24 enero 2013

Conceptualizando en Gestión de Crisis y Resiliencia

El post de hoy no está escrito por mí, es una contribución de Jose Miguel Sobrón, miembro de ASIS International y el responsable de la Unidad de Sistemas de Gestión de Resiliencia Organizacional del Department of Safety and Security de Naciones Unidas. Espero que os guste!
Esta es la era de la preparación (preparedness era) hay que estar listos para todo lo que venga. Antes éramos reactivos y ahora somos proactivos. Ahora además tenemos que ser resilientes, para todo también. En toda esta tendencia y obsesión por “estar listos”, ¿qué pasa con continuidad de negocio? ¿Y con gestión de crisis?
A veces la rutina nos confunde y nos hace olvidar el significado real que a las palabras damos, y el porqué de ese mismo significado. Esta es una confusión o polémica muy habitual sobre el huevo y la gallina, o lo que es lo mismo, si fue antes Continuidad de Negocio o Gestión de Crisis o viceversa, o cual de las dos regula a cual.
Si hay algo que esta arrasando en todas las grandes corporaciones a nivel mundial y que se está extendiendo como la pólvora, eso es el concepto de Resiliencia, definida de mil maneras, pero simplificándola a cualquier áreas de estudio, como capacidad de resistir cualquier impacto y conectarlo con las maneras posibles de volvernos a levantar y continuar. Así es en multitud de áreas. Recomiendo por lo exquisito y extenso del estudio un análisis muy concienzudamente detallado llevado a cabo por el US Department of Homeland Security (DHS, grosso modo nuestro Ministerio del Interior) en el Journal ofHomeland Security and Emergency Management, vol 6, Issue 1-2009-Art 83.
En este nuevo mundo global de Resiliencia Corporativa (Organizational Resilience) existe mucha confusión creada a veces por intereses obvios de mercado e influencia de varias tendencias y a veces solo por confusión de la terminología. Si inicialmente el primer paso de gigante en continuidad lo dio la presentación del BS25999 (1-2), el modelo que integraba todo bajo BCM (Gestión de continuidad de negocio) no cubre todas las áreas, a pesar de tener un amplio apoyo y marco experimental en Reino Unido, la misma Unión Europea y algunos países. Es más, vista la escasa acogida actual y la reorientación del mercado hacia la familia ISO 31000 e ISO 28000, los grandes defensores del modelo británico han reaccionado con celeridad y han aunado fuerzas con ASIS International (que sigue el modelo ISO) para elaborar un producto de Gestión de Continuidad de Negocio (Business Continuity Management) “conjunto”, suma de las dos tendencias, para crear una sola alrededor de las familias de estándares de ISO (ASIS/BSI Business Continuity Management Standard - 2010). Sabia elección, porque siempre es mejor aunar que litigar. Muchos de los que practican el modelo británico se han visto y se ven en una situación incómoda, por aquello de que a todos nos cuesta un trocito de ego reconocer que hay que tomar otro camino contrario o diferente al que practicábamos desde hace un tiempo. Merece la pena dejar el ego atrás, sin duda.
El modelo basado en ISO 31000 es mucho más integral y explora un marco que no deja resquicio alguno. Además es relativamente multinacional y compila el esfuerzo inicial australiano y neozelandés, con el impulso del Sudeste Asiático y el reciente apoyo incondicional de Estados Unidos y la mayor parte de países europeos.
En ese marco de ISO 31000 la Gestión de Crisis sí es el pilar fundamental, que no el único, y los demás son absolutamente no solo necesarios sino completamente complementarios. En el ámbito de ISO31000 y en íntimo contacto se localiza el impulso creado y mantenido por ASIS International para Resiliencia Corporativa (acabamos de publicar el ultimo estándar aprobado por ANSI sobre el modelo demadurez de Resiliencia Corporativa). En ese paraguas monumental que es la Resiliencia, cabe todo, pero hace falta un hilo conductor que lo regule y coordine, y ese hilo conductor debe de estar en lo más alto de la cadena de Mando o Gestión si lo preferís.
Empezaré explicando por qué cuando acudimos a la definición se ve mucho mas claro el concepto. Al hilo de esto, permitirme de nuevo recomendaros un sumario sobre el PAS (Publicly Available Section) 200:2011 Crisis Management-Guidance and Good Practice llevado a cabo por Regester Larkin, que recoge bastantes puntos interesantes y también críticos sobre el estudio de Reino Unido (el PAS completo es de pago y creo que cuesta alrededor de 100 libras esterlinas).
