Respuesta ante un incidente de seguridad importante
Por Arturo Navarro
Experiencia como CISO
En medio del conflicto en Ucrania, mi papel como CISO requirió gestionar frecuentes ataques de denegación de servicio (DoS) y monitorear canales de comunicación a menudo utilizados por estos grupos para difundir sus intenciones.
Dirigí el desarrollo de una estrategia de defensa integral, integrando inteligencia de amenazas y avanzando en la segmentación de la red. Mediante la aplicación de técnicas de engaño y la búsqueda proactiva de amenazas, neutralizamos eficazmente a los atacantes, fortaleciendo así nuestra resiliencia en ciberseguridad.
Un incidente significativo involucró la colaboración entre una empresa externa y una entidad del grupo bancario, bajo mi liderazgo como CISO Global, lo que llevó al compromiso de los permisos de acceso de un usuario. El grupo de ransomware Play explotó este acceso para exfiltrar información con fines de extorsión después de lanzar un ataque.
Respuesta ante un incidente de seguridad importante
El ataque se detectó después de su lanzamiento, debido a alertas mal configuradas para indicadores de compromiso, principalmente por una falta de comunicación sobre su existencia por parte de la entidad comprometida. Las medidas de respuesta se localizaron rápidamente y de manera efectiva, permitiendo la eliminación del entorno de producción comprometido y el establecimiento de entornos aislados para análisis forense y la implementación de nuevos servicios de manera segura. Notablemente, optamos por no utilizar copias de seguridad de Active Directory, eligiendo en su lugar reconstruirlas desde cero.
Se estableció de inmediato un marco de gestión de crisis, facilitando la comunicación transparente tanto con partes interesadas internas como externas, incluidos reguladores y clientes, respecto al incidente. Este enfoque aseguró actualizaciones consistentes sin la necesidad de una agencia de comunicación especializada.
La piedra angular de nuestra estrategia de respuesta a incidentes incluyó acción rápida, análisis forense exhaustivo y comunicación eficiente del equipo. Al aislar los sistemas afectados, eliminar la amenaza y restaurar las operaciones con el mínimo tiempo de inactividad, mitigamos significativamente el impacto del ataque. Las mejoras futuras podrían centrarse en la detección de amenazas mejorada a través de monitoreo avanzado, identificación de activos y detección de anomalías impulsada por IA.
Coordinación con la Agencia Pública
He demostrado una capacidad constante para coordinar eficazmente las operaciones de seguridad de nuestra empresa con agencias nacionales de ciberseguridad, como INCIBE, CNPIC y CCN, durante campañas extensas de malware y ataques DoS orquestados. Esta cooperación incluyó el intercambio de inteligencia sobre amenazas, la implementación de medidas de protección recomendadas y la participación en informes conjuntos, resaltando el papel crítico de las asociaciones público-privadas en fortalecer las estrategias de defensa colectiva contra las amenazas cibernéticas.
A lo largo de mi mandato como CISO Global, también me involucré con varias organizaciones regulatorias y gubernamentales para asegurar el cumplimiento y reforzar las medidas de seguridad. Estas interacciones incluyeron colaboraciones con el Banco de España para cumplimiento regulatorio y seguridad financiera, la Agencia de Protección de Datos para la adhesión a las leyes de privacidad de datos, y el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) para proteger servicios e infraestructuras esenciales.