Cuando una empresa es ciberatacada y la información de esta y de sus clientes se ha visto expuesta frente a ciberdelincuentes, la empresa debe seguir un protocolo de actuación que consta de diferentes pasos.
Sabemos que el primer pensamiento que cruza la mente del responsable de la empresa después de un ciberataque es ocultarlo, hacer ver que no ha pasado y que nadie se entere para evitar una crisis de reputación y daños en su imagen. Sin embargo, como empresa tienes unas responsabilidades legales que no puedes obviar si quieres quedar exento de sanciones o que el ciberataque vaya a más.
Por eso, en ESED nos gusta insistir en la importancia de tener una estrategia de ciberseguridad y de disponer de un Disaster Recovery Plan, para evitar cualquier situación que ponga en peligro la continuidad de la empresa.
Este plan de acción consta de cuatro fases. A modo de resumen:
Prevención: Todas las medidas que tomarás para evitar la fuga de datos y entrada de malware en tu sistema. Estas no son infalibles y pueden conducir a los tres pasos siguientes.
Detección: Cuando se detecta el ciberataque.
Recuperación: Mantener la calma y recuperar el control del sistema lo antes posible. En esta fase es donde incluiríamos el Disaster Recovery Plan.
Respuesta: Fase final. Una vez recuperado el control de la situación, es momento de notificar del incidente a terceros.
Vamos a desarrollar un poco más cada fase.
Hay dos tipos de medidas de prevención:
Estas se refieren a todas las medidas que tomará la empresa a nivel de ciberseguridad para garantizar la seguridad informática de su sistema, dificultando la entrada de malware en sus sistemas.
En este caso podemos hablar de:
Implementación de Firewalls, Endpoints, soluciones antiphishing, realización de copias de seguridad (backups) periódicas, gestión de credenciales… Y todas aquellas soluciones de ciberseguridad necesarias para la empresa para solventar sus brechas de seguridad.
Monitorización periódica o diaria de sus sistemas. Esta monitorización es la que nos permite conocer las brechas de seguridad y vulnerabilidades de un sistema para poder solventarlas antes de padecer un ciberataque. Aquí te dejamos un e-Book con un checklist de todas las comprobaciones diarias que un IT debería realizar de sus sistema.
Concienciación y formación de equipos. Concienciar a tus empleados sobre la importancia de la ciberseguridad, así como, darles recomendaciones y buenas prácticas como por ejemplo: Navegar por páginas seguras (HTTPS://), no instalar ningún plugin ni aplicación sin la autorización del responsable informático, explicarles cómo detectar un ataque de phishing… La formación y concienciación es la clave para evitar la entrada de malware en un sistema.
Disponer de una estrategia de ciberseguridad con todos los protocolos de actuación que deberá seguir la empresa. Los empleados deben tener unas directrices y pautas claras y accesibles para garantizar su seguridad y la de los clientes.
Definir roles y grados de responsabilidad. Gestionar el acceso a información y controlar aquellos perfiles que pueden dar permisos o quitarlos, es importante para evitar que la cosa se desmadre. Tu equipo no necesita tener acceso a toda la información y documentación de la empresa. Procura que cada uno de ellos pueda acceder solo a aquella información necesaria para el desarrollo de su trabajo. ¿Te imaginas que todos tuvieran acceso a todo y permisos para dar acceso a terceros? Si alguien quisiera actuar con fines ilícitos lo tendría demasiado fácil.
Garantizar la seguridad informática de una empresa no solo debe recaer sobre el Responsable IT, sino que el CEO también debe formar parte de ello.
Existen unas medidas en relación al cumplimiento del Reglamento General de Protección de datos (RGPD) para el tratamiento de datos dentro de la empresa, sean de los empleados como de los clientes.
En este caso se deberá tener en cuenta:
Los empleados deberán aceptar la política de seguridad impuesta por la empresa.
Notificar a empleados y terceros del uso y tratamiento de sus datos.
Garantizar la confidencialidad de la información.
Establecer una política de uso de los medios tecnológicos que la empresa pone a disposición de su empleado. Un ejemplo: No poder instalar programas, softwares o aplicaciones sin la autorización del responsable IT de la empresa.
En caso de ciberataque, llega el momento de pasar a la fase de detección para actuar rápidamente y evitar que el malware pueda infectar todos tus sistemas o se propague por el resto de dispositivos.
Aquí es donde vamos a ver porque es tan importante la monitorización de los sistemas o las auditorías periódicas sobre ciberseguridad. Cuando estás en búsqueda constante de brechas o vulnerabilidades de un sistema, para tomar medidas para solventarlas, es muy fácil detectar anomalías e incidencias, pudiendo, de esta manera, actuar de manera inmediata, aislando el resto de equipos.
No obstante, si no se realiza esta monitorización y solo se deja que la solución antivirus se encargue de todo, no serás consciente de que has sido ciberatacado, hasta que un tercero te lo notifique o el mismo ciberdelincuente te mande una notificación de rescate para recuperar tus datos, poniendo en peligro tu reputación e imagen de marca, porque se habrá hecho público el ciberataque antes de que hayas tenido tiempo de reacción.
Es por eso, que la monitorización de sistemas es tan importante dentro de las empresa. Además, junto con la monitorización es imprescindible crear lo que nombramos Documento de Seguridad, donde se anoten todas las anomalías del sistema con la fecha y hora en la que se han producido.
Una vez detectado el ciberataque, es momento de pasar a la recuperación, es decir, intentar recuperar la normalidad de los sistemas, impidiendo que el/los ciberdelincuente/s puedan seguir dañando sus sistemas y obteniendo tu información.
Para la recuperación de los sistemas, las copias de seguridad (backups) juegan un papel fundamental, puesto que serán las que nos permitirán recuperar de forma inmediata la información, evitando la extorsión de los ciberdelincuentes que suelen pedir un rescate económico a cambio de tu información y datos.
La elaboración de planes de continuidad o la realización de un informe por parte de un perito externo para poder realizar la denuncia a las autoridades con la recopilación de todas las pruebas, es otra medida que puedes tomar en la fase de recuperación.
Solventado el ciberataque y recuperado el sistema, hay un protocolo de comunicación a seguir. Es decir, debes comunicar del incidente a nivel interno, es decir a los empleados, así como a los clientes y a los medios de comunicación.
Por lo que hace al tema de denuncias del incidente, puedes hacerlo con un comunicado a la Agencias de Protección de Datos (AEPD) o a la Policía, Guardia Civil o Juzgado.
¿Necesitas ayuda para la protección de tu empresa? ¡Descubre lo que hacemos! ¿Tomamos un café?