Vida Santander

Simulacro del Gestión de Crisis

Santander Vida & Generales

Flujo del Simulacro

03 Fin del simulacro

01 Introducción

02 Gestión de la Crisis

A lo largo de este punto se desarrollarán los siguientes apartados:

• Objetivos
• Estructura de Roles
• Instrucciones de funcionamiento

Dentro de la Gestión de Crisis encontramos:

Para finalizar el simulacro se enumeran y documentan una serie de ‘lecciones aprendidas’.

10 minutos

45 minutos

5 minutos

01

Introducción

Introducción

Fecha: 6 de Noviembre de 2024

Lugar: Madrid, España

Los principales objetivos del simulacro son:

La detección y anticipación de todos los posibles tipos de crisis que amenazan a la organización y entrenar las capacidades del Comité de crisis de Santander Vida & Generales para la gestión de cualquier contingencia.

Comprensión de los principales procesos de negocio afectados por un incidente.

Obtención de conocimiento de los riesgos más comunes y relevantes para conocer cuáles son los elementos que los componen y las ramificaciones que pueden tener.

Introducción

Los simulacros de crisis se vuelven necesarios a partir de un determinado nivel de madurez del Sistema de Gestión de la Continuidad del Negocio. Si bien es imposible anticipar todos los posibles tipos de crisis que amenazan a la organización, es necesario que el Comité de Crisis entrene las capacidades necesarias para gestionar cualquier contingencia.

Comprender los principales procesos de negocio afectados por un incidente y adelantarse a eventos que podrían poner a la organización en peligro

Aprender algunos de los riesgos más comunes o relevantes y cuáles son los elementos que los componen y las ramificaciones que pueden tener

Aunque una crisis siempre empieza con un solo suceso, su ciclo de vida suele incluir sorpresas que obligan al comité a reaccionar sobre la marcha de forma imprevista

El Plan de Continuidad y los equipos de recuperación y respuesta obtienen la información, pero la toma de decisiones es la responsabilidad última del Comité

Introducción

Dado que es un ejercicio guiado y, para asegurar el adecuado funcionamiento del mismo, es importante respetar el turno de palabra y las indicaciones del equipo de NTT DATA.

Se presentará un escenario inicial y a medida que avance el ejercicio, se irá remitiendo información adicional a los miembros del Simulacro. El tiempo de toma de decisiones con cada inyección de información se irá facilitando a los participantes.

Por último, se recuerda que este tipo de ejercicios no pretenden conseguir respuestas acertadas, pretenden identificar puntos de mejora en el Plan de Continuidad de Negocio.

Durante el ejercicio, dado que es un simulacro estamos asumiendo lapsos de tiempo de minutos, son horas días o incluso semanas. En cada bloque de eventos se detallarán diferentes y tras ello se reunirá al Comité de Crisis para debatir y tomar las decisiones correspondientes

Proactividad: Si bien el Simulacro será dirigido en la medida de lo posible, se recomienda proactividad por parte de los asistentes .

Documentación Inicial

Pasos para el plan de activación del comité de crisis

Para convocar al Comité, la contigencia debe afectar gravemente la operativa de Santander Vida o Santander Generales o tener un impacto potencial alto

GRAVEDAD DE LA CONTINGENCIA

Se da aviso a los responsables de los equipos operativos

RESPONSABLE EQUIPOS OPERATIVOS

Previamente a la convocatoria del Comité, se ha recibido una alerta de una posible contingencia y se ha comprobado que no es falsa alarma

ALERTA DE CONTINGENCIA

El responsable del PCN junto con el comité de Crisis decide las estrategias a aplicar

ESTRATEGIAS QUE APLICAR

Se hace una evaluación del impacto teniendo en cuenta:a) el nº de procesos afectados. b) tiempo que puede tardar en recuperarse

EVALUACIÓN DEL IMPACTO

Para convocar el Comité de Crisis debe seguirse el Plan de Activación

PLAN DE ACTIVACIÓN

11

10

Tras evaluar que no es falsa alarma y puede tener alto impacto, se debe escalar al responsable de Comité de Crisis, quién convocará al comité si aplicase

EVALUACIÓN DE LA CONTINGENCIA

Una vez detectada, se notifica al responsable de Continuidad de Negocio

NOTIFICACIÓN

Los responsables de los equipos operativos transmiten la información a los equipos operativos (personal crítico).

