Lectura 4:00 min
¿Qué es un plan de respuesta a incidentes?
El incidente con el procesador de transacciones con tarjetas bancarias Prosa fue un incidente de seguridad de la información, por lo que requirió un plan de seguridad y un plan de respuesta a incidentes.
Además de la integridad y la confidencialidad, una de las tres aristas de la seguridad de la información es su disponibilidad, por lo que el incidente del servicio de tarjetas de pago Prosa puede catalogarse como un problema de seguridad de la información, de acuerdo con Jesús Navarro, director de la empresa mexicana de ciberseguridad Data Warden.
“Se considera un problema de seguridad el hecho de que la infraestructura no estuvo disponible para ofrecer el servicio para el cual fue implementada”, dijo Navarro en entrevista y añadió que esto no significa que la plataforma haya sufrido un ataque cibernético.
El pasado sábado 10 de agosto, usuarios de tarjetas de pago se quejaron en redes sociales porque sus pagos con tarjetas de crédito y débito no eran aceptados por las terminales de varios establecimientos. Algunas horas después, bancos como Santander, BanBajío y Banorte, anunciaron que sus terminales estaban mostrando intermitencias o que su proveedor estaba realizando una actualización.
Fue hasta la noche del mismo sábado que el procesador de tarjetas y proveedor de estas instituciones bancarias Prosa anunció a través de sus redes sociales que la falla que presentó en uno de sus centros de datos había sido reparada y que la mayoría de sus servicios ya se encontraban funcionando.
Tres días después del incidente de Prosa, tanto la Comisión Nacional Bancaria y de Valores (CNBV) como el Banco de México (Banxico) aseguraron que estaban investigando el incidente y si la empresa cumplía con las certificaciones de seguridad necesarias para operar. Prosa, por su parte, indicó que cumple con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS por sus siglas en inglés) creado por el Consejo sobre Normas de Seguridad de la PCI que integran compañías como American Express, Visa y Mastercard, entre otras.
Plan de respuesta a incidentes
De acuerdo con Jesús Navarro, el estándar de seguridad de datos abarca procesos, políticas, tecnología e infraestructura para proteger la información, todo esto enfocado a un plan de negocio, en este caso el procesamiento de tarjetas de pago.
Según el directivo de Data Warden, se trata de una serie de procesos que deben asentarse en un plan que permita a una organización restaurar o recuperar sus operaciones críticas sin verse afectada en los procesos de negocio o con un muy mínimo impacto sobre el mismo.
Los objetivos de este plan son:
- Mantener los niveles de servicio en sus límites definidos.
- Definir un periodo de recuperación mínimo.
- Recuperar la situación inicial ante cualquier incidente de seguridad.
- Analizar los resultados y los motivos de los incidentes.
- Evitar que las actividades de la empresa se interrumpan.
Navarro explicó que el plan de respuesta a incidentes es parte del plan de seguridad y debe documentar cómo se va a reaccionar ante el evento de una pérdida de datos; el acceso no autorizado a un sistema o una interrupción de servicio, como ocurrió en el caso de Prosa.
Además de los elementos para contener el incidente, es decir evitar que el problema se propague, es necesario que el Plan de Respuesta a Incidentes cuente con esquemas de flujos para la toma de decisiones, claridad respecto del personal y equipo de trabajo responsables para activar el plan; así como el establecimiento de soluciones temporales y definitivas para este tipo de incidentes.
De acuerdo con Navarro, el plan debe contar también con una estrategia de comunicación a medios que incluya los medios necesarios para la declaración de una situación de crisis tanto en el interior como en el exterior de la compañía; así como los teléfonos y datos de contacto del personal implicado en la gestión de la crisis.
(Con información de Edgar Juárez y Yolanda Morales)