ChileCompra tras ciberataque del 2023: como un incidente grave genera un giro virtuoso y mayor estrategia en ciberseguridadc
ChileCompra tras ciberataque del 2023: como un incidente grave genera un giro virtuoso y mayor estrategia en ciberseguridadc ChileCompra tras ciberataque deI 2023: como un incidente grave genera un giro virtuoso y mayor estrategia en ciberseguridad “Esto no nos puede estar pasando”, fue seguramente un pensamiento generalizado en el war room de ChileCompra ChileCompra aquel 12 de septiembre de 2023, día en que la entidad entidad a cargo de todas las adquisiciones públicas del Estado Li de Chile sufriera un ciberataque, dejando sin operaciones la plataforma de ChileCompra durante 8 días, cuatro de ellos hábiles, con un potencial impacto a 1.000 organismos del Estado y a más de 120.000 proveedores. ¿El culpable? culpable? Un ransomware que afectó a IFX Networks, de origen origen colombiano, quien era el proveedor tecnológico de la plataforma en ese entonces. Los aprendizajes han sido múltiples y muy satisfactorios tras el incidente.
Sin embargo, desde aquel 12 de septiembre, nada ha vuelto a ser lo mismo para los encargados de ciberseguridad ciberseguridad en ChileCompra. 1 ji 1 \. \___ \ u 1 // A partir de la fecha del incidente, ChileCompra ha analizado analizado y generado una serie de materiales, estrategias y valiosos aprendizajes para aumentar la capacidad y efectividad de respuesta ante ataques de ciberseguridad.
Para contextualizar el relato, debemos mencionar que tras verificar que las bases de datos no estuvieran infectadas, el día 19 de septiembre 2023 ChileCompra habilitó la plataforma plataforma en línea alojada en su sitio de contingencia y el 20 de octubre de 2023 la plataforma ya contaba con una operación normal, dando total seguridad a sus usuarios de que la data estaba 100% segura.
Interesantes es el estudio que realizó la Universidad de Chile con el Instituto de Sistemas Complejos de Ingeniería, Ingeniería, con el profesor Marcelo Olivares, donde se concluyó que los montos transados durante la caída se recuperaron en su totalidad a la semana siguiente.
Efectivamente hubo un estrés en ese momento porque no se podía comprar, pero en las semanas siguientes existió la recuperación y no hubo pérdidas (Ver recuadro). ppr Paolo Jeidres Jefe de Seguridad de La Información y Ciberseguridad ChiteCompra.
ChileCompra tras ciberataque del 2023: como un incidente grave genera un giro virtuoso y mayor estrategia en ciberseguridadc Desde ChileCompra complementan que contaban con un Plan de Recuperación de Desastres (DRP, por sus siglas en inglés) acotado, lo que permitió recuperar un respaldo de los datos de compras públicas y levantar, tras ocho días de caída, una plataforma en un sitio de contingencia con otro proveedor, el que contaba con los principales módulos módulos utilizados por los usuarios compradores y proveedores. hoy en día, y tras haber sufrido el peor incidente en su historia, ChileCompra entiende entiende que el DRP es un componente de algo mucho más crucial: el Plan de Continuidad del Negocio (BCP, por sus siglas en inglés). “Si bien teníamos un DRP donde podíamos migrar migrar toda nuestra operación a otro site, cuando nos migramos, la capacidad del segundo site no era adecuada para la operación que tenía que soportar soportar dentro de Mercado Público”, explica Paolo Jeldres, Jefe de Seguridad de la Información y Ciberseguridad en ChileCompra.
Más allá del BCP: La importancia de las personas, la resiliencia resiliencia y la colaboración interinstitucional “Cuando uno se ve enfrentado a un incidente de esta magnitud se genera una suerte de impresión impresión y como de paralización.
Además, el incidente incidente crece más y más, entonces todos los que participan del war room quedan algo pasmados en algún momento, pero comienzan a reaccionar reaccionar cuando asimilan la situación y hay que tomar tomar acciones”, dice el experto de ChileCompra.
“Es allí donde comienzan a aparecer los talentos naturales de las personas; algunos lo enfrentan enfrentan desde el lado del liderazgo para coordinar acciones y otros son aquellos que tienen conocimientos conocimientos duros del negocio y son ellos quienes comienzan a operar los planes de contingencia.