EQUIPOS OPERATIVOS

se decide si se declara la crisis o se cancela la alerta. Si la crisis está relacionado con la indisponibilidad de las personas, sede, tecnología o proveedores, entonces se activa el Plan de Continuidad de Negocio

DECLARACIÓN DE CRISIS

El Comité de Crisis se compone de: 1. Directores de áreas críticas del negocio 2. Equipos de Soporte 3. Equipos Operativos

COMITÉ DE CRISIS

Introducción

Estructura de Roles

La estructura actual de roles se distribuye en los siguientes tres planos (estratégico, táctico y operativo):

Comité de Crisis

Responsable Continuidad Tecnológica

Equipos de Soporte

Responsables de Equipos de Operativos

Equipos Operativos

Equipo de Comunicaciones Global

Responsable Continuidad de Negocio

02

Gestión de la Crisis

Simulacro de Gestión de Crisis

06/11/2024

Contexto / Inicio de la crisis

14:00 PM

El 6 de Noviembre del 2024, el área de sistemas de Middleware de AEGON accede al bus y detecta archivos cifrados y un fichero readme.txt en el que se indica que el servidor ha sido afectado por un ransomware. El departamento de IT de AEGON comunica la situación al equipo de Seguridad.

El departamento de Seguridad de Aegon liderado por Jesús Gómez, hace un análisis preliminar del incidente, detectando que algunos procesos relacionados con la aplicación Aegon360 podrían estar viéndose afectados. Ante esta situación, Jesús Gómez, Responsable de Seguridad en Aegon, notifica al personal que se abstenga de conectarse al servicio de Aegon360, ya que la aplicación está siendo afectada por un ataque de ransomware, y es necesario evitar la posible propagación del mismo.

14:30 PM

14:40 PM

El responsable de Seguridad de Aegon, Jesús Gómez, notifica a David González el análisis preliminar del incidente donde informan que han sido afectados por un posible ransomware que lo están analizando y les comunicarán las actualizaciones de la gestión de la incidencia.

Simulacro de Gestión de Crisis

6/11/2024 – 14:40PM

Notificación del incidente y actualización preliminar de posible ataque ransomware

Se convoca al Comité de Crisis

Simulacro de Gestión de Crisis

Se reúne el Comité de Crisis

Comunicación

Impacto

Estrategia

Simulacro de Gestión de Crisis

6/11/2024 – 16:30PM

Comunicaciones de clientes a Superlínea

SuperLínea recibe comunicaciones de los clientes indicando que están recibiendo correos electrónicos en los que se les informa que sus seguros de salud han sido dados de baja. SuperLínea lo comunica al responsable de Operaciones (Luis Barroso) y él a su vez lo comunica a Seguridad y Tecnología ( David Gonzalez y Jimena)

Simulacro de Gestión de Crisis

6/11/2024 – 16:36 PM

Publicación en red social X

En una publicación en la red social X, un cliente de Santander Vida y Generales informa que no ha podido realizar una prueba médica urgente a su madre debido a problemas técnicos para obtener las autorizaciones necesarias a través de Aegon360.

Simulacro de Gestión de Crisis

Bloque 1: Comunicaciones interna y externas

14:00 PM El área de sistemas de Aegon detecta archivos cifrados y un fichero readme.txt

14:40 PM Aegon notifica al David el análisis preliminar del incidente donde informan que han sido afectados por posible ransomware.

16:36 PM Publicación en red social X de cliente indicando que no pueden hacer autorizaciones para pruebas médica mediante Aegon 360

14:30 PM Aegon detecta que algunos procesos de Aegon 360 podrían verse afectados por un posible ransomware.

16:30 PM Superlínea recibe reclamaciones de clientes que su seguro de salud ha sido dado de baja

Inicio de la Crisis

Bloque 1: Comunicaciones

Simulacro de Gestión de Crisis

Se reúne el Comité de Crisis

Comunicación

Impacto

Estrategia

Simulacro de Gestión de Crisis

7/11/2024 – 09:00 AM

Impacto en servicios críticos y fake news

Tras revisarlo con las áreas de Negocio y Tecnología, el CISO de Aegon comunica al área de Seguridad de SVG los servicios afectados por la indisponibilidad de la aplicación Aegon360..

Simulacro de Gestión de Crisis

7/11/2024 – 11:12 AM

Fake news en prensa El País

Se publica una fake news en el diario El País informando que Banco Santander ha sido víctima de un ataque ransomware y robo de datos de sus clientes. La noticia falsa señala:

Simulacro de Gestión de Crisis

Bloque 2: Impacto en servicios críticos y fake news

14:00 PM El área de sistemas de Aegon detecta archivos cifrados y un fichero readme.txt

14:40 PM Aegon notifica al David el análisis preliminar del incidente donde informan que han sido afectados por posible ransomware.

