Firewalls y Cisnes Negros: Hablando de DORA con un experto en ciberseguridad

Shreeji Doshi

Estamos viendo cómo DORA ha establecido los requisitos en torno a la respuesta a incidentes y cómo eventualmente podría ayudar a la industria financiera dentro de los mercados de la UE, especialmente al reducir la probabilidad de un evento Cisne Negro. Realmente podríamos aprovechar tu experiencia en respuesta a incidentes para contextualizar eso.

En mi lectura de DORA, lo que he entendido es que DORA ha establecido requisitos bastante prescriptivos en torno a la respuesta a incidentes, lo cual en mi experiencia no he encontrado en otros estándares. Está entrando en un nivel significativo de detalle en ciertas áreas.

Una de ellas es el proceso de gestión de la respuesta a incidentes. Está siendo prescriptivo al indicar que el proceso debería indicar algún tipo de indicadores de alerta temprana. Entonces, el proceso de gestión de la respuesta a incidentes requiere que las organizaciones implementen algún tipo de indicadores de alerta temprana, tengan gabinetes de comunicación establecidos, establezcan procedimientos de respuesta a incidentes más detallados, no procesos, sino procedimientos, y comuniquen a los órganos de dirección.

En tu experiencia en respuesta a incidentes (IR) y revisando los planes y procesos de respuesta a incidentes de diversas organizaciones, ¿crees que las organizaciones ya han capturado esto? ¿O tendrán que revisar su documentación y cómo han establecido este proceso para alinearse con los requisitos en DORA?

Alistair Purdy

Sí, gracias Shreeji. Realmente bueno estar aquí. Está muy bien hablar sobre DORA y la respuesta a incidentes.

Creo que, desde mi experiencia en responder a cientos de incidentes, habrá un amplio perfil de cómo las empresas están preparadas para manejar esto. Muchas empresas pueden tener esos planes y procedimientos en su lugar, tener esos documentos que han publicado en caso de un incidente y seguir esas instrucciones paso a paso, o esas visiones más holísticas.

Pero en términos de algunos de los aspectos más técnicos que necesitamos considerar en relación específicamente con ese requisito de DORA, no creo que muchas empresas estén allí todavía. Detectar indicadores de alerta temprana es una forma muy 'genérica' de seguridad y eso podría abarcar un amplio grupo de procesos tecnológicos, incluidos los procesos en papel. Entonces, podrías estar buscando, ya sabes, la implementación completa de un centro de operaciones de seguridad con una cobertura avanzada de EDR o AV de próxima generación en todo tu ámbito, pero luego estarías mirando más allá del punto final.

Esto incluye tus firewalls perimetrales, tus firewalls internos, ya sabes, todas tus soluciones SaaS que tienen acceso a datos. Y comprender los datos que todos esos te dan en términos de respuesta a incidentes, y también poder mirarlos para encontrar esos indicadores de alerta temprana, eso será un desafío complejo para muchas organizaciones, diría yo.

Shreeji Doshi

De hecho, y en mi opinión, dado que no muchas organizaciones tienen esta capacidad incorporada, siempre tendrían que buscar un socio para ayudarles en este espacio. La mayoría de las grandes organizaciones pueden buscar desarrollar esta capacidad internamente, pero muchas organizaciones tendrían que buscar un socio. ¿Estás de acuerdo con eso?

Alistair Purdy

Estoy totalmente de acuerdo. Las organizaciones más grandes pueden tenerlo, o pueden buscar desarrollarlo, pero hay una inversión de capital significativa y una inversión de personal significativa en desarrollar esa habilidad y experiencia, no solo para tener las herramientas frente a ellos, sino para tener a las personas allí que sepan lo que están viendo y entiendan lo que están viendo, para ver si ese indicador que están viendo es un indicador de alerta temprana de un incidente o si es solo un problema de TI, que es uno de los desafíos que ocurre con, ya sabes, tratar de detectar estos eventos antes de que ocurran.

Entonces, creo que los socios y las empresas que buscan socios serán los más adecuados para preparar a las empresas para DORA y asegurarse de que cumplan, especialmente con este aspecto en particular.

Shreeji Doshi

Solo un último punto, si una organización busca externalizar estas actividades de gestión de incidentes, ¿todavía tendrían que tener alguna competencia interna para llevarlo a cabo?

Alistair Purdy

Definitivamente. Incluso al externalizar a un socio, estás trayendo una empresa para hacer, digamos, detección y respuesta gestionadas, y para ver todo tu ámbito. Todavía necesitarás algunas competencias internas para entender lo que tu socio te está diciendo, para que puedas trabajar con ese socio para asegurarte de que las cosas que plantean se revisen y se examinen.

A un nivel más amplio, también entender el beneficio que ese socio está aportando y lo que pueden ver. Porque necesitas a esa persona con ese contexto empresarial, ese entendimiento interno de lo que hace la empresa y dónde están sus riesgos, para entender dónde enfocar esa tecnología y proceso de personas desde su socio externo para asegurarlos mejor, y también cumplir mejor con DORA.