El documento del BCP no funcionó, pero las personas personas sí” Jeldres enfatiza que en ChileCompra hay gente que posee mucha experiencia con un acabado conocimiento de los procesos del negocio, tanto de compradores como de proveedores, lo que se enlaza a su vez con mensajes comunicacionales hacia el resto del equipo, que en definitiva fue lo que se hizo, “donde se generó una sincronización sincronización perfecta entre el área de negocios y comunicaciones, lo que decantó en que se fuera comunicando a los usuarios de Mercado Público”, Público”, señala el ejecutivo. Sin embargo, y a pesar de la calidad de los colaboradores, colaboradores, Jeidres indica que es clave establecer paso a paso un plan de continuidad operacional.
“Si bien, efectivamente existieron esos planes de contingencia, estos estaban más en la cabeza de las personas, lo que nos lleva a pensar que dependemos mucho de la experiencia que tienen tienen las personas que allí trabajan. Sin embarSept. embarSept. 2023 1 Incidente Recuperación de contingencia Octubre 2023 Verificación de recuperación Nov. Dic. 2023 Análisis de oportunidades de mejoras Feb.
Abril 2024 Diagnóstico Junio 2024 Definición de un plan de seguridad institucional Agosto 2024 Ejecución de prueba del BCP junto al DRP Enero 2024 Inicio de consultorías externas Mayo 2024 Presentación de resultados de diagnósticos y elección de proyectos a ejecutar Julio 2024 Desarrollo de la primera versión del BCP.
ChileCompra tras ciberataque del 2023: como un incidente grave genera un giro virtuoso y mayor estrategia en ciberseguridadc go, creo que para evitar contratiempos y estrés incluso, es importante que esto esté documentado y allí es super relevante relevante que el BCP esté documentado”. Otra de las lecciones más valiosas fue la importancia de la coordinación y colaboración colaboración entre los diferentes servicios públicos.
“En este caso tuvimos el apoyo de los directores de tecnología del Servicio Servicio de Impuestos Internos y DIPRES; por lo tanto, esta colaboración entre pares pares es una lección que también es útil para el resto. También tuvimos el apoyo del equipo de respuesta ante incidentes del Ministerio del Interior-CSIRT, que es clave”, dice Paolo Jeldres. Jeldres enfatiza que es necesario adoptar adoptar un enfoque proactivo en temas de ciberseguridad, el cual esté presente del principio en todos los proyectos que requieren requieren la digitalización de procesos de negocios. Esto no puede ser una revisión al final del término del proyecto. “Lo importante importante es garantizar la continuidad de las operaciones, al menos de los procesos procesos críticos, lo que se realiza a través de un plan de continuidad del negocio que se pruebe constantemente”, señala. BCP en 1 mes y diez días: ¿ cómo lo hicieron? Las mejoras para todo el sector público en temas de ciberseguridad resultan imperiosas. imperiosas. La ciberseguridad no es necesariamente necesariamente un problema de tecnología, sino que de establecer procesos.
“En las primeras reuniones con los encargados, encargados, nunca se habló del documento documento del BCP, pero no porque no exista, es porque es un documento que no se prueba y no se actualiza, queda rápidamente rápidamente obsoleto. Todo surgió a partir de las cabezas de las personas que estuvieron estuvieron en ese momento reunidas. Hay que tener una guía, una ruta que oriente, oriente, para no aumentar el estrés del equipo. equipo. Se realizó un diagnóstico de todo el equipo posterior al incidente, donde surgieron 18 oportunidades de mejora en ciberseguridad, es decir, 18 iniciativas iniciativas o proyectos”, detalla el ejecutivo. La clave es clara: la continuidad del negocio y las operaciones críticas.
Desarrollar Desarrollar un plan de continuidad de negocios negocios (BCP) que considere el levantamiento levantamiento de las necesidades de resiliencia de los procesos de la institución, además de un plan de recuperación de desastres (DRP). “Tuvimos que armar un Plan de Seguridad Institucional, que tiene Controles Controles de Seguridad, Concientización y un Plan de Continuidad del Negocio Primero que todo Jeldres detalla el paso a paso que tuvieron que realizar, donde destaca las medidas inmediatas que se tomaron: la creación del Comité Técnico, Técnico, conformado por el Jefe de división de tecnologías, Jefe departamento de operaciones, Ingenieros DevOps que se requieran, Jefe de seguridad de la información información y ciberseguridad (encargado del comité), Ingenieros de ciberseguridad que se requieran, Proveedores, Otros profesionales de Chile Compra.