16:36 PM Publicación en red social X de cliente indicando que no pueden hacer autorizaciones para pruebas médica mediante Aegon 360

16:36 PM Circulación de Fake News en diario El País

14:30 PM Aegon detecta que algunos procesos de Aegon 360 podrían verse afectados por un posible ransomware.

11:00 AM Aegon indica los servicios afectados: autorizaciones, urgencias, citas, contrataciones de salud.

16:30 PM Superlínea recibe reclamaciones de clientes que su seguro de salud ha sido dado de baja

Bloque 2: Impacto en servicios críticos y fake news

Inicio de la Crisis

Bloque 1: Comunicaciones

Simulacro de Gestión de Crisis

Se reúne el Comité de Crisis

Comunicación

Impacto

Estrategia

A las 6 semanas

Simulacro de Gestión de Crisis

19/12/2024 – 10:14 AM

Contención, erradicación y recuperación de datos

Aegon comunica al CISO de Santander Vida y Generales que el problema está contenido, el malware ha sido eliminado y se ha completado la recuperación de datos en todos los entornos afectados.

Simulacro de Gestión de Crisis

Se reúne el Comité de Crisis

Comunicación

Estrategia

Vuelta a la normalidad

Simulacro de Gestión de Crisis

19/12/2024 – 10:20 AM

Vuelta a la normalidad

Aegon comunica a Santander Vida & Generales que se encuentran en condiciones de volver a la normalidad tanto a nivel de sistemas, interno como socios y proveedores.

Buenos días, Nos encontramos en condiciones de volver a la normalidad y activar los servicios.

Simulacro de Gestión de Crisis

Línea de tiempo del simulacro

A las 6 semanas

14:00 PM El área de sistemas de Aegon detecta archivos cifrados y un fichero readme.txt

14:40 PM Aegon notifica al David el análisis preliminar del incidente donde informan que han sido afectados por posible ransomware.

16:36 PM Publicación en red social X de cliente indicando que no pueden hacer autorizaciones para pruebas médica mediante Aegon 360

11:12 AM Circulación de Fake News en diario El País

10:20 AM

Vuelta a la normalidad

10:14 AM

14:30 PM Aegon detecta que algunos procesos de Aegon 360 podrían verse afectados por un posible ransomware.

09:00 AM Aegon indica los servicios afectados: autorizaciones, urgencias, citas, contrataciones de salud.

16:30 PM Superlínea recibe reclamaciones de clientes que su seguro de salud ha sido dado de baja

Notificación que se ha eliminado el malware y que los ordenadores se encuentran limpios y listos para conectarse a las redes.

Bloque 3: Resolución de la incidencia

Bloque 2: Impacto en servicios críticos y fake news

Inicio de la Crisis

Bloque 1: Comunicaciones

03

Fin del Simulacro

Fin del Simulacro

Lecciones Aprendidas

A la hora de la toma de decisiones, ¿nos hemos apoyado en los procedimientos indicados?

¿Qué dificultades hemos encontrado para seguir los pasos esperados por el procedimiento?

¿Hemos echado en falta algo?

¿Podrían cambiar en algo para ser más útiles?

¿Nos vemos preparados para afrontar una contingencia real?

¿Se han identificado nuevas necesidades para incluir en los Procedimientos?

¿Se considera importante realizar este tipo de ejercicios?

Estos responsables están listados en los Análisis de Impacto de Negocio. Serán responsables de: 1) Coordinar las fases de respuesta y recuperación del PCN, siendo intermediario entre Comité de Crisis y Equipos Operativos; 2) Convocar a los Equipos Operativos; 3) Liderar a los Equipos Operativos; 4) Comunicar de manera fluida al Comité de Crisis el avance de la recuperación y estado de las actividades contempladas dentro del PCN.

El Comité de Crisis son los máximos responsables de la toma de decisiones durante contingencias globales;

Están compuestos por las personas identificadas como críticas en el Análisis de Impacto de Negocio. Serán responsables de reanudar las actividades de la compañía.

El Comité de Crisis son los máximos responsables de la toma de decisiones durante contingencias globales;

Banco Santander está sufriendo un ciberataque y da de baja a todos los seguros de salud dejando a sus asegurados desprotegidos. En un giro inesperado, ha salido a la luz que Banco Santander está enfrentando un ciberataque masivo que ha afectado seriamente sus operaciones. Según fuentes no confirmadas, el ataque ha comprometido la infraestructura de TI del banco, obligando a la entidad a desactivar temporalmente todos los seguros de salud que ofrece a través de sus filiales.