Shreeji Doshi

Y construyendo sobre eso, sabes, sobre el contexto empresarial, uno de los requisitos que veo como muy significativo y claramente establecido dentro de esta regulación es cómo clasificar los incidentes. ¿Cuáles son los parámetros mientras lo estás mirando? Y dentro de esos parámetros, ¿cuáles son los diversos componentes que necesitarás considerar? Y si tienes que categorizar o clasificar un incidente como un incidente importante, ¿cuáles son los umbrales de materialidad? DORA está yendo a un nivel muy prescriptivo para indicar cuál debería ser un umbral de materialidad.

Esto es algo muy, muy prescriptivo que no he visto antes. En mi opinión, nuevamente, esto es algo en lo que las organizaciones deberían pensar muy seriamente durante el proceso de planificación de respuesta a incidentes, para ver si se alinea con lo que DORA ha establecido.

Alistair Purdy

Después de haber revisado el estándar yo mismo, es muy prescriptivo. Aplica algunas pautas muy estrictas sobre lo que es un incidente importante, lo cual no es algo que, como dijiste, hayamos visto en ningún tipo de estándar o directiva antes. Entonces, para las organizaciones eso será un nuevo desafío implementarlo e integrarlo en su proceso de respuesta a incidentes, para asegurarse de que, cuando estén viendo el incidente, lo estén clasificando para sus propios fines.

También deben considerar si cumple con los requisitos de DORA en términos de un incidente importante. Entonces, las organizaciones tendrán que actualizar sus planes y procesos, pero también tendrán que probarlos. Tendrán que tomarse el tiempo para pasar por estos escenarios de lo que llamamos ejercicios de mesa, para realmente entender si las personas en la primera línea, lidiando con ello, pueden hacer esas evaluaciones y si todos están de acuerdo con cuál es su evaluación.

Porque cuando tienes algo tan rígido y prescriptivo, en mi experiencia, a menudo realmente obtienes más desacuerdo entre las partes sobre cuál es la clasificación en realidad, en comparación con si simplemente estás decidiendo si algo es un incidente o no en un sentido más general.

Shreeji Doshi

Ese es un punto realmente bueno que planteas, el probarlo, porque eso definitivamente ayudaría a las organizaciones a encontrar sus procesos para determinar la materialidad. Es una gran sugerencia y recomendación allí.

Shreeji Doshi

Sobre los aspectos específicos, ¿cuál es el beneficio general que está obteniendo el regulador al hacer esta armonización de la categorización o clasificación de incidentes en un incidente importante? ¿Cuáles son los beneficios que ves que suceden?

Alistair Purdy

Creo que, desde el punto de vista del regulador, y en general desde la industria de la ciberseguridad, los incidentes son un área un poco gris.

Realmente no sabemos que les ocurre a las empresas a menos que estén obligadas a informar a las personas al respecto. Y realmente no conocemos la escala de lo que está sucediendo en todo el mundo. Sabemos lo que se informa. Sabemos lo que recopilamos de nuestros activos de inteligencia de amenazas cibernéticas, pero no sabemos lo que está sucediendo que no sabemos.

Entonces, poner a las empresas en la vanguardia de tener que notificar a entidades y organismos reguladores, construye esa imagen de inteligencia para esos organismos para que puedan comprender mejor qué se debe hacer para asegurar nuestra economía digital, pero también entender qué otros pasos pueden tomar para brindar un mejor apoyo a todas las industrias y sectores.

En el sector financiero, verán algunos riesgos significativos en torno a los ataques cibernéticos. Darle al regulador contexto sobre lo que está sucediendo ayuda a impulsar esa industria hacia la seguridad de diferentes partes de la infraestructura o diferentes partes de la cadena de suministro dentro de los servicios financieros.

Shreeji Doshi

Sobre el aspecto de la notificación, es probable que hayas tratado con incidentes que requieren divulgaciones regulatorias en su mayoría, si no me equivoco, en áreas relacionadas con el GDPR.

¿Cómo ha sido tu experiencia? Porque lo que DORA está solicitando es un informe inicial, y luego un informe intermedio si hay algunos cambios materiales en la clasificación del incidente o el incidente en sí. Y luego un informe final, para establecer cuáles fueron las pérdidas, cuál fue el impacto, qué medidas correctivas se están implementando.

Está yendo a ese nivel de detalle, requiriendo tres tipos de informes que, como mínimo, las organizaciones necesitarían proporcionar si hay un incidente importante, y el informe intermedio puede presentarse varias veces durante el ciclo de vida del incidente. Los plazos aún no se han formalizado, tenemos que esperar un poco para eso.

¿Qué piensas al respecto?

Alistair Purdy

Creo que esto probablemente sea así. Lo que vimos con la implementación inicial del GDPR, habrá algunos casos de prueba, digamos así, justo al principio, donde las organizaciones hacen su mejor esfuerzo en esa notificación inicial, luego en la intermedia, y luego en una final, y proporcionan la información que creen que es relevante y cumple con lo que necesitan hacer. Y luego tendremos comentarios de los organismos que las reciben sobre el detalle que se necesita o no se necesita.

