¿Qué hacer ante un incidente de ciberseguridad?
Cuando una compañía sufre un incidente grave de seguridad de la información, al directivo y demás miembros de la empresa, les surgen numerosas preguntas de las que quieren una respuesta y solución inmediata.
¿Qué es un incidente de seguridad de la información?
Un incidente de ciberseguridad consiste en el acceso a la información confidencial de las personas o de las empresas por parte de una persona no autorizada.
Todos podemos ser objetivo de los cibercriminales, quizás tu organización haya caído en sus manos porque seas un objetivo y te hayan identificado como organización interesante de atacar, o que en una campaña masiva, un empleado, un proveedor o un tercero le haya enseñado una forma para poder entrar en tu organización.
Incidentes más comunes de la seguridad de la información:
- Accesos a información no autorizada.
- Robo de contraseñas.
- Robo de información.
- El abuso o mal uso de servicios informáticos internos o externos de la organización.
- Alteración de la información.
¿Qué hacer ante un incidente de ciberseguridad?
Una vez que el cibercriminal ha conseguido sus objetivos ¿Cómo gestionamos el incidente?
- Disponer de un protocolo interno de gestión de incidentes, que nos permita definir y establecer las medidas que se van a adoptar frente al incidente de seguridad.
- Detectar, informar y evaluar qué tipo de incidente se presentó. Es importante disponer de las herramientas necesarias para analizar, cómo y cuándo se ha producido el incidente, la información que ha podido sustraer, averiguar dónde se ha hecho pública, etc.
- Evaluación inicial y toma de decisiones. Una vez que se ha analizado el incidente y se ha determinado como ha sucedido, es importante aplicar los controles y las medidas necesarias para resolverlo y fijar las acciones destinadas a cerrar la filtración y evitar nuevas fugas de información. En esta fase, se establecen los posibles planes de comunicación tanto a nivel interno, como a los clientes afectados y a las autoridades correspondientes.
- Seguimiento de las medidas aplicadas: monitorizar y realizar una mejora continua, para asegurar que las medidas de protección y prevención aplicadas son las adecuadas para evitar un incidente de seguridad con las mismas características.
¿Por qué no se ha detectado antes?
Puede que sea debido a que en la organización no existe un buen sistema de ciberseguridad preventiva. Es posible que la monitorización de los sistemas no exista, no sea suficiente, no esté atendida, no haya un procedimiento de revisión, o simplemente el personal no esté bien cualificado.
Consejos para manejar los incidentes de seguridad de la información
- Es importante tener una hoja de ruta que nos guíe en todos los pasos que hay que dar durante y después del incidente. Si esto no existe y/o no se ha entrenado previamente, perderemos tiempo y las consecuencias serán peores y se prolongarán.
- Si la organización ha trabajado previamente en una buena política de control de acceso, con el menor privilegio posible y zero trust, habremos ya mitigado bastante. Además, si existiera un procedimiento de detección de intrusos en la red con los sistemas correspondientes, podríamos cazar al intruso antes de que pudiera acceder a toda nuestra red.
- Adicionalmente con una arquitectura de red segmentada, será más difícil su acceso y quizás sea más fácil cazarle cuando intente saltar de una red a otra.
- Tener los activos bien clasificados. De esta manera podríamos saber, cuáles de los activos han podido ser dañados. Si no existiera un inventario real ni una clasificación de los activos, sería difícil ya no sólo conocer la amplitud del ataque, sino también, responder a las autoridades correspondientes.
Disponer de copias de seguridad
Es importante diseñar un sistema de copias con garantías y seguro, ya que los cibercriminales cuando penetran en una organización tienen como objetivo inutilizar las copias de respaldo.
- Diseñar un plan de copias en función de la gravedad de los activos. No es lo mismo copiar datos de poco riesgo, que habría que hacerlo con menos frecuencia que los de alto riesgo y cambiantes.
- Asegurarse de que las copias se hacen correctamente. Es importante tener una rutina para comprobar que las copias se hagan de forma correcta y se puedan restaurar.
- Restaurar una copia es un proceso delicado y de alto estrés, ya que no es rápido y en ocasiones la restauración falla. Por ello, es necesario tener definido un procedimiento de recuperación que indique en qué orden y cómo han de restaurarse las copias. Este procedimiento, al igual que los anteriores hay que entrenarlo y mejorarlo de manera periódica.
- Necesitaremos una infraestructura preparada para restaurar las copias: No es recomendable usar una infraestructura que ha sido vulnerada para restaurar una copia por varios motivos:
- El sistema vulnerado estará siendo analizado por el equipo forense para conocer la dimensión y la profundidad de la brecha, así como el vector de ataque.
- Restaurar una copia sobre un sistema que ha sido vulnerado, no ofrece las garantías suficientes, es posible que queden programas dormidos o puertas abiertas para ser usados otra vez por el atacante.
¿Quién nos puede ayudar a gestionar el problema?
La gestión del incidente es un proceso delicado, político, estresante y de toma de decisiones difíciles en algunos de los casos. Se recomienda que la gestión la haga un tercero ya que, tendrá mucha experiencia. Además, contará con la diversidad de perfiles necesarios para abordarlo: abogados, especialistas en ciberseguridad, peritos tecnológicos… y sobre todo ya que abordará el proceso desde una posición externa, pragmática y no contaminada por lo sucedido.
Actualmente, es difícil estar totalmente libre de cualquier ciberataque, por ello es importante disponer de medidas de seguridad (antivirus, antiransomware, firewall...) que minimicen los ataques y los riesgos en los que una organización está expuesta y, sobre todo, saber actuar una vez la empresa ha sido atacada o es susceptible de que se haya producido un incidente de ciberseguridad.