¿Qué hacer si su empresa es víctima de un ciberataque?
Siga estas recomendaciones generales si su organización está sufriendo este tipo de ataques.
La velocidad a la cual crece la digitalización de la economía ha generado innumerables oportunidades, pero a la vez ha dejado a las personas y las organizaciones más expuestas. Con el aumento de las transacciones bancarias electrónicas, el trabajo remoto, el comercio electrónico, el aprendizaje a distancia, el panorama de riesgo de un ataque aumentó y la seguridad de perímetro ya no basta. La información es la joya de la corona para los delincuentes, que han aumentado la frecuencia y sofisticación de sus ataques hasta en un 600% en algunas modalidades y geografías.
Así pues, si la ocurrencia de un ciberataque es prácticamente una certeza para las organizaciones de todos los sectores, la recomendación de los expertos en ciberseguridad es tener una política de protección bien implementada y prepararse para navegar en este nuevo escenario.
Una parte clave de esa estrategia es el diseño detallado de un plan de respuesta a incidentes de ciberataques, que debe ser probado y revisado periódicamente. Es este plan el que guiará todo paso a paso en el momento en que se identifique un ataque, para que la respuesta y la recuperación sean lo más rápidas posible. ¿Cuánto cuesta tener todo su ambiente digital detenido?, es la pregunta que el equipo de gerencia debe hacerse para establecer un plan de seguridad adecuado para el negocio.
"Una vez que se produce un ataque -en particular del tan común ransomware-, lo esencial es reestablecer la operación lo antes posible, asegurándose de haber tomado las medidas de robustecimiento táctico para que no vuelva a explotarse la misma brecha. Sin un plan, la empresa tarda mucho más en recuperarse, lo cual termina acumulando problemas financieros, de reputación y de infraestructura", afirma Luisa Esguerra, directora del área GTM de Seguridad de Microsoft para Latinoamérica.
Estas son las recomendaciones de los expertos sobre los puntos clave que deben formar parte de este plan.
1. En primer lugar, desconecte, pero no apague
La primera acción al detectar un ataque en curso es cortar por completo el acceso a internet de todas las máquinas, incluyendo dispositivos como impresoras y aquellos conectados al ‘Internet de las Cosas’. La idea es prevenir el control del atacante en el sistema, pero no es recomendable apagar las máquinas, porque el siguiente paso para contener el ataque es realizar un análisis forense y buscar los rastros, que pueden perderse al apagar los equipos.
2. ¿Quién declara el ataque?
Un plan de respuesta ya incluye la definición de quién es el profesional encargado de declarar el incidente, poner en práctica el plan y ser la máxima autoridad durante su ejecución, incluyendo el enlace con la alta dirección. ¿Es el CISO (Chief Information Security Officer)? ¿Es el CIO (Chief Information Officer)? ¿El CRO (Chief Risk Officer)?
“Como en caso de incendio, es fundamental saber de antemano quiénes son los bomberos. Desde Microsoft creemos que el CISO debe ser responsable por orquestar este plan, con apoyo de todas las áreas involucradas y la alta dirección de la organización", dice Marcelo Felman, director de Ciberseguridad para Latinoamérica de Microsoft.
Para las estructuras organizativas más ligeras, también es recomendable contar con buenos proveedores de tecnología a los cuales poder recurrir para responder a un incidente. Hoy en día hay muchas empresas especializadas en analizar, mitigar y restaurar la operación tras un ataque.
3. Establezca salas de guerra
Una vez declarado el incidente, esta persona también formará las ‘salas de guerra’ encargadas de contener el ataque, corregir las vulnerabilidades, realizar el análisis forense y restaurar los sistemas. Estos equipos multidisciplinares suelen estar acompañados por equipos internos, empresas de consultoría, las compañías tecnológicas que dan servicio a la empresa e, incluso, las compañías de ciberseguros.
· Una de las salas es la sala ejecutiva, con profesionales de las áreas de negocio implicadas en la respuesta a las partes interesadas, como la jurídica, la de comunicación y el DPO (Data Protection Officer). Son ellos los que gestionarán la respuesta ante los organismos reguladores, el mercado y los consumidores.
· Otra sala está formada por los "hackers buenos", expertos técnicos que actúan técnicamente para interrumpir el ataque, buscar rastros, mapear el impacto en las aplicaciones e infraestructuras, cerrar los accesos y restaurar los sistemas.
· Una tercera sala se dedica al análisis forense, utilizando técnicas para investigar los rastros y ayudar a diseñar el plan post-ataque que se presentará a la alta dirección. Ellos serán fundamentales para saber en qué hay que invertir para que no se repita el mismo ataque. Estos hackers buenos analizan los caminos que ha seguido el atacante y cierran todo antes de que los criminales suban al entorno.
4. Priorizar antes de una crisis
Estas ‘salas de guerra’ funcionarán sobre la base de una priorización predefinida. ¿Cuál es la aplicación más importante? ¿Cuál es la norma a seguir? Estas respuestas tienen que estar previstas en el plan, pues al calor del ataque cada área del negocio tendrá su propia idea y urgencia individual. Por ello es fundamental hacer este ejercicio de planeación antes y no en medio de una crisis, cuando las ideas no son tan claras y el tiempo apremia.
Es en este contexto donde suelen surgir los problemas relacionados con la política de copias de seguridad: un responsable puede sentirse obligado a pagar un rescate ante el riesgo de perder varios días de información, debido a que hay un intervalo muy largo entre copias de seguridad o a fallos en el proceso, por ejemplo.
5. Establezca tareas y turnos de trabajo para una carrera larga
La respuesta a un incidente puede llevar días, incluso semanas. Por ello, es importante definir tareas y turnos específicos de trabajo para los profesionales implicados. “No se puede subestimar el ataque y suponer que todo se solucionará en uno o dos días", aconseja Jimena Mora, directora de Seguridad Digital de Microsoft en América Latina.
Saltarse los pasos y presionar al equipo para que ponga en marcha los entornos rápidamente tampoco es una buena idea. Al fin y al cabo, acelerar el proceso sin el cuidado necesario puede traer consigo nuevas vulnerabilidades y dejar las puertas abiertas a nuevos ataques.
6. Una red de apoyo psicológico
Este punto no es una regla general, pero algunas consultoras ofrecen apoyo psicológico al equipo de seguridad durante el plan de respuesta a incidentes. Es necesario entender y cuidar la salud mental de estas personas en este momento, porque la presión puede ser muy considerable.
7. Pagar o no pagar, el gran dilema
Algunas consultorías ayudan a comunicar y negociar la petición de rescate con los atacantes. Pero la recomendación es no realizar el pago, en particular porque no hay garantía de que el atacante restaure el entorno, ni de que deje de vender los datos en la dark web.
“Hacerlo es alimentar a la industria que está detrás de estos ataques”, dice Andrés Rengifo, director de Asunto Corporativos, Externos y Legales de Microsoft para la región Andino Sur. En caso de doble extorsión, puede requerirse involucrar a las autoridades. "Si hay extorsión, lo mejor es implicar autoridades competentes, que pueden orientar, así como apoyar el análisis forense junto con el equipo de investigación", añade.