La historia de una gestión adecuada de una brecha

Tenemos una interesantísima resolución de archivo de la Agencia Española de Protección de Datos. Me parece muy relevante para entender qué valora la Agencia para concluir que una brecha de seguridad ha sido gestionada de manera adecuada.  

La brecha de seguridad fue provocada en Mapfre por un ataque ransomware. En este enlace ya explicamos qué es esto del ransomware.

Medidas de mitigación que aplicó la empresa

Las medidas de mitigación que aplicó Mapfre para tratar de minimizar el impacto del ataque y solucionarlo fueron las siguientes:

1. Se aislaron segmentos de la red y se apagaron los sistemas hasta confirmar el alcance. 
2. • Estoy bastante segura de que esto no lo improvisaron sobre la marcha. Si pudieron activar unas medidas de mitigación rápidas es, fijo, porque tienen un buen plan de brechas de seguridad procedimentado e implementado.
3. Puesto que el ataque implicó que los malos les cifraran datos, (unido al apagado de equipos que tuvieron que hacer comentado en el punto anterior), la disponibilidad de recursos para trabajar quedó muy afectada, así que activaron su Plan de Continuidad de Negocio. 
4. • De nuevo, esto tampoco es improvisado. Convocaron al Comité de Crisis compuesto por un equipo multidisciplinar de diversas áreas de la empresa para activar el plan que tenían definido y, seguramente, probado. 
5. Gracias a que tienen prioridades de trabajo marcadas en el Plan de Continuidad de Negocio, fueron limpiando y controlando el entorno de manera ordenada y haciendo una restauración segura. En paralelo, se investigaba el incidente.
6. • Me repito: esto es gracias a procesos definidos en el Plan de Continuidad de Negocio y en el Plan de Brechas de Seguridad. No es magia, son instrucciones que las empresas deben definir para saber qué hacer cuando sucede la brecha, en lugar de ponerse a correr en círculos con las manos en la cabeza. 
7. Se pusieron en contacto con el CCN-CERT y el INCIBE, que son organizaciones de interés relacionadas con la ciberseguridad, para informarles de lo ocurrido y que pudieran alertar del tipo de ataque. 
8. • De nuevo, esto tampoco es improvisado. Por ejemplo, unos procedimientos basados en una ISO 27001 bien desplegada, recoge precisamente un objetivo de control consistente en el contacto con los grupos de interés. 
9. Denunciaron el ataque a la Guardia Civil.

Medidas de seguridad que tenían implementadas con carácter previo a la brecha de seguridad

1. Tenían procedimientos de gestión de usuarios y control de acceso lógico para la generación de alta de usuarios y asignación de credenciales de usuario, que incluye la realización de una evaluación de impacto para valorar los riesgos.
2. A partir de la crisis del Covid y la necesidad de teletrabajar, realizaron una reevaluación del riesgo e implantaron un plan específico de ciberseguridad, así como un plan de concienciación, también específico, para el personal. 
3. Tienen definido un plan de auditorías periódicas para revisar el cumplimiento de la normativa de protección de datos. 

Medidas de seguridad implantadas a partir de la brecha

Generaron algo llamado “plan de fortificación del entorno” que, al parecer, consistió en verificar que no se habían quedado puertas traseras abiertas por las que pudieran volver a entrar los malos. 

Archivo de las actuaciones 

La Agencia de Protección de Datos archiva las actuaciones, por tanto, no sanciona a la empresa y concluye:

• Que Mapfre disponía de medidas de seguridad razonables en base a los riesgos que había estimado. 
• Que si bien no están adheridos a un código de conducta, sí que han participado en la elaboración de una guía para el tratamiento de datos personales por aseguradoras. 
• Que el impacto producido sobre los datos personales fue bajo, porque eran datos básicos (ID de acceso a los sistemas y contraseña) y no tenían aplicación fuera de los entornos de sistemas de la empresa. Además, el volumen de datos afectados fue bajo (menos de 100).
• Que además de disponer de medidas técnicas y organizativas razonables para intentar evitar un ataque de este tipo, la reacción de la empresa a la brecha de seguridad fue diligente, tanto en su relación con organismos de interés (Incibe, CCN-CERT, Guardia Civil) como en el seguimiento de su evolución con la Agencia de Protección de Datos.

Redactado por Elena, a fecha 24 de marzo de 2021.