Publicado el 26 de julio de 2024 por Editor
El 17 de julio, las Autoridades Europeas de Supervisión (ABE, EIOPA y ESMA) publicaron un segundo lote de productos de políticas en virtud de la Ley de Resiliencia Operativa Digital (DORA). Este paquete integral incluye cuatro borradores finales de normas técnicas regulatorias (RTS), un conjunto de normas técnicas de implementación (ITS) y dos directrices, todos diseñados para reforzar la resiliencia operativa digital del sector financiero de la UE.
Las nuevas regulaciones se centran en mejorar el marco de presentación de informes sobre incidentes relacionados con las TIC, introducir requisitos de pruebas de penetración basadas en amenazas y delinear el diseño del marco de supervisión.
Las iniciativas de la ESA se alinean con esfuerzos más amplios para aumentar la resiliencia en materia de ciberseguridad, especialmente a la luz de incidentes recientes como el error de software CrowdStrike Falcon, que causó importantes interrupciones en las TI a nivel mundial. Este incidente subraya la necesidad crítica de contar con una resiliencia cibernética sólida y capacidades de respuesta ante incidentes. A medida que las empresas dependen cada vez más de sistemas de TI complejos, la importancia de mantener la continuidad operativa y salvaguardar los datos se vuelve primordial.
El episodio de CrowdStrike sirve como un duro recordatorio de que incluso los fallos menores de software pueden tener consecuencias de gran alcance. Por lo tanto, la implementación de los requisitos de DORA es oportuna, con el objetivo de garantizar la prestación continua e ininterrumpida de servicios financieros en toda la UE. El marco regulatorio mejorado enfatiza las medidas proactivas, como las pruebas periódicas y la mejora de los informes de incidentes, para mitigar los riesgos cibernéticos de manera efectiva.
Las ESA ya han adoptado las directrices, mientras que el proyecto final de normas técnicas se ha presentado a la Comisión Europea para su revisión. Estas medidas contribuirán significativamente a la resiliencia y la seguridad del sector financiero, haciendo frente a las ciberamenazas actuales y emergentes.
Para obtener más detalles sobre los nuevos productos de políticas bajo DORA, consulte aquí, y para obtener más información sobre CrowdStrike, consulte aquí.
Ciberseguridad DORA ESAS Resiliencia
La interrupción de CrowdStrike y Microsoft revela importantes problemas de resiliencia
En el punto de mira: control de calidad, resiliencia empresarial y puntos únicos de fallo
• 19 de julio de 2024
Cualquiera que pudiera dudar de hasta qué punto las empresas dependen de los sistemas de TI no necesita más que observar cómo un pequeño fallo en el software de ciberseguridad Falcon de CrowdStrike ha provocado una disrupción global. Algunos dicen que tal vez no sea solo la mayor disrupción de TI de este año, sino la mayor de la historia.
Los expertos dicen que el incidente es un recordatorio de que todas las empresas, independientemente de que utilicen o no una marca particular de software de seguridad, necesitan mantener una sólida confianza empresarial y capacidades de respuesta a incidentes, ya que pueden ocurrir cortes de TI inesperados en cualquier momento (ver: Bancos y aerolíneas afectados por corte masivo en PC con Windows).
Se espera que CrowdStrike, que cotiza en bolsa, enfrente preguntas difíciles de inversores, reguladores y clientes sobre sus prácticas de prueba y gestión de cambios, así como preguntas más amplias sobre los proveedores de software, los puntos únicos de falla y si los sistemas operativos necesitan mejores defensas contra el software que se comporta mal.
Basta con observar el impacto de esta falla de software, que provocó que muchas PC con Windows mostraran una «pantalla azul de la muerte» y se reiniciaran en un bucle imparable. Las interrupciones resultantes provocaron la cancelación de procedimientos hospitalarios, aviones y trenes; dejaron a los clientes sin poder acceder a aplicaciones bancarias o pagar en persona en algunas tiendas con tarjetas de crédito; impidieron que los principales medios de comunicación transmitieran noticias en vivo; y mucho más.
«No creo que sea demasiado pronto para decirlo: será la mayor interrupción de TI de la historia», dijo el experto australiano en ciberseguridad y violación de datos Troy Hunt en una publicación en la plataforma social X. «Básicamente, esto es lo que nos preocupaba a todos con el Y2K, excepto que esta vez realmente sucedió».