Gestión de Crisis como su propio nombre indica hace referencia a dos cosas absolutamente claras en cualquier organización por grande o pequeña que sea: Gestión conecta con el Jefe Ejecutivo o el Consejo Directivo o los dos; y Crisis es una palabra que hemos desgastado y contaminado de tanto usarla. Una crisis no es un incidente ni un problema, es una situación muy, pero que muy complicada que se desarrolla en un ambiente inestable, complejo e inesperado, de desconocidas consecuencias (a veces “black swans”) y que pone en alto riesgo cualquiera de nuestros activos o pasivos más importantes, nuestras instalaciones y personal y nuestra reputación; y por ende hace peligrar la existencia de la propia organización en su estado actual. Podéis hacer una comparativa en uno de los últimos papeles de Marzo del BCI (CM What is and howis it delivered, 2012 BCI).
Las crisis, como los riesgos, no son malas por naturaleza, pueden serlo si nos pilla sin preparar pero pueden ser grandes oportunidades en las que fortalecer y consolidar los cimientos de la Resiliencia Corporativa. Os dejo un link de una definición escalable de cómo Gestión de Crisis conecta conResiliencia Corporativa, que hace poco llevamos a cabo cuando colabore con un par de buenas amigas del Fondo de Población (UNFPA) para finalizar su Plan de Continuidad de Negocio.
Todos tenemos problemas, pero de eso a una crisis hay un trecho, distancia que a veces no queda clara por falta de definición. Se trata en definitiva de una escala temporal que comienza con la localización un problema de desconocido impacto y consecuencias. El problema original se convierte en incidente cuando requiere una intervención de nuestro mecanismo de –primera- respuesta sea el que sea. Cuando la cosa se pone fea y parece ser que el sexto sentido del que responde le dice que esto no tiene muy buena pinta, pues ¿que hace?, lo de siempre, llama al jefe. Y el Jefe es quien declara si hay o no hay crisis. Eso ha sido así contado un poco en “Román paladino” o español de andar por casa.
En el Sistema de Gestión de la Resiliencia Corporativa (ORMS del inglés), el Sistema de Gestión de Incidentes (Incident Command System, ICS; que es básicamente nuestro servicio de seguridad y/o de emergencias internas, incluyendo médicos, psicólogos, encargados de instalaciones y recursos humanos de apoyo) se encarga de estimar la cuantía y calidad del impacto recibido (irrelevante, limitado, relevante, severo y extremo/critico). En cuanto tiene una somera idea de ello, determina si lo puede solucionar por si mismo, lo debe de monitorizar y avisar a alguien para alertar por si acaso o lo lanza al siguiente o más alto supervisor si se trata de un problema grave o gravísimo. También el ICS dispone de mecanismos que son automáticos, como evacuaciones sanitarias, evacuaciones de edificios, et al. que basados en determinados protocolos no precisa de autorización previa por la emergencia de que se trate.
Esto pone en alerta a los mecanismos de gestión de crisis que se preparan para lo peor y esperan lo mejor. Estos mecanismos o están en si mismos compuestos por los mas altos directivos o tienen línea directa con ellos y el consejo de Dirección. Una vez declarada la crisis por la autoridad interna que corresponda, sea el CEO o el equipo de gestión de crisis (CMT), se determinan las medidas a llevar a cabo: seguir monitorizando, activar el plan de continuidad (business continuity), recuperación de desastres (IT Disaster Recovery) o lo que haga falta en función de la situación. Hemos pasado en poco tiempo de un problema a un desastre o incluso una catástrofe. Estos dos últimos en realidad se ven venir inmediatamente, no los eventos en si mismos que son impredecibles pero si sus consecuencias y la magnitud del impacto recibido. Por eso hay que prepara mecanismos que disminuyan al mínimo la respuesta inicial, por limitada y exigua que sea, y que aceleren la integración del modo crisis en el mecanismo de gestión integral. Aquí se hace ver la valía de conectar y coordinar la preparación mediante un marco global como es la Resiliencia Corporativa. Rompemos los silos en la preparación y estamos preparados para la respuesta.
Con todo lo anterior vemos que aunque haya procesos que puedan automatizarse y producirse en aislamiento, el flujo regular obliga a pasar de un escenario a otro escalable en envergadura desde el ICS hasta Gestión de Crisis, y es Gestión de Crisis (conectado al mas alto escalón de mando) quien activa Continuidad o recuperación de desastres e indica como se van a llevar a cabo y cuales operaciones de recuperación, así como la relocalización si fuera precisa.
La conclusión final nos lleva a determinar que efectivamente gestión de crisis juega un papel de coordinación que facilita enormemente la toma de decisiones al más alto nivel y que encaja a la perfección con el concepto de Resiliencia Corporativa. Esto no desmerece en absoluto el papel indispensable que ha jugado la Continuidad de Negocio desde los 90 y las enormes contribuciones que han permitido madurar el modelo hasta el estado actual. Desde el entorno de respuesta inmediata de un negocio de pequeña o mediana entidad, las barreras o diferencias entre gestión de crisis y continuidad de negocio siguen siendo muy difusas o difíciles de identificar, en grandes empresas o instituciones la cosa esta muy clara, la apuesta es resiliencia.

