Lo oímos todos los días de boca de los expertos: evitar los ciberataques es harto complicado, casi imposible, así que en lo que deben trabajar las organizaciones es en perfeccionar el procedimiento a seguir para, una vez sufrido el ataque, recuperar pronto el control, desinfectar los equipos, evaluar los daños producidos y tomar las medidas pertinentes. La forma en la que una organización actúa ante una situación de este tipo es clave. Una rápida reacción, eficiente, marca la diferencia y, sin duda, reduce los efectos negativos a largo plazo.
He aquí los principales pasos a seguir para abordar esta complicada tarea, que ya han sufrido empresas como Sony Pictures Entertainment o Home Depot, entre los casos más sonados, y sobrevivir a un ciberataque con éxito.
1. Poner en marcha un plan de respuesta
Una vez descubierto que se ha producido un ataque el primer paso siempre debe ser poner en marcha un plan de respuesta a incidentes adecuado, que debe estar fijado con anterioridad, así que si tu compañía aún no lo tiene, es conveniente trabajar en su definición cuanto antes.
¿Por qué es importante disponer de este plan? Porque la respuesta será mucho más ágil. Dichos planes definen qué personas de la compañía deben actuar y cómo, qué otros perfiles (proveedores, socios) deben estar involucrados, la manera en la que hay que actuar en cada departamento, qué tecnologías se precisan para responder al ataque e incluso la forma de determinar el alcance del mismo, qué información de la empresa ha sido comprometida o robada, etc.
La puesta en marcha del plan conlleva, en primer lugar, contener el ataque si aún se está produciendo para que no afecte a más sistemas o dispositivos y limpiar los sistemas que ya han sido infectados. Si es preciso no hay que dudar en parar los sistemas para asegurarnos de que estos quedan perfectamente limpios. Después hay que analizar dónde se ha producido la brecha de datos y cómo, qué medidas de seguridad había establecidas (encriptación, etc.) y no funcionaron y, finalmente, proceder a la recuperación completa de los datos y de los sistemas. Conviene, además, monitorizar estos de forma más insistente en los momentos y días posteriores al incidente para garantizar que no se reinfectan.
2. Coordinar al equipo de trabajo que hará frente al ciberataque
Como decíamos en el citado plan de respuesta debe estar especificado quién se encargará de hacer frente al ciberataque. Ahora toca poner a trabajar a estos profesionales juntos. Por supuesto no solo están involucrados perfiles de TI y relacionados con la seguridad de la información: también lo estará el equipo de relaciones públicas y comunicación de la organización, los responsables de recursos humanos, del área del negocio y los directivos de operaciones y del departamento legal. Entre todos deben dar una respuesta eficiente y coordinada no solo de cara a sus propios empleados sino también de cara a los clientes, proveedores y, cómo no, la opinión pública.
3. Contactar con terceras partes
El equipo responsable de dar respuesta al ciberataque desde sus múltiples facetas debe, también, contactar con sus proveedores habituales de TI y seguridad y otros que puedan ayudarle ante esta casuística, así como notificar el suceso a las autoridades y fuerzas de seguridad nacionales.
Es preciso además reunirse con los responsables legales de la empresa y con expertos externos para evaluar las posibles implicaciones respecto a proveedores, clientes, accionistas… Hay que tener en cuenta, por otro lado, que la forma de comunicar un incidente de este tipo difiere según el sector y la criticidad de los datos afectados. Por ejemplo, si la brecha se ha producido en el sector sanitario o financiero las comunicaciones deben ser realmente ágiles, pues existe normativa de protección de datos que afecta especialmente a estos sectores. En este sentido, es importantísimo documentar el alcance del ataque, cuándo empezó y terminó, los datos comprometidos o robados, etc.
4. Transparencia y comunicación
Estos son dos requisitos indispensables tras un incidente de seguridad. El silencio solo genera incertidumbre y desconfianza y puede tener efectos tremendamente negativos en la imagen de la compañía. La comunicación con los empleados, clientes y socios debe ser constante tras un ciberataque. Estos tienen que conocer el alcance del incidente y si tienen que tomar alguna medida (por ejemplo, cambiar claves para acceder al servicio, como indicó Evernote después del ataque que sufrió) e, incluso, en casos del acceso a los correos electrónicos u otra información personal de los empleados (véase el caso de Sony Pictures) o clientes, hay expertos que sugieren que puede ser buena la ayuda psicológica.
Además de comunicar estos asuntos a través de los diversos canales que sean pertinentes (no solo el correo electrónico, sino también por vía telefónica, etc.), si el ciberataque es de gran alcance puede establecerse un call center para aportar información y pasos a seguir a los individuos afectados. Incluso es preciso abordar una estrategia de monitorización de redes sociales para analizar cómo está afectando a la imagen de la compañía el ciberataque y dar una respuesta también a través de esta vía mostrando transparencia para generar confianza.
5. Aprender la lección
Ninguna empresa desea experimentar este tipo de situaciones, pero si se ha visto afectada por un incidente de este calado, lo mejor es mirar el lado positivo, tomar nota y aprender la lección. No hay mal que por bien no venga y seguro que de esta experiencia pueden extraerse enseñanzas y buenas prácticas de cara a evitar una situación similar en el futuro o mejorar la capacidad reacción si se vuelve a producir.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
