¿Qué es lo primero que pasa ante un incidente informático en una empresa? Cunde el pánico. Todo es una catástrofe, un drama, pero lo último que se debe perder es la calma para poder valorar bien la situación y saber si el ataque ha sido tan grave en realidad como nos habíamos imaginado en un principio.
No es lo mismo hablar de un gran incidente informático que de uno menor. Las consecuencias y métodos de actuación no serán los mismos, por eso es importante saber detectar a qué tipo de ciberataques nos estamos enfrentando y cómo proceder.
Nuestro CEO, Eduard Bardají, dio una charla sobre cómo gestionar un gran incidente informático que puedes ver en el siguiente vídeo.
A lo largo de este artículo, lo que haremos, será aprender a detectar un gran incidente informático de uno menor.
Encontramos diferentes niveles o grados para cualificar a los ciberataques. Estos niveles son los que nos ayudan a saber si se trata de un gran incidente o de un ataque menor y cómo debe ser gestionado.
Incidente crítico con un impacto muy alto:
Fallo de un servicio público para todos los clientes o usuarios que utilizan el sistema.
Se ha vulnerado la confidencialidad o la privacidad de los datos personales o información de la empresa.
Los datos personales de los clientes o usuarios han sido robados.
Incidente principal
Paralización temporal de un servicio para una parte de los usuarios, no todos.
Afecta notablemente al desarrollo de la actividad empresarial.
Incidente secundario con bajo impacto:
Puede ser una molestia para los clientes o usuarios, pero se les puede ofrecer una solución alternativa hasta recuperar la normalidad, sin que les afecte en su día a día.
Disminuye el rendimiento de uso de un servicio, pero no se paraliza y se puede seguir usando.
No se han visto comprometidos los datos ni información personal de los usuarios.
En ESED definiríamos como un gran incidente informático, aquel que expone, de manera pública, los datos personales de los usuarios y la información confidencial de la empresa. Un ejemplo de gran incidente informático sería el del Hospital Clínic de Barcelona o el malware WannaCry que afectó hace tiempo a múltiples empresas internacionales como Everis.
En cambio, se consideraría un incidente informático menor, aquel ciberataque que no ha tenido un gran impacto y que se ha podido frenar a tiempo, evitando que se propague por toda la infraestructura informática.
Dentro de estos niveles, no solo es importante valorar la gravedad del asunto, sino también establecer una prioridad de actuación.
Por gravedad nos referimos al tipo de ciberataque que se ha padecido. Dentro de cada tipo, podemos encontrar diferentes niveles de gravedad. Aquí algunos ejemplos de cómo podrían clasificarse:
Gravedad 1: Incidente crítico con un impacto muy alto para los usuarios, clientes o actividad empresarial.
Gravedad 2: Incidente grave con un impacto significativo, pero que todavía tiene margen de maniobra.
Gravedad 3: Incidente de menor importancia con un impacto bajo. Se trata de incidentes que pueden convertirse en graves (gravedad 2) si no se abordan rápidamente.
Gravedad 4: Incidente de menor importancia que afecta al desarrollo de la actividad empresarial, pero no la paraliza.
Gravedad 5: Errores o incidencias de soporte que no afectan al desarrollo de la actividad empresarial ni tampoco ponen en riesgo a los usuarios, clientes y empleados de la empresa.
Por otro lado, cuando hablamos de prioridad nos referimos, dentro de los pasos a seguir para la gestión del ciberataque, qué acciones o tareas son más prioritarias qué otras, para seguir un orden concreto y evitar daños mayores. Se podría definir como la urgencia. Para ello, es importante disponer de un gabinete de gestión de crisis y un protocolo de actuación, todo incluido dentro de la estrategia de ciberseguridad de la empresa.
En este artículo te explicamos detalladamente los pasos a seguir para la gestión de un ciberataque.
Por un lado para mantener la calma y por el otro, para saber exactamente cómo proceder y gestionar el incidente, evitando así, que el nivel de gravedad aumente.
Sin embargo, para poder valorar el nivel y gravedad del ciberataque, es importante y necesario contar con la ayuda de un especialista informático con conocimientos en ciberseguridad, porque éste, podrá realizar un monitoreo de toda la infraestructura informática para encontrar la raíz del problema y evitar que se propague por otros equipos y sistemas que todavía no hayan sido infectados.
Además, contar con un protocolo de actuación que conozca toda la empresa es de suma importancia para que sepan, ante una posible amenaza, cómo deben actuar y evitar un daño mayor. A este requisito, deberías sumarle formación y concienciación en ciberseguridad, para ayudar a tu equipo a identificar posibles amenazas a tiempo.
¿Has sido víctima de un ciberataque y necesitas que te ayudemos a identificar el nivel de gravedad del ataque? ¿Necesitas desarrollar una nueva estrategia de ciberseguridad? ¿No dispones de un gabinete de gestión de crisis? ¿No sabes qué son las políticas de ciberseguridad? Para cualquier duda o necesidad, en ESED te ayudamos.