Sabemos, en relación con el GDPR y los plazos involucrados, todo el detalle que se necesita. Específicamente hablando sobre el Reino Unido, por ejemplo, la ICO y otras entidades que tratan con eso. Como los bufetes de abogados que ayudan a las empresas a hacer esas notificaciones, todos tienen un entendimiento muy firme sobre qué detalle se necesita en cada etapa para satisfacer a la ICO y asegurarse de cumplir con sus obligaciones.

Creo que veremos un proceso de eso siendo sentido por bufetes de abogados, o entidades, o empresas mientras avanzan con notificaciones dentro de los primeros años de que DORA se implemente completamente, probablemente. Creo que será un punto de espera para ver el detalle que se requiere. Y luego, como mencionaste en términos de plazos, será interesante ver qué plazos surgen de esto.

Como sabemos, hay 72 horas con el GDPR, pero este nivel de informes que se requiere parece ser un nivel por encima de lo que requiere el GDPR. Entonces, será interesante ver qué plazos proponen y requieren los diferentes organismos y qué tan bien se ajustan a las empresas que deben cumplir con los estándares de DORA.

Shreeji Doshi

Y posiblemente haya un impacto en nuestra industria, que es un negocio de consultoría cibernética o de consultoría cibernética que brinda estos servicios, para refinar sus procesos para poder cumplir con los estrictos requisitos de DORA.

Alistair Purdy

Correcto. Lo que estamos tratando de hacer en mi parte del negocio, que es la respuesta a incidentes, es asegurarnos de tener ese entendimiento de DORA, asegurarnos de tener ese entendimiento de lo que las empresas están obligadas a hacer. Entonces, cuando una de esas organizaciones llegue por la puerta, entendemos desde el principio que esta es una entidad que tiene un requisito de cumplimiento de DORA.

Si saben lo que están haciendo, genial, comenzaremos a trabajar con ellos. Si no, traeremos a expertos como tú, Shreeji, para ayudar a esa empresa a entender cuáles son sus requisitos y asegurarnos de que estemos haciendo eso en los plazos correctos con el nivel adecuado de detalle.

Shreeji Doshi

Genial. Otro requisito interesante que he visto, pero actualmente está a nivel voluntario, es el de informar sobre amenazas cibernéticas significativas. DORA pasa a explicar qué podría ser una amenaza cibernética significativa. En mi mundo ideal, este es exactamente el tipo de requisito que tendría; incluso me arriesgaría a decir que debería haber sido obligatorio, porque el tema de esta conversación es 'reducir los eventos de Cisne Negro'.

Y la presentación de informes obligatoria de cualquier amenaza cibernética significativa podría eventualmente beneficiar a todo el ecosistema, si esa información se transmite a todas las organizaciones dentro de él.

Alistair Purdy

Sí, definitivamente. Creo que el gran desafío para lograr eso, como dijiste, proviene de que es a nivel voluntario. Lo que impulsará el cambio es que las organizaciones entiendan que sus notificaciones de lo que perciben como una amenaza cibernética significativa no va a recaer sobre ellos.

No va a incitar al regulador a comenzar a llamar a su puerta y ver qué están haciendo. En cambio, será bien recibida como inteligencia compartida dada para fortalecer la comunidad y aumentar la colaboración. Ya sabes, como parte de una de las cosas principales que hacemos con la inteligencia de amenazas cibernéticas, construimos eso en la base de todo lo que hacemos.

Nos encantaría ver más informes de organizaciones que pueden ver amenazas mientras están surgiendo, porque eso no solo ayuda a las organizaciones a responder, sino que ayuda a toda la comunidad a responder, y ayuda a asegurar toda esa industria y, por extensión, especialmente con los servicios financieros, la economía digital en cada país.

Shreeji Doshi

Estoy muy gratamente sorprendido por los requisitos de DORA. Realmente espero que la presentación de informes de incidentes se vuelva obligatoria. ¿Tienes algo más, Alistair, que quisieras lanzarme?

Alistair Purdy

Solo para devolverte una. Por mi lectura de DORA, parece que está tratando de impulsar a las empresas hacia las mejores prácticas y los mejores enfoques para tratar la ciberseguridad.

Sí, hay todas estas cosas estrictas en torno a cómo clasificar los incidentes importantes y cómo quieren que las organizaciones respondan a ellos. Has leído mucho más sobre eso que yo. ¿Cuál es tu sensación general sobre el enfoque? ¿Qué resultados quiere esta regulación de DORA?

Shreeji Doshi

La intención del regulador es bastante clara. Quiere asegurarse de que la industria financiera, todos los participantes dentro de la industria financiera, no se vean afectados o al menos se vean menos afectados por los ataques cibernéticos.

Si hay un ataque como SolarWinds, podría haber enormes ramificaciones para toda la industria. DORA quiere reducir la probabilidad y también el impacto de que ocurra un evento así y estos requisitos estrictos que vemos sobre la presentación de informes de incidentes son esencialmente para abordar eso.

Entonces, en mi opinión, el regulador ha hecho un gran trabajo. Es un poco tarde, pero es genial que finalmente se esté poniendo al día.