente restringen el número de entidades acreditadas y estrechan las opciones de elección) o incluso de veto pero sí que, antes de tomar una decisión de este tipo, se debe hacer de manera inexcusable un análisis basado en los mínimos estándares de smart regulation, incluido un análisis de alternativas de medidas menos intervencionistas y menos gravosas.
Entre esos costes de intervención, sin duda, a partir de hoy, todos tendremos en mente el coste de que si favorecemos que una gran parte de los servicios cotidianos de las sociedades desarrolladas descansen en la confianza de unos pocos proveedores, el riesgo de contagio es mucho mayor. Habrá situaciones en las que será necesario asumir ese riesgo y otras en las que encontraremos alternativas. Seguro.
A partir de hoy, todos tendremos en mente el coste de que si favorecemos que una gran parte de los servicios cotidianos de las sociedades desarrolladas descansen en la confianza de unos pocos proveedores
Y se puede avanzar más. Este análisis de riesgos a nivel de seguridad nacional, no sólo de empresa, sólo puede ser llevado a cabo por las autoridades públicas que disponen de una visión global y basada en el interés general.
En ese sentido, desde la Fundación ESYS, reiteramos la propuesta de creación de una Agencia de Ciberseguridad que incluya, entre otras, estas funciones, y que se ponga en marcha aprovechando la iniciativa legislativa que dé respuesta a la necesaria trasposición de la NIS2, prevista para el 17 de octubre próximo.
SOBRE LA FIRMA Maite Arcos es directora general de la Fundación Empresa, Seguridad y Sociedad Digital (ESYS)