Resumen de la nueva ISO 22301 sobre gestión de la continuidad del negocio

La ISO 22301:2012 es el nuevo estándar internacional que especifica los requisitos para configurar y gestionar de forma eficaz un Sistema de Gestión de la Continuidad de Negocio (BCMS por sus siglas en inglés).

Podríamos decir que el BCMS es para la continuidad del negocio lo que el SGSI de la ISO 17799 y la ISO 27001 es la para la seguridad de la información. De hecho, el BCMS y el SGSI comparten el típico proceso continuado de mejora Plan-Do-Check-Act (PDCA) entre otros muchos puntos en común.

Con la implantación de un BCMS una empresa se planteará las siguientes metas:

1. Entender las necesidad de establecer una política y unos objetivos en relación a la gestión de la continuidad del negocio

2. Implantar controles y medidas dirigidas a gestionar la capacidad de la organización para atender incidentes que puedan tener un impacto significativo en la continuidad de su negocio

3. Monitorizar y revisar el rendimiento y la eficacia del BCMS

4. Mejorar continuamente el modelo de acuerdo con una medición objetiva de los resultados

El BCMS, como cualquier otro sistema de gestión, tiene los siguientes componentes:

1. Una política

2. Unas personas con responsabilidades definidas

3. Unos procesos de gestión relacionados con la política, la planificación, la implantación, la operativa, la valoración del rendimiento, la revisión de la gestión y la mejora contínua.

4. Unos documentos que suministren evidencias auditables

5. Cualquier proceso de gestión de la continuidad del negocio que sea relevante para la organización

La ISO 22301:2012 es aplicable a organizaciones de cualquier tipo y tamaño que deseen:

1. Establecer, implantar, mantener y mejorar un BCMS,

2. Asegurar la conformidad con políticas declaradas de continuidad de negocio

3. Demostrar la conformidad a terceros

4. Solicitar la certificación o registro de su BCMS por parte de una entidad de certificación

5. Realizar una autoevaluación o una autodeclaración de conformidad con este estándar internacional.

En mi opinión, la implantación de un BCMS conforme con esta ISO supone una prueba inequívoca de la diligencia debida y del esfuerzo realizado por una empresa para garantizar la continuidad de su negocio, contribuyendo al objetivo de minorar su responsabilidad por los daños causados a terceros a causa de la interrupción de su actividad, prestación de servicios o suministro de productos.

Al mismo tiempo, genera evidencias de la existencia de controles preventivos que pueden permitir enervar la responsabilidad penal en el caso de delitos directamente relacionados con la continuidad del negocio, como los delitos medioambientales, el delito de daños o los delitos los relacionados con la seguridad de la información.

Esta ISO es altamente recomendable para los proveedores de outsourcing, cloud computing y hosting, así como para las empresas que gestionan infraestructuras críticas.

Primer ciberataque a una infraestructura crítica

El servicio de distribución de agua de Illinois puede haber sido la primera infraestructura crítica norteamericana en sufrir un ciberataque desde el extranjero.

Los atacantes, que presumiblemente habrían utilizado un servidor ubicado en Rusia para acceder al sistema, utilizaron las claves de acceso que previamente habían obtenido de un proveedor relacionado con el sistema de control industrial que permite la automatización y la gestión remota de este tipo de infraestructuras.

El resultado del ataque fue la desactivación de una bomba del servicio de distribución de agua.

El proceso seguido para el ataque se aprovechó, supuestamente, de los eslabones más débiles de la cadena de seguridad siguiendo un plan que podría ser probablemente el siguiente:

1. Identificación de los proveedores que tienen acceso al sistema de control industrial (SCADA) o prestan servicios que exigen tener dicho acceso. A través de cualquier buscador se pueden localizar las páginas web de los proveedores que ofrecen estos servicios o productos.

2. Selección de los proveedores que pueden ser más vulnerables a un acceso no autorizado o a una estrategia de ingeniería social. Algunos indicadores externos pueden ser el haber realizado recientemente un ajuste de plantilla o haber aplicado un severo plan de austeridad presupuestaria (aunque ello no debería afectar teóricamente a la seguridad de sus sistemas).

3. Obtención de las claves de acceso mediante un ataque al sistema del proveedor o un engaño a sus empleados.

4. Selección de un servicio público como vía de acceso al sistema de control industrial por considerar que, al depender del sector público, estará afectado por restricciones presupuestarias y los sistemas de seguridad no estarán actualizados.

5. Acceso al sistema de la infraestructura crítica y obtención de los privilegios necesarios para actuar sobre los controles que permiten gestionar local y remotamente la infraestructura.

De confirmarse las características del ataque, el método utilizado y las vulnerabilidades explotadas por los atacantes, las conclusiones son obvias, y las recomendaciones a los operadores de infraestructuras, también:

1. La seguridad debe estar al margen de cualquier restricción presupuestaria, pública o privada.

2. El control en materia de seguridad debe extenderse a los proveedores, aplicando un estricto sistema de homologación y auditoría continuada.

3. El sistema de control SCADA debe ser objeto de una profunda revisión y actualización continuada en materia de seguridad, si se confirman sus posibles vulnerabilidades en relación al protocolo TCP/IP.

4. Debe acelerarse el desarrollo y la aplicación de los planes de protección de infraestructuras críticas.

5. Los operadores de infraestructuras críticas y sus proveedores deben aplicar normas internas y ampliar la formación de sus empleados en materia de seguridad e ingeniería social

Normas relacionadas

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas

Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas

Resolución de la Secretaría de Estado de Seguridad por la que se acuerda la apertura del trámite de información pública respecto a las guías de contenidos mínimos del Plan de Seguridad del Operador y del Plan de Protección Específico como instrumentos de planificación del Sistema de Protección de Infraestructuras Críticas