La resiliencia necesariamente rima con la capacidad de recuperarse después de un incidente cibernético o una interrupción de TI. Pero para recuperarse de manera más efectiva, una empresa obviamente tiene todo el interés en anticipar, evaluar y prepararse para el impacto. Este es el tema que tratamos con los ponentes de nuestro segundo show : Oliver Wild, director de riesgos y seguros de Veolia y presidente de Amrae (Asociación de Gestión de Riesgos y Seguros Empresariales), y Guy Duplaquet, jefe de departamento de la Dirección Interministerial Digital (Dinum).

Entonces, ¿quién mejor que un departamento de riesgos para apoyar a DSI, CISO y las líneas de negocio a anticipar las ciberamenazas y preparar una respuesta adecuada? Tiene, por naturaleza, experiencia y métodos de enfoque probados. Por supuesto, estamos hablando de grandes empresas. Sin embargo, las estructuras más pequeñas pueden acceder a él, por ejemplo, a través de plantillas o formación en Amrae. "También es interesante observar que cada vez más funciones distintas de los gestores de riesgos, sino más bien propietarios de riesgos, incluidos los CIO y CISO, se están inscribiendo en estos talleres", explica Oliver Wild.

"Cada vez más funciones distintas a los gestores de riesgos, incluidos los CIO y CISO, se inscriben en formación en gestión de riesgos", señala Oliver Wild, director de riesgos y seguros de Veolia y presidente de Amrae.

Índice
  1. Inspírese en métodos de riesgo probados
  2. Vea la retransmisión de la redacción de Le Monde Informatique y CIO con testimonios de Veolia y Dinum y nuestro estudio con tomadores de decisiones de TI de 250 empresas
  3. Un comité cibernético durante 6 años en Veolia
  4. DSI estatal alertado por los primeros incidentes
  5. Dinum duplica el bucle óptico de su red
  6. Los responsables franceses de la toma de decisiones en materia de TI están conscientes, pero mal preparados
  7. Vea la retransmisión de la redacción de Le Monde Informatique y del CIO con testimonios de Veolia y Dinum y nuestro estudio con los responsables de la toma de decisiones en TI

Inspírese en métodos de riesgo probados

Para él, sin embargo, el riesgo cibernético tiene sus especificidades. Empezando por la importancia que ha adquirido, claro está, con la intensificación de la transformación digital. Pero la amplia variedad de amenazas y remedios también hace que sea particularmente complejo abordarlo. Sin olvidar que, como todo lo digital, sigue evolucionando muy rápidamente. Sin embargo, los métodos de gestión de riesgos sí se aplican al riesgo cibernético, empezando por el mapeo, los escenarios y las pruebas. “El mapeo se basa en el análisis de diferentes escenarios, permite comprender mejor sus debilidades y, finalmente, evaluar el impacto potencial de una amenaza y el nivel de control de la empresa. Y debemos diseñar, dentro de este mapa global, un mapa dirigido a lo cibernético. » El nivel de granularidad es fundamental. En efecto, se trata de identificar los puntos vulnerables de la organización, como la producción en su conjunto para un industrial, y luego, dentro de esta actividad, las fábricas o sitios cuyo cierre tendría un impacto particularmente fuerte.

Vea la retransmisión de la redacción de Le Monde Informatique y CIO con testimonios de Veolia y Dinum y nuestro estudio con tomadores de decisiones de TI de 250 empresas

Un comité cibernético durante 6 años en Veolia

Luego, la empresa deberá desarrollar un plan de acción a través de escenarios de ataques, interrupciones, compromiso del sitio, etc. Escenarios que se probarán durante ejercicios regulares y que evolucionarán en función de las actualizaciones de la cartografía. “Los talleres y entrevistas para preparar el mapeo y los escenarios de gestión de crisis deben involucrar al departamento de riesgos, al departamento de TI, al CISO y a las líneas de negocio”, añade Oliver Wild. Además, es una forma de implicar y concienciar sobre el ciberriesgo a todos los equipos. Y eso es esencial. »

Desde hace aproximadamente 6 años, Veolia también ha creado un comité de ciberseguridad presidido por su secretario general, que reúne a DSI, CISO, DAF, el departamento técnico de soporte comercial, control interno y gestión de riesgos, en la persona de Oliver Wild. Cada mes, el comité vuelve a estudiar los riesgos a la luz de nuevas amenazas o evoluciones en la actividad, y evalúa los resultados de las campañas de prueba para relanzar otras. Una herramienta de gestión de riesgos cibernéticos muy pragmática.