Y la conformación conformación del Centro de Comando, conformado conformado por los jefes de la Institución “Luego generamos un Generamos un Producto Mínimo Viable (MVP, por sus siglas siglas en inglés), el cual se probó el 10 de agosto, donde los alcance y objetivos del plan BCP fueron los procesos de negocio críticos que apalanca la plataforma, tales tales como orden de compra, licitaciones, convenio marco, compra ágil trato directo, directo, entre otros.
Mantener la operatividad de los procesos de negocios críticos, así como comunicar de manera efectiva con todas las partes interesadas, también es clave”, explica Paolo. / / 1 c aESTUDIO aESTUDIO UNIVERSIDAD DE CHILE El estudio “Asesoría experta e investigación vinculada a la caída de Mercado Público: Cuantificación de los impactos y lecciones aprendidas”, indica indica que el ataque no afectó la competitividad y la participación participación de proveedores en los procesos de compra efectuados por los organismos organismos del Estado en 2023.
Esto debido a que las entidades entidades públicas transaron en las semanas posteriores (entre 20 de septiembre y 31 de octubre) al ciberataque más de 150 mil millones de pesos, sin un efecto negativo negativo en la competitividad y la participación de proveedores en los procesos, dado que se efectuó una mayor transacción transacción de montos a través de licitaciones públicas.. ChileCompra tras ciberataque del 2023: como un incidente grave genera un giro virtuoso y mayor estrategia en ciberseguridadc Si pudiéramos entregar recomendaciones recomendaciones para crear una primera versión de un BCP, debemos mencionar: contar con el apoyo de la alta dirección de la institución, mantener la simplicidad del documento (un paso a paso para poder operar), definir los procesos de negocio críticos, establecer fechas límites cercanas cercanas e involucrar a todas las áreas claves. Tecnológicamente hablando: ¿ cómo opera hoy el BCP y DRP “Convengamos que el DRP es un componente componente del BCP. El DRP que proyectamos en el mediano plazo estará en la nube.
Actualmente tenemos dos site (nubes privadas), y queremos que uno de ellos sea la nube de Google y allí alojar la mayor mayor parte de nuestro sistema y lo que apalanca Mercado Público, pero que nos permita no generar tantos costos, porque porque actualmente nuestro site de contingencia contingencia debemos tenerlo con la misma misma capacidad que tiene el site primario para que pueda responder por completo a una contingencia como la del año pasado”, pasado”, señala Jeldres.
En este caso la nube entrega elasticidad, porque permite tener una capacidad que está dormida, pero cuando surge una contingencia y el site primario, por ejemplo, desaparece, automáticamente se activa este secundario que está en la nube; gracias a su elasticidad, da el ancho para que todas las operaciones de Mercado Público sigan respondiendo de la misma manera como lo hacían en el primario. “En este desafío estamos con nuestro DRP, el cual esperamos probar de aquí a fin de año. Hicimos ya una prueba del BCP en paralelo con el DRP. Nuestra estrategia es probar el DRP de manera modular, donde todas las semanas estamos estamos haciendo determinadas pruebas, tanto de bases de datos, servidores virtuales virtuales y también a nivel de redes.
Todos estos testeos los estamos probando con la lógica actual del DRP, la que probamos probamos el 10 de agosto de este año, todo lo que tiene que ver con Google en la nube, estamos probando básicamente conexiones y tratar de establecer eso de manera robusta y sólida para poder llegar ojalá a fin de año a realizar una prueba general desde la nube”, detalla el ejecutivo.
A modo de recomendación, Paolo Jeldres Jeldres es enfático y muy conciso: “No basta basta con tener un documento de BCP, sino que es crucial concientizar a todos los actores, probarlo regularmente y perfeccionarlo perfeccionarlo continuamente para adaptarlo adaptarlo a diversos escenarios”, Finaliza.
O “Es allí donde comienzan a aparecer los talentos naturales de las personas; algunos lo enfrentan desde el lado del liderazgo para coordinar acciones y otros son aquellos que tienen conocimientos duros del negocio y son ellos quienes comienzan a operar los planes de contingencia. El documento del BCP no funcionó, pero las personas sí”.