IMPACTO

• ¿Cuáles son las posibles indisponibilidades a las que nos enfrentamos?
• ¿Cuáles son los impactos que nos preocupan ante la situación planteada?
• ¿Cuáles son los servicios críticos afectados por la contingencia?

COMUNICACIÓN

• ¿Qué comunicaciones se les va a dar a los clientes?

• Si la filtración de datos se confirma ¿a quiénes debemos informar?

• ¿Existe un plazo de comunicación establecido?

Será el responsable del PCT o DRP, siendo el intermediario entre el Comité de Crisis y el proveedor de servicios tecnológicos (responsable de actualizar, probar y valorar la activación del DRP).

El Comité de Crisis son los máximos responsables de la toma de decisiones durante contingencias globales;

Los Equipos de Soporte están formados por las áreas que dan habitualmente servicio a las áreas de negocio. Serán responsables de: 1) Dar soporte al Comité de Crisis en las decisiones; 2) Activar el centro tecnológico de respaldo; 3) Acondicionar posibles ubicaciones de contingencia para el personal crítico que no pueda teletrabajar; 4) Coordinar las necesidades en materia de instalaciones, logísitica y/o infraestructura.

El Comité de Crisis son los máximos responsables de la toma de decisiones durante contingencias globales;

IMPACTO

• ¿Qué impacto tenemos?

• ¿Qué tipo de información se podría encontrar comprometida? ¿existe riesgo de datos privados de clientes?

COMUNICACIÓN

• ¿Debemos valorar realizar algún tipo de comunicación interna o externa? En caso de ser necesario, ¿qué comunicaremos?¿Cómo lo comunicaremos?

• ¿Debemos hacer algún tipo de comunicación a Banco Santander y a AEGON?
• ¿Quién notificará a los empleados sobre la nueva forma de trabajar a causa de la indisponibilidad? ¿Mediante que vía?

• ¿Debemos informar al resto de proveedores el incidente?

IMPACTO

• Sobre la difusión de la noticia, ¿ante qué tipo de impacto nos encontramos? ¿Esto puede generar un impacto negativo sobre la compañía?

ESTRATEGIA

• ¿Existe una estrategia que podamos activar para minimizar los impactos en el servicio?

• ¿Cómo se van a gestionar las autorizaciones, la gestión de citas, las contrataciones de salud y demás problemas asociados a la indisponibilidad de la aplicación Aegon360?

El Equipo de Comunicaciones Global será el responsable de realizar cualquier comunicado interno y/o externo en caso de desastre siendo el único autorizado para ejecutar este tipo de actuación

El Comité de Crisis son los máximos responsables de la toma de decisiones durante contingencias globales;

Buenos días, Nos complace informar que el incidente de ciberseguridad que afectó al Aegon 360 varios de nuestros servidores han sido contenido. El equipo de ciberseguridad ha logrado eliminar el malware responsable del ataque. Se han restaurado los datos, se ha verificado la integridad de los procesos, y se sigue monitorizando actualmente. Saludos cordiales, Equipo de Gestión de Incidentes de AEGON

ESTRATEGIA

• ¿Qué documentación podemos pedir a Aegon del incidente?

• ¿Qué medidas ha implementado Aegon a raíz del incidente?

• ¿Podemos hacer una auditoría?

ESTRATEGIA

• ¿Qué estrategia se aplica en relación a las reclamaciones de clientes?

• ¿Existe un procedimiento ligado a las brechas de seguridad?

• ¿cómo hay que proceder?

• ¿Hay que dar un aviso a backoffice de atención al cliente?

Recayendo en la figura del CISO, será el responsable de velar por la completitud, exactitud y correcto funcionamiento tanto de la información incluida en el SGCN como de los planes de continuidad de negocio. Además, de promover la cultura de CN y llevar a cabo todas las tareas contempladas bajo el ciclo PDCA.

El Comité de Crisis son los máximos responsables de la toma de decisiones durante contingencias globales;

COMUNICACIÓN

• ¿Se debe realizar una actualización de la situación del incidente? ¿Qué se debe informar?

ESTRATEGIA

• ¿Es necesario activar el Plan de continuidad de Negocio?
• ¿Existe una estrategiase aplica para poder seguir prestando servicio?

• ¿ Es necesario activar Ciberseguro? ¿ A quién corresponde activarlo? ¿Se debe pagar rescate?

El Comité de Crisis son los máximos responsables de la toma de decisiones durante contingencias globales;

COMUNICACIÓN

• Ante la fake news ¿Se debe realizar un escalado informando de la situación? ¿A quiénes deberíamos informar? ¿Qué vamos a comunicar?