He sufrido un incidente de Seguridad, ¿y ahora qué hago?
- Opinión
Los momentos inmediatamente posteriores a la detección de un incidente de seguridad son especialmente críticos. Una adecuada gestión en las primeras fases puede suponer una reducción del impacto en nuestra empresa.
|
También puedes leer... |
¿Y ahora qué hago? Esta es la primera pregunta que nos planteamos y se plantean muchas empresas cuando hemos sufrido un incidente de seguridad.
A continuación, y en base a experiencias propia en este tipo de situaciones y en la de los clientes que han solicitado mis servicios, propongo unas “Guide Lines “para que sirvan de referencia, tanto para la gestión técnica del incidente como la gestión legal y operativa del mismo, con el objetivo de resolver y mitigar el daño sufrido tras el incidente, así como la posible fuga de información de nuestros sistemas.
Este contenido es parte del número de junio de IT Digital Security. Descárgatela desde este enlace.
También hay que definir y, esto es muy importante, el origen de las amenazas que provocan la fuga de información, ya que pueden ser tanto externas como internas. Por origen interno se entienden las fugas de información ocasionadas por empleados propios de la empresa, ya sea de forma inadvertida (por desconocimiento o por error) o también a propósito. En el segundo caso los motivos “intencionados” que pueden estar detrás de este tipo de incidentes son muy variados y podrían ser porque el empleado esté descontento con la empresa, la venganza, la venta de secretos industriales o información privilegiada para la obtención de un beneficio económico particular, el daño a la imagen corporativa o la creación de una nueva empresa por parte del empleado con parte de los activos de información. Los principales orígenes externos de la fuga de información abarcan desde organizaciones criminales hasta activistas en internet. Sus principales motivaciones pueden ser desde la obtención de un beneficio económico con la venta de la información sustraída, la obtención de información específica (planos, proyectos, patentes), hasta dañar la imagen de la empresa o llevar a cabo acciones reivindicativas.
Así que lo primero que debe hacerse si hemos sido víctimas de un incidente de Seguridad es:
1º. Localizar el incidente.
2º. Reunión del gabinete de crisis.
3º. Informe inicial de situación.
4º. Aislar y poner en cuarentena los sistemas informáticos infectados de la infraestructura tecnológica de la empresa.
5º. Desconexión en el peor de los casos, de los elementos de acceso a internet de la empresa para que ningún equipo tenga acceso a internet y pueda volver a infectarnos de nuevo.
6º. Comunicar a los cuerpos de seguridad del estado en el plazo de 24 horas, que se ha sufrido un incidente de ciberseguridad, para ello actualmente el INCIBE (Instituto Nacional de Ciberseguridad), cuenta con un equipo de especialistas que además de recibir los incidentes reportados a través de los buzones de correo electrónico destinados para ello, emplea técnicas de anticipación y detección temprana de incidentes, esto permite por una parte elaborar alertas y avisos sobre campañas para mejorar la protección frente a ciberamenazas. Por otra parte, en el caso de la detección temprana de incidentes, se procede a la notificación del afectado y mantiene contacto con los proveedores de servicios de internet y otros centros de datos si fuera necesario.
5º. Notificar a la AEPD (Agencia española de protección de datos) el incidente ocurrido ya que, el 25 de mayo de 2018, entró en vigor la GDPR (Reglamento europeo de protección de datos), que obliga a todas las empresas y profesionales que hayan sufrido un incidente de seguridad y vean comprometidos sus datos, comunicar a este organismo en el plazo de 48 horas dichos incidentes y fugas de información.
Los momentos inmediatamente posteriores a la detección de un incidente de seguridad son especialmente críticos. Una adecuada gestión en las primeras fases puede suponer una reducción del impacto en nuestra empresa. Excepto en el caso de pérdida de dispositivos móviles, (Tablets, Smartphones) el principal problema en la mayoría de las ocasiones es que no es detectado hasta que su filtración se hace pública bien a través de los medios de comunicación o Internet, bien a través de algún tipo de notificación por parte del ciberdelincuente responsable del hecho. Por este motivo, uno de los mayores retos a los que se enfrentan las empresas es conseguir la detección temprana del incidente, si es posible, a través de medios internos, además realizar una constante labor de monitorización de cualquier publicación sobre nuestra entidad, se recomienda para ello, el uso de dispositivos SIEM, para tomar el control de la situación lo antes posible.
La prevención de incidentes de seguridad se basa en implantar políticas de uso y medidas técnicas eficaces en nuestra empresa, sin estas medidas quedaremos expuestos a los ataques de estos ciberdelincuentes.
David Jiménez Fernández, Consultor de Seguridad IT y Perito Judicial Informático
