Cómo realizar una gestión eficaz de incidentes graves de Ciberseguridad

Cipher desglosa los pasos para cuando un atacante se hace con el control de la infraestructura de la organización. Un plan claro, organizado y sistemático.

 

Denuncia

 

Transparencia

Controlada la situación de crisis, llega el momento del análisis. Para ello es fundamental establecer una línea de tiempo del ataque. Volver al origen de la intrusión para saber cómo ha derivado en la organización y aprender de las posibles brechas que se generaron permitirá enfrentar mejor otro ataque similar. Y más teniendo en cuenta que los ataques maliciosos en 2021 están batiendo todos los récords. El INCIBE cifra 153.720 incidentes de ciberseguridad en lo que va de año, 20.000 más que en 2020 y casi 50.000 más que en 2019.

Esta es una de las razones para contar con el apoyo de expertos externos en ciberseguridad que conozcan cómo lidiar con estas situaciones, y gestionar la crisis.

Otro de los factores que ayuda a marcar la diferencia en los primeros momentos de haber sufrido este tipo de incidentes, sobre todo en el caso de compañías que prestan servicios a otros clientes, es la transparencia. La información da seguridad a quienes contratan los servicios de la empresa y la comunicación abierta y constante permite que la imagen de la organización no resulte muy afectada a causa del ciberataque.

Un buen flujo de información ayudaría a disminuir datos como los ofrecidos por la consultora McKenzie en un estudio. En él, cifró en hasta un 26% el porcentaje de encuestados que se cambiaría de entidad financiera o de seguro de salud si estos sufriesen un ataque de ciberseguridad.

A nivel preventivo, es fundamental la preparación previa a través de ejercicios rutinarios de simulación de brechas para que el personal afronte con experiencia escenarios de crisis. De esta forma cuanto llegue el ataque real, la organización estará mucho mejor preparada y podrá reaccionar de manera consistente.

Otra recomendación es la contratación de un ciberseguro. Una vez sufrido el ataque, este tipo de seguros cubren todas las pérdidas causadas por el ataque, así como los altos costes de los expertos para gestionar la respuesta.

Por último, nada de lo anterior será eficaz si no se dota de suficientes recursos en cualquier organización a sus sistemas de ciberseguridad. Los eventos que ponen en jaque la seguridad de un sistema no paran de suceder.

 

Localización y eliminación

Tampoco debemos olvidar que, entre las primeras reacciones a cualquier ciberataque, debería figurar interponer la correspondiente denuncia ante las fuerzas y cuerpos de seguridad. Estas permiten abrir investigaciones sobre cibercrímenes y ayudar a identificar si el atacante pertenece a una organización, es un individuo concreto, además de crear un patrón en el que analizar si los mismos ciberataques los han sufrido más empresas de nuestro sector, nuestro entorno o nuestra zona geográfica.

Da igual el tamaño de la organización porque ninguna queda indemne de sufrir un ciberataque: las grandes empresas españolas registran más de 130.000 incidentes al año. La diferencia está en la capacidad de resistir, y ahí es donde hasta el 60% de pymes que habían sido atacadas acabaron cerrando a los pocos meses.

Todas las empresas del mundo están expuestas a un ciberataque. Madrid y su área metropolitana sufren 15.000 ciberataques al día, según el Instituto Nacional de Ciberseguridad (INCIBE). La mayoría no llegan a más pero, ¿y si un atacante consigue hacerse con el control de la organización? La línea de negocio especializada en ciberseguridad de Prosegur, Cipher, cuyo equipo se compone de más de 400 expertos en ciberseguridad divididos en seis centros de operaciones que dan servicio a más de mil clientes, pormenoriza los pasos a seguir en caso de que una empresa sea ciberatacada.  

En primer lugar, identificar al atacante. En muchas ocasiones, suelen ser bandas criminales organizadas desde terceros países con una especial permisividad ante este tipo de delitos quienes acometen ofensivas a gran escala. Uno de los ataques más comunes en la actualidad tiene que ver con el Ransomware.

Este busca todo tipo de vulnerabilidades en la infraestructura de la organización. Y la puerta de acceso, en la mayoría de casos, la abre sin darse cuenta alguien del interior de la compañía. Por ejemplo, al clicar en un correo malicioso, cuya sofisticación ha aumentado hasta el punto de hacer dudar a los expertos informáticos. En algunas ocasiones, este tipo de programas malintencionados que basan su acción en el secuestro de datos, pueden esconderse durante días e incluso meses en la red interna sin ser detectados, tiempo que aprovechan para conocer mejor la infraestructura, así como para hacerse con datos que después serán utilizados para extorsionar a la víctima.

 

Formación y recursos

 

Origen

Una vez se localiza, empieza un arduo trabajo: si la infección es de gravedad, obliga a tomar medidas drásticas, como el apagado de todos los equipos, para evitar que el daño siga extendiéndose y poder contener la amenaza. Detectar cuántos equipos han sido afectados y aislarlos es el siguiente paso. Un proceso complejo que puede llevar hasta meses, dependiendo de la magnitud de la compañía. Si esta además basa su modelo de negocio en una infraestructura eminentemente digital, el proceso no se da por finalizado hasta que se han restablecido todos los servicios y se ha comprobado que todos funcionan con normalidad.

En este sentido, hay que tener en cuenta el entorno cloud, que se perfila como el futuro la mayoría de organizaciones. Pero actualmente la nube es la primera causa de brechas de seguridad. No quiere decir que no sea seguro, es más, las medidas de seguridad que tiene la nube pueden ser mucho mayores que las que disponemos en un entorno propio. No obstante para poder aprovechar esta facilidad de la nube en la implementación de medidas de seguridad, hace falta disponer de profesionales que no sólo conozcan ciberseguridad, sino que también tengan un conjunto de habilidades digitales, que hoy son muy difíciles de encontrar.

Sea en entornos virtuales, físicos o híbridos, la medida a tomar tras haber identificado y controlado completamente la amenaza, es eliminar cualquier resto del atacante de la infraestructura, barriendo completamente esta y asegurándose de que los atacantes han perdido completamente el control sobre los activos.