Aun así, los accidentes ocurren y los analistas de Wall Street dijeron que esperan que este episodio tenga poco o ningún impacto a largo plazo en la reputación o el valor de las acciones de CrowdStrike. Las acciones de CrowdStrike cayeron 38,09 dólares por acción, o un 11%, a 304,96 dólares al cierre del mercado el viernes.
El director ejecutivo de CrowdStrike, George Kurtz, apareció en NBC News el viernes por la mañana para disculparse. «Lo sentimos profundamente», dijo, y atribuyó la interrupción al fallo en el código que se envió a algunos clientes a través de las actualizaciones automáticas de software de la empresa. «Esa actualización tenía un error de software y provocó un problema con el sistema operativo de Microsoft».
«Lo de hoy no fue un incidente de seguridad ni cibernético», dijo Kurtz en una declaración a Information Security Media Group. «Nuestros clientes siguen estando completamente protegidos. Entendemos la gravedad de la situación y lamentamos profundamente los inconvenientes y las interrupciones. Estamos trabajando con todos los clientes afectados para garantizar que los sistemas vuelvan a funcionar y puedan prestar los servicios con los que cuentan sus clientes».
CrowdStrike afirmó que había corregido el fallo y había comenzado a distribuir la solución a través de actualizaciones de software automáticas. Los administradores afirman que esto ha solucionado el problema en algunos equipos, servidores y servidores virtuales afectados. El proveedor también ha instado a todos los clientes a que estén atentos a su portal de soporte y se pongan en contacto con los representantes de la empresa.
Aun así, varios administradores de TI han informado que han tenido que reparar manualmente sistemas físicos que se han quedado atascados en un bucle de reinicio. Como resultado, reparar todos los sistemas afectados podría llevar una cantidad considerable de tiempo, a menos que CrowdStrike o quizás Microsoft puedan ofrecer formas más automatizadas de solucionar el problema.
Numerosos administradores de TI afirman que han despejado su agenda para trabajar durante el fin de semana. Muchos prevén tener que acudir al lugar de trabajo para recuperar manualmente cualquier PC atascado en un bucle de reinicio, y la clasificación sigue siendo la orden del día. «Las organizaciones deberán priorizar los sistemas que son más críticos para su negocio y recuperarlos en orden de prioridad», dijo el consultor de ciberseguridad Brian Honan, quien dirige BH Consulting, con sede en Dublín.
También puede ser necesario clasificar a los equipos de TI. «Si bien muchas organizaciones afectadas querrán volver a la normalidad lo antes posible, el personal de TI necesitará apoyo más allá de las horas inmediatas de respuesta, en particular porque a menudo se pasa por alto el impacto mental y físico de los incidentes cibernéticos», dijo Pia Hüsch, investigadora del Royal United Services Institute, un grupo de expertos británico en defensa y seguridad.
Característica de seguridad importante: Rechazo de colisiones
No es la primera vez que una mala actualización de software provoca que los sistemas se bloqueen y luego se reinicien en un bucle sin fin. Una pregunta que se plantea con frecuencia es: ¿qué hace a continuación un proveedor?
El gigante de la red de distribución de contenidos Akamai se enfrentó a este problema hace 20 años, cuando se distribuyó en una actualización una actualización de metadatos incorrecta que especificaba cómo debía gestionarse el tráfico de cada cliente. Esto provocó que los servidores que se encontraban con la actualización incorrecta se bloquearan y se reiniciaran, volvieran a encontrar la actualización incorrecta y siguieran bloqueándose y reiniciándose, dijo Andy Ellis, CISO de Akamai en ese momento, que ocupó el cargo durante 25 años.
«Al menos, tuvimos una rápida recuperación y el incidente se solucionó muy rápidamente. Pero al realizar el análisis de seguridad, se trataba de un peligro que queríamos mitigar mejor, por lo que adoptamos el rechazo de accidentes», dijo Ellis, que ahora es socio operativo de la firma de capital de riesgo de ciberseguridad YL Ventures, en una publicación en X.
El enfoque de Akamai para rechazar fallas implicaba que su software recibiera una actualización y la colocara en una carpeta temporal, probara la actualización para asegurarse de que funcionara y solo la moviera de la carpeta temporal a su ubicación permanente si funcionaba.
«Si las cosas no salían bien, la aplicación se bloqueaba y, al reiniciarse, nunca se daba cuenta de la actualización tóxica. Se había revertido automáticamente y solo había sufrido una única falla mientras tanto», dijo Ellis.