DSI estatal alertado por los primeros incidentes

A veces, la aparición de incidentes con consecuencias menores pero preocupantes hace que se tome conciencia de la necesidad de estar mejor preparados. Así, en octubre de 2019, seis fenómenos climáticos en el sur de Francia provocaron pérdidas de energía y cortes de energía en la red interministerial estatal (RIE), lo que provocó el aislamiento de dos puntos de presencia durante varias horas. El incidente, que ocurrió un domingo por la noche, no afectó a los negocios, pero sí afectó la seguridad interna. Lo suficientemente preocupante como para que Dinum, el departamento informático estatal, decidiera proteger seriamente su infraestructura. Esto es lo que nos dice nuestro segundo ponente, Guy Duplaquet, jefe de departamento de la Dirección Interministerial Digital (Dinum). Se ocupa en particular de la RIE, que describe como un “vector central para el intercambio de datos entre los diferentes componentes” de la administración pública.

Dinum duplica el bucle óptico de su red

La RIE cubre todo el territorio francés con 14.000 sitios y más de un millón de usuarios internos. “Una red en la que el sol nunca se pone”, poetiza Guy Duplaquet. Una red segura, pero que además no está aislada del exterior. ¡Desde Covid, los intercambios de Internet han aumentado de 6 a 18 Gbps durante las horas pico! » Otra buena razón para protegerse más. "Hemos desplegado un importante programa de resiliencia destinado a la disponibilidad 5x9 de la red troncal", continúa el responsable de esta infraestructura crítica. Las soluciones identificadas para contrarrestar consecuencias más graves fueron de varios tipos. La primera solución, duplicar la red central del bucle óptico original, construida sobre enlaces coarrendados y cooperados con Renater.

"Hemos implementado un importante programa de resiliencia destinado a la disponibilidad 5x9 de la red troncal RIE", explica Guy Duplaquet, director de departamento de la Dirección Interministerial Digital (Dinum).

Otra medida de protección adoptada en esta ocasión, Dinum optó por un fabricante de equipos diferente para esta infraestructura con el fin de compensar “la pérdida de enlaces asociada al fallo del operador óptico o del fabricante del equipo”. Además, el segundo bucle óptico está diseñado de forma nativa para proporcionar cifrado en línea. El proyecto permitió multiplicar el rendimiento por 20 y aumentar la disponibilidad de la infraestructura. "Cuando se trata de seguridad, la disponibilidad es un elemento clave en términos de percepción del usuario", destaca Guy Duplaquet.

Los responsables franceses de la toma de decisiones en materia de TI están conscientes, pero mal preparados

Finalmente, el CIO quería conocer la situación real en términos de resiliencia de los SI en las empresas, preguntando a sus lectores, responsables de la toma de decisiones en materia de TI, sobre sus prácticas. De 180 a 250 empresas respondieron en línea entre el 5 de junio y el 15 de septiembre de 2023. Los resultados revelan un panorama contrastante del nivel de preparación de las empresas y administraciones francesas ante las crisis de ciberseguridad y las averías de sus sistemas informáticos. Si bien algunas prácticas muestran una conciencia cada vez mayor de los desafíos de la seguridad de TI, otras señalan una necesidad urgente de mejora. A modo de ejemplo, la mayoría de los encuestados (56%) ha implementado una estrategia de respaldo, pero el 31% aún no lo ha hecho. La observación es bastante similar cuando se trata de preparación para las crisis. Sólo alrededor de un tercio de las organizaciones realizan periódicamente ejercicios de simulación de crisis.

NUESTRO primera conferencia web analizó, por su parte, la gestión del día después con testimonios de BNP Paribas, el Hospital Universitario de Brest e InterCERT. En nuestro espacio Grands ThémasTambién encontrará la visión de un analista de la firma Forrester, entrevistas con Jérôme Notin, director general de Cybermalveillance.gouv.fr, o con Jean-Luc Angibault, experto en inteligencia estratégica, así como modelos de especificaciones.

Vea la retransmisión de la redacción de Le Monde Informatique y del CIO con testimonios de Veolia y Dinum y nuestro estudio con los responsables de la toma de decisiones en TI