
Cada día vemos en las noticias ejemplos de ciberataques a grandes compañías, alguno de los más recientes y conocidos son el ataque a Sony con el robo de datos de usuarios, información corporativa e incluso películas no estrenadas, o el ataque a la página de contactos Ashley Madison en el que se robaron y publicaron los datos de miles de usuarios.
No obstante no sólo las grandes compañías son objeto de estos ataques, se estima que diariamente circulaban por internet 1 millón de amenazas de malware (programas usados para obtener acceso a recursos privados). Cierto es que el uso de antivirus y sistemas de protección como firewalls ayudan a la mitigación de gran parte de este riesgo, pero es cierto también que los ataques son cada vez más sofisticados y por lo tanto son un motivo de preocupación para las empresas.
Actualmente, el uso de tecnología para mitigar el riesgo es una necesidad, pero el disponer de esta tecnología no debe hacernos olvidar que es únicamente una parte de la solución. Las empresas necesitan estar preparadas para enfrentarse a un ataque y disponer de procedimientos de actuación. Estos procedimiento de actuación nos deben servir para tomar las medidas necesarias en caso de que exista la sospecha de haber sufrido un ataque . Los usuarios y los procesos son tan críticos como la tecnología.
Para poder enfrentarse a una situación de este tipo hay un conjunto de preguntas que las empresas deben hacerse.
- Qué fuentes de información y qué información está disponible, donde se almacena y quien tiene acceso a la misma. Del mismo modo y de cara a dimensionar el impacto del ataque, debe tener identificadas la información a consultar en caso de que haya sospechas que el ataque ha ocurrido.
- Cuál es el plan de comunicación para, en el momento que se detecta un ataque, todos los miembros de la organización, desde el equipo directivo hasta los técnicos de operaciones, sepan que acciones deben realizar. Es importante destacar que un ataque de este tipo es una situación que la empresa puede sufrir, no es culpa de nadie, por ello no se debe ocultar y la comunicación en sus estadios iniciales es crítica para poder mitigar su impacto e incluso identificar a sus autores. Para ello puede ser muy útil disponer de la colaboración de un perito informático que permita obtener
las evidencias necesarias para realizar la empresa crea conveniente.
- En relación con el punto anterior se debe tener claramente identificado qué recursos en la organización deben tomar las acciones definidas en los procedimientos de actuación.
- Por supuesto definir claramente esos procedimientos, estableciendo las acciones a realizar y los hitos y plazos para la ejecución de las mismas.
- Se debe analizar todo el procedimiento para asegurarnos que las acciones definidas y/o ejecutadas cumplen el marco legal existente, que se ajustan a los requisitos de nuestro seguro de responsabilidad civil para mitigar las indemnizaciones que pudieran derivar del ataque sufrido. En este punto el informe redactado por un perito informático puede ser decisivo a la hora de depurar responsabilidades o realizar las gestiones con las compañías de seguros.
- Definir un procedimiento para la obtención de conclusiones y búsqueda de puntos de mejora a partir de las experiencias del ataque tanto desde el punto de vista de procedimiento como desde el punto de vista técnico.
Estos pasos sin duda proporcionan una guía que nos sirve para responder a las amenazas e incidentes que mejorarán no sólo nuestra seguridad y confianza sino la percepción de la misma por parte de socios y clientes.
Es importante que la seguridad forme parte de la cultura de la empresa. No se trata de que todos los empleados tengan un conocimiento asimiliable al de un auditor de seguridad, pero sí es necesario que dispongan de los conocimientos básicos para saber qué acciones son seguras y cuáles no lo son. Implantar en la organización una certificación como la ISO 27001 puede ayudarnos a definir los procedimientos y a concienciar a los trabajadores sobre cual deben ser los requisitos de seguridad.
Es cierto que todo esto implica un coste, y también es cierto que el beneficio muchas veces no es tangible. Es decir si no sufres ataques ¿por qué invertir tiempo, recursos o dinero en estas medidas? Bueno… nadie deja de instalar una cerradura en la puerta de su casa por el hecho de que nunca le hayan robado. Pero lo cierto es que los ataques informáticos evolucionan a tal nivel de rapidez que es necesario que la seguridad forma parte de la cultura de la empresa.
Por ello los elementos claves para responder a ataques informáticos incluyen unos principios y unos objetivos de seguridad claramente definidos, un modelo operativo claro y unos procedimientos bien definidos, documentados y asociados a los recursos que los deben ejecutar.