Este enfoque no solucionará todos los tipos de problemas de actualización automática de software y puede resultar complejo de codificar debido a otros problemas que también pueden provocar que una aplicación se bloquee. «Pero si estás escribiendo software que se actualiza dinámicamente, el rechazo de bloqueos es una de las muchas prácticas de seguridad que debes incorporar», afirmó.
Además de analizar lo que CrowdStrike debería hacer, la interrupción también resalta cómo las protecciones a nivel del sistema operativo no evitaron que este tipo de software enviara a los sistemas Windows a un ciclo interminable de fallas y reinicios, dijo JJ Guy, CEO de Sevco Security.
«Eso es el resultado de la poca capacidad de recuperación del sistema operativo Microsoft Windows», dijo en una publicación en LinkedIn. «Cualquier software que cause fallas repetidas al iniciar el sistema no debería ser recargado automáticamente. Tenemos que dejar de crucificar a CrowdStrike por un error, cuando es el comportamiento del sistema operativo el que está causando las fallas sistemáticas repetidas».
Preguntas sobre resiliencia
Las interrupciones causadas por el error de CrowdStrike, que comenzaron el jueves y parecieron alcanzar su punto máximo el viernes, son un recordatorio del efecto que cualquier interrupción de TI puede tener en las empresas, los socios y los clientes. Esto indica la necesidad de una planificación sólida de la resiliencia dentro de cada empresa, independientemente del software o los servicios que utilice.
«Las organizaciones deben considerar los riesgos cibernéticos como riesgos empresariales y no simplemente como riesgos informáticos, y planificar su gestión en consecuencia», afirmó Honan, que fundó el primer equipo de respuesta a emergencias informáticas de Irlanda. «En particular, las organizaciones deben diseñar, implementar y probar periódicamente planes sólidos de resiliencia cibernética y continuidad empresarial, no solo para sus propios sistemas, sino también para los servicios y sistemas de los que dependen dentro de su cadena de suministro».
Los expertos recomiendan que las organizaciones desarrollen planes de resiliencia empresarial diseñados para enfrentar las principales amenazas que enfrentan, que pueden incluir interrupciones inesperadas de TI debido a ataques de ransomware, errores de empleados o desastres naturales. Aún más importante, dicen, es poner en práctica estos planes porque, para ser efectivos, deben involucrar a muchas partes diferentes de una organización, no solo a TI, y tener un mandato de arriba hacia abajo (ver: Respuesta a incidentes: mejores prácticas en la era del ransomware).
Supervisión del cumplimiento normativo
Esto no debería ser una novedad para los consejos directivos expertos en ciberseguridad. En la UE, tanto la Directiva de Seguridad de la Información y las Redes 2 (NIS2) como la Ley de Resiliencia Operativa Digital (DORA) exigen que las organizaciones reguladas tomen «las medidas adecuadas para gestionar el riesgo cibernético dentro de sus propias organizaciones y, lo que es igual de importante, dentro de su cadena de suministro», afirmó Honan.
Los equipos de ciberseguridad tienen un papel crucial que desempeñar no solo para defender los sistemas, sino también para ayudar a que vuelvan a funcionar en caso de incidente, ya sea un ataque, un error de un empleado o una mala actualización de software de un proveedor.
Este fin de semana, los equipos de TI trabajarán hasta altas horas de la noche para intentar restaurar los sistemas afectados. Después de eso, es de esperar que los CIO y CISO se pregunten qué lecciones deben aprenderse de las interrupciones de CrowdStrike.
«Puedo decirles: si la ‘actualización de mal proveedor’ no es parte de un manual de respuesta a incidentes, debería serlo el lunes», dijo Ian Thornton-Trump, CISO de Cyjax.
Schwartz es un periodista galardonado con dos décadas de experiencia en revistas, periódicos y medios electrónicos. Ha cubierto el sector de la seguridad de la información y la privacidad a lo largo de su carrera. Antes de unirse a Information Security Media Group en 2014, donde ahora se desempeña como editor ejecutivo de DataBreachToday y de la cobertura de noticias europeas, Schwartz fue reportero de seguridad de la información para InformationWeek y colaborador frecuente de DarkReading, entre otras publicaciones. Vive en Escocia.
Publicado originalmente: https://www.xbrl.org/news/increasing-cybersecurity-resilience-with-new-dora-products/