Este pasado miércoles la compañía aérea alemana indicaba a través de su cuenta de twiter que había sufrido un fallo informático debido al corte de la fibra óptica de uno de sus proveedor de telecomunicaciones en Frankfurt:
Ahora que las cosas han vuelto a la operativa normal, desde el mundo de la seguridad de la información reflexionamos si la entidad que ha sufrido esta incidencia ha puesto el remedio que hace falta para evitar que vuelva a pasar en un futuro algo parecido. Es decir, toca hablar de las lecciones aprendidas.
Nos preguntamos si esta entidad u otras, ante una situación parecida habrán corregido los errores que provocaron que no se restableciera el servicio tras el corte de telecomunicaciones de un proveedor. Para ello tendríamos que llegar a conocer la causa raíz para ello:
- Conocer si se debe a un procedimiento no documentado, en primera fase de respuesta
- Si alguna persona no hizo lo que correspondía en el momento adecuado o no tenía los recursos adecuados a su mano
- Si había recursos suficientes en el momento de la interrupción del servicio, porqué no se activaron las líneas secundarias de forma automática, nos preguntamos.
- ¿A caso no había líneas secundarias? Muchas entidades están desechando los radioenlaces y basando todas sus comunicaciones en la fibra óptica. ¿Fue este el caso? ¿No estaba bien diseñado el añillo de comunicaciones redundantes y pasaba el tráfico por un cuello de botella?
- Si se habían hecho pruebas reales frecuentemente y de manera sistemática que simularan las operaciones en caso de corte de la línea principal de fibra óptica
Desde nuestra humilde opinión, las empresas que hoy en día se toman la seguridad de la información con la consideración adecuada, deben tomar aún más en conciencia de la necesidad de una implantación real de sus políticas y procedimientos, además de probarlas frecuentemente. Y esto significa invertir en presupuesto, personal, y tiempo asignado al equipo humano para ello.
Entre algunas de las recomendaciones que podemos apuntar, consideramos que se debería tener recursos para poder implantar o al menos sopesar el riesgo que supone no disponer de unas buenas medidas de seguridad necesarias. Ya sean identificadas por las mejores prácticas, como si provienen como oportunidades de mejora.
Además, se debería ser consciente de la documentación actualizada que se dispone para todas las actuaciones críticas de la entidad. Y un aspecto que a veces se deja de lado. Las entidades deberían poder permitir que las oportunidades de mejora afloren de forma natural dentro de la empresa. Para ello se recomienda tener la capacidad de poder formar al personal a lo largo del tiempo y poder ser lo suficientemente buen receptor de realimentaciones por parte de los miembros del equipo humano, cuando estos las detecten y aporten, para que realmente aporten valor. Si la política concreta que la compañía de la noticia adoptó en su momento, fue basar todas sus comunicaciones en enlaces vía fibra óptica y desechar alguna redundancia vía radioenlace para casos de contingencia, como le hubiera aconsejado algún veterano miembro del equipo de telecomunicaciones, si ese fue el caso, ya podemos deducir que esa oportunidad de mejora tuvo su seria repercusión negativa el pasado miércoles 15 de febrero.
Finalmente indicar que, aunque muchas veces las inversiones en seguridad de la información y continuidad de negocio se perciben como un gasto que no tiene una repercusión directa en el rendimiento de la empresa. A través de los casos reales que nos encontramos en las noticias, podemos llegar a percibir que, si las buenas instrucciones se quedan en el papel y no se llevan a la realidad, los incidentes de seguridad que solemos ver en los titulares continuarán siendo habituales.
Vicent Signes
Consultor Senior GRC
Audea Seguridad de la Información