Guía práctica para cómo reaccionar a un ciberataque

A raíz de la pandemia en el 2020 los ataques informáticos han registrado un gran incremento a nivel mundial afectando a empresas comerciales grandes y pequeñas, bancos y servicios digitales en la nube poniendo en evidencia así sus falencias en este ámbito.

El epicentro de este suceso está ligado a los cambios estructurales que la pandemia generó en el comercio y el trabajo remoto, impulsando de manera abrupta a empresas pequeñas y grandes a digitalizar de alguna forma sus operaciones, canales de venta, brindar valor agregado a sus servicios, mantener puestos de trabajo a través del teletrabajo. La pregunta es: ¿lo hicieron estando conscientes de que en el ciberespacio existe todo un mundo de amenazas que ponen enormemente en riesgo sus negocios?

Evitar los ciberataques es algo casi imposible, así que en lo que deben trabajar las organizaciones es en perfeccionar el procedimiento a seguir para, una vez sufrido el ataque, recuperar pronto el control, desinfectar los equipos, evaluar los daños producidos y tomar las medidas pertinentes. La forma en la que una organización actúa ante una situación de este tipo es clave. Una reacción rápida y eficiente, sin duda marca la diferencia y reduce los efectos negativos a largo plazo. Aquí una batería de medidas de lo que debe ser la artillería pesada contra los ataques.

PONER EN MARCHA UN PLAN DE RESPUESTA

Una vez descubierto que se ha producido un ataque el primer paso siempre debe ser poner en marcha un plan de respuesta a incidentes adecuado, que debe estar fijado con anterioridad porque la respuesta será mucho más ágil. Dichos planes definen qué personas de la compañía deben tomar el control de la situación y el plan en el que hay que actuar en cada departamento, qué tecnologías se precisan para responder al ataque e incluso la forma de determinar el alcance del mismo, qué información de la empresa ha sido comprometida o robada.

La puesta en marcha del plan conlleva, en primer lugar, contener el ataque si aún se está produciendo para que no afecte a más sistemas o dispositivos y limpiar los sistemas que ya han sido infectados. Si es preciso no hay que dudar en detener los sistemas para asegurarse de que estos queden perfectamente limpios. Después hay que analizar dónde se ha producido la brecha de datos y qué medidas de seguridad habían establecidas (encriptación, etc.) y no funcionaron. Finalmente proceder a la recuperación completa de los datos y de los sistemas. Conviene, además, monitorizar éstos de forma más insistente en los momentos y días posteriores al incidente para garantizar que no se re-infecten.

COORDINAR AL EQUIPO DE TRABAJO QUE HARÁ FRENTE AL CIBERATAQUE

El segundo paso es poner a trabajar al grupo de profesionales que hará frente al ataque. En esta fase no solo están involucrados perfiles de TI y relacionados con la seguridad de la información, también lo estará el equipo de relaciones públicas y comunicaciones de la organización, los responsables de recursos humanos, el área del negocio y los directivos de operaciones y del departamento legal. Entre todos deben dar una respuesta eficiente y coordinada no solo de cara a sus propios colaboradores sino también de cara a los clientes y proveedores.

CONTACTAR AYUDA TI EXTERNA Y A LAS PARTES INVOLUCRADAS

El equipo responsable de dar respuesta al ciberataque desde sus múltiples facetas debe también contactar con sus proveedores habituales de TI y seguridad y otros que puedan ayudarle ante esta casuística. Hay que tener en cuenta, por otro lado, que la forma de comunicar un incidente de este tipo difiere según el sector y la criticidad de los datos afectados. Por ejemplo, si la brecha se ha producido en el sector sanitario o financiero las comunicaciones deben ser realmente ágiles, pues existe normativa de protección de datos que afecta especialmente a estos sectores. En este sentido, es importantísimo documentar el alcance del ataque, cuándo empezó y terminó, los datos comprometidos o robados, etc.

TRANSPARENCIA Y COMUNICACIÓN

Estos son dos requisitos indispensables tras un incidente de seguridad. El silencio solo genera incertidumbre y desconfianza y puede tener efectos tremendamente negativos en la imagen de la compañía. La comunicación con los colaboradores, clientes y socios debe ser constante tras un ciberataque. Estos tienen que conocer el alcance del incidente y si tienen que tomar alguna medida. Además de comunicar estos asuntos a través de los diversos canales que sean pertinentes (no solo el correo electrónico, sino también por vía telefónica, etc.), si el ciberataque es de gran alcance puede establecerse un call center para aportar información y pasos a seguir a los individuos afectados. Incluso puede ser preciso abordar una estrategia de monitorización de redes sociales para analizar cómo está afectando la imagen de la compañía el ciberataque y dar una respuesta también a través de esta vía mostrando transparencia para generar confianza.

En ST damos un servicio hecho para la anticipación y resolución del problema desde la raíz con una metodología ideal para prevenir pero también de reacción al ataque. Conocemos la importancia que significa tener un sistema de respuesta sólido y que entregue tranquilidad en cuanto a que la operación y la información esta protegida. Por esta razón hemos puesto nuestro foco en cómo ofrecer el mejor servicio posible del mercado en lo que concierne a la seguridad ante ciberataques y la protección de información sensible y infraestructuras de nuestros clientes.