22 enero 2013

La caza del Octubre Rojo

No voy a hablar de la película cuyo título se corresponde con el de este post, por mucho que Sean Connery sea uno de mis actores preferidos, pero he de reconocer que el "virus" descubierto  públicamente estos últimos días, bautizado como "Octubre Rojo", me ha recordado a la película por más motivos que por la simple coincidencia en el nombre: el papel de las instituciones gubernamentales, la capacidad del "virus" para permanecer sumergido en los sistemas... Un material que bien podría servir como argumento para una típica peli de espías hollywoodense.

Sin embargo, mi intención no es analizar las características de la película ni sus coincidencias con este malware en particular, sino hacer una pequeña reflexión acerca de este tipo de malware avanzado, forma tangible de las cada vez más conocidas APTs (Advanced Persistent Threats, o amenazas persistentes avanzadas).

En el fondo, todas las APTs funcionan de la misma forma. Un pequeño malware llega al destinatario, consigue ser ejecutado (por utilización de alguna vulnerabilidad del equipo o simplemente engañando al usuario) y se instala en el equipo de la víctima. A partir de ese momento, ese pequeño malware se dedica a conectarse periódicamente a una serie de servidores en Internet, los centros de control (conocidos como C&C, o Command and Control), desde los que se reciben las órdenes de las actividades maliciosas a llevar a cabo y/o a los que se envía la información recopilada.

En primer lugar me gustaría hacer una observación acerca del papel de los antivirus frente a este tipo de ataques. Obviamente, el software anti-malware es de propósito general, y su objetivo no es identificar ataques dirigidos y personalizados, como suelen ser (en distinto grado) las APTs. No obstante, el comportamiento básico de este tipo de malware es bastante similar en todos los casos, y se basa en actuar  como puerta trasera. ¿No sería posible hacer un esfuerzo especial en identificar este tipo de patrón de funcionamiento? Siendo consciente de la dificultad que puede suponer, creo que este es uno de los ámbitos en los que más se puede incidir en un futuro cercano.

Creo que también es destacable una de las características del "Octubre Rojo": el nivel de personalización (más allá de los destinatarios) del vector de infección (unos archivos en excel y word) era bastante bajo. O dicho de otro modo: esos mismos archivos podrían haber ido dirigidos a cualquiera. ¿Es la sociedad consciente de la existencia de esos ataques?

Redundando en la pregunta anterior, creo que también es destacable que el objetivo potencial del "Octubre Rojo" era prácticamente todo tipo de información que tuviera el usuario. ¿Somos conscientes de que TODA la información que tenemos en nuestro equipo es objetivo potencial de un atacante?

Por último, creo que también es destacable la modularidad del "Octubre Rojo", y su capacidad para cargar, ejecutar y eliminar de forma dinámica diferentes módulos con finalidades diversas, una vez realizas las acciones correspondientes. Me temo que ese planteamiento va a estar cada vez más extendido entre el malware moderno, de modo que cada vez será más complicado su identificación. Está preparado el mercado antimalware para hacer frente a software malicioso de estas características?

En definitiva, creo que la caza del Octubre Rojo puede ser una de las primeras batallas que tenga que lidiar la industria del antimalware a los ojos de la luz pública, y posiblemente sus resultados nos sirvan para hacernos una idea de la capacidad real de la sociedad para hacer frente a este tipo de amenazas. ¿Conseguirán cercar y dar caza al Octubre Rojo? ¿O conseguirán sus tripulantes alcanzar sus objetivos (si no lo han hecho ya)?