Qué hacer antes, durante y después de un Ciberataque
#Ciberataque
Hoy más que nunca debemos estar muy bien preparados para saber afrontar un ciberataque de la mejor manera, pero sobre todo saber como prevenirlo.
¿Tu empresa tiene un protocolo de actuación ante un ciberataque?
¿Sabrías qué hacer ante un ciberataque? La pandemia del COVID-19 nos ha sorprendido en todos los aspectos de nuestro día a día personal y laboral. Por otro lado, el uso de herramientas digitales, tanto para relacionarnos como para teletrabajar, se ha multiplicado y, con él, han aumentado los ciber riesgos. Pero, desde la perspectiva de seguridad, ¿Cómo ha cambiado el COVID-19 la forma en que entendemos los ciber riesgos?
La pandemia ha multiplicado los riesgos en la cadena de ciberseguridad de las empresas. Desde el auge del home office, los ciberataques no han hecho más que crecer en 2020 y 2021. Ante este escenario, es más importante que nunca saber qué hacer ante un ciberataque.
De acuerdo con el Global Threat Landscape Report elaborado por Fortinet, dice que los ataques de phishing, los archivos maliciosos enviados a través de correos electrónicos y el ransomware siguen a la cabeza como principales amenazas.
Invertir en la prevención de ciberataques es clave
Todo lo que está conectado, es potencial a sufrir un ciberataque. Como lo señala el INCIBE, cualquier organización, ya sea pequeña, mediana o grande, con una dependencia tecnológica elevada o reducida, debe estar preparada para enfrentar un incidente de seguridad.
” Para reducir la incidencia de los ataques cibernéticos se deben definir políticas, buenas prácticas y rutinas, así como sistemas tecnológicos de protección e instrumentos para transferir los riesgos “
Medidas preventivas en la organización
Para prevenir ciberataques, el compromiso del factor humano es esencial. Por ello se deben definir políticas, buenas prácticas y rutinas, así como sistemas tecnológicos de protección e instrumentos para transferir los riesgos, para reducir la incidencia de los ataques cibernéticos. Según el INCIBE, estas son las medidas organizativas más importantes para reforzar la prevención:
- Establecer políticas sobre el uso de los dispositivos en la oficina y en movilidad, incluyendo el acceso remoto a equipos o servidores.
- Habilitar un sistema de acceso a la información limitado, en el que cada trabajador cuente con los permisos para consultar y disponer de la información necesaria y mediante el cual se puedan rastrear accesos y modificaciones.
- Asegurar el uso de contraseñas robustas e individuales, que se cambian con frecuencia y no se comparten ni se reutilizan. El acceso a servicios críticos debe estar protegido por sistemas más robustos de doble autenticación.
- Establecer procesos de formación y educación para que todos los empleados sean conscientes de los ciberriesgos, fomentando que cualquier actividad online que se salga de la rutina o sea arriesgada (como el envío de información confidencial) sea autorizada por el responsable de la ciberseguridad.
- Extender el uso de acuerdos de confidencialidad que vayan más allá de la finalización del contrato de trabajo.
- Poner en marcha políticas de uso y acceso a la información, así como medidas para protegerla. Además, se deben definir una serie de buenas prácticas para gestionar la fuga de información.
- Llevar a cabo copias de seguridad con frecuencia, así como test para comprobar que todo está correctamente almacenado y es posible recuperarlo. Así, en caso de incidente, la recuperación podrá ser más rápida.
- Mantener los equipos actualizados, incluyendo el software y los antivirus. Un programa desactualizado es siempre más vulnerable.
Cómo detectar ciberataques
Tras la preparación, la siguiente fase en un protocolo de actuación ante ciberataques es la de detección o identificación. En ella, tal como señala el INCIBE, “se detecta el incidente, se determina su alcance y se conforma una solución”. Y es que, por buena que sea nuestra estrategia de prevención y las medidas de protección, siempre existen probabilidades de que los ciberdelincuentes encuentren alguna vulnerabilidad a través de la que acatar. En ese momento, la rapidez y la efectividad en la respuesta son claves.
A la hora de detectar un ciberataque y responder, entran en juego tres tipos de medidas:
- Técnicas y tecnológicas. Incluyen todas aquellas acciones desarrolladas por el departamento informático o de ciberseguridad encaminadas a contener el ataque, parchear la vulnerabilidad, recuperar los datos y restaurar la continuidad del sistema.
- Legales. Estas acciones deberán ser dirigidas por los expertos en legislación de la compañía o asesores externos. Y deberán estar encaminadas a asegurar que, a partir del momento en que se detecta el ciberataque, se cumplen todos los protocolos que establece la normativa.
- Organizativas. Estas engloban todas las acciones necesarias en la gestión de la crisis, sobre todo, en la parte pública. Así, están encaminadas a minimizar daños más allá de las consecuencias legales y técnicas, como puede ser el desprestigio de la marca o el impacto en su reputación.
En esta segunda fase, es recomendable desarrollar una serie de acciones para evaluar de forma rápida el impacto del incidente, como pueden ser revisar los sistemas encargados de identificar accesos no autorizados, identificar el tipo de incidente y su gravedad y registrar toda la información del ataque y sus consecuencias.
Qué hacer después de un ciberataque
Una vez se ha controlado un ciberataque y se ha logrado recuperar la continuidad del negocio, entran en juego una serie de medidas de recuperación, que variarán en función del incidente y de la organización. Sin embargo, el elemento más importante de esta fase es la comunicación.
En primer lugar, el incidente debe siempre ser comunicado a las autoridades competentes. En el caso de que hayan sido comprometidos datos personales, tal como establece el RGPD, el ataque debe ser comunicado a la Agencia Española de Protección de Datos o al INCIBE-CERT a través de su servicio de respuesta a incidentes. Además, también puede denunciarse ante las fuerzas de seguridad del estado. En este caso, el Grupo de Delitos Telemáticos de la Guardia Civil o la Brigada de Investigación Tecnológica de la Policía.
Además, la comunicación con los clientes que se han visto afectados por el incidente debe ser prioritaria, facilitando en todo momento que puedan disponer de la información necesaria sobre el ataque. Por último, la comunicación también debe darse de forma interna, tanto para asegurar que los empleados saben qué responder antes posibles preguntas externas como para hacer que los trabajadores se sientan parte del proceso.
Como acabamos de ver, un buen protocolo de actuación ante un ciberataque pasa, sobre todo, por la prevención, tanto a nivel organizativo como legal. Una vez se ha producido un incidente, una respuesta rápida y efectiva y una comunicación eficiente en todos los frentes son claves.