En una mesa redonda reciente de CIO, hubo una discusión sobre los problemas de seguridad que más les preocupaban. La principal conclusión fue que no había mucho que hacer para evitar los ciberataques. Le pasarán a la mayoría de las compañías en alguna vez, y además es muy difícil prevenirlos por completo. Pero una de las cosas que los CIO deben hacer es prepararse para resistir estos ataques. Recupere lo más rápido factible y con el menor número de problemas.
Sus colegas, CTO, CMO, CFO, etc., pueden llegar a comprender y aceptar que la seguridad de su organización se ha visto comprometida en un ciberataque, pero lo que no consentirán es que el CIO no se ha preparado para una recuperación rápida y con poca consecuencia.
Los CIO deben contar con un programa detallado de acciones a realizar, listo para poner en práctica ante diferentes escenarios de ataque.
Estos planes deben cubrir los diferentes grupos de aplicaciones y entornos, una lista de acciones propuestas en función de su prioridad e instrucciones claras acerca de cómo debe actuar el personal de TI. No parece lógico comenzar a elegir qué hacer cuando ya estás en medio de un ataque.
Pasos a seguir ante un obstáculo de seguridad
Cuando se enfrente a un obstáculo de seguridad, cualquier CIO debe intentar seguir los siguientes pasos:
- Comprender lo que ha pasado. Consulte con sus principales colaboradores en su departamento de TI para examinar la situación y comprender qué datos se han visualizado comprometidos y cuál es el alcance de la brecha de seguridad.
- Elegir el plan a invocar. Cuando tenga todos los detalles del problema, trabaje con su equipo de TI y comunicaciones para elegir qué plan debe invocarse. Entre las acciones a realizar, las siguientes pueden ser algunas de las que deberían estar en cualquier plan:
- Desconecte sus sistemas de la red. Si un intruso ha accedido a algo, lo más probable es que sea por medio de la red. Su prioridad número uno es evitar que se produzcan más daños y, para esto, es mejor desconectar los sistemas de la red. El método de desconexión depende de la ubicación del servidor. Para instalaciones internas, literalmente tiene que desconectar todo. Pero si usted es una de las muchas instituciones que disponen sus datos alojados en la nube, lo que debe hacer es moverlos a una red aislada y deshabilitarlos. ¿Por qué desconectar? Mientras busca y corrige la vulnerabilidad que ocurrió con la intrusión, por ahora simplemente debe cerrar las puertas para que no salga información sin su permiso. Si el servidor tiene datos críticos para el funcionamiento de la compañía, las cosas se complican un poco más. Es por ello que siempre es mejor separar funciones.
- Borrar todo rastro del atacante. Es factible que desee que no haya pasado nada, pero ha sucedido. Lo que puede hacer ahora es retroceder en el tiempo. Un pirata informático puede haber corrompido archivos, implantado datos o infringido otros daños. La ruta más rápida para deshacerse de todo lo que ha hecho es restaurar una copia de seguridad antigua limpia. Elija la última hora conocida en la que no hubo señales del atacante y restaure los datos y el software desde allí.
- Diagnosticar sistemas comprometidos. Ahora que todo está funcionando nuevamente, es hora de averiguar quién ingresó, dónde, cómo, qué información se pudo haber tomado y cuáles de sus usuarios pueden verse afectados. Esto es a medio camino entre una autopsia y el trabajo de un detective, y la forma de llevarlo a cabo depende de la naturaleza de la violación. De todos modos, debe revisar todos los registros para tratar de ver dónde algo salió mal. Esto puede mostrarle los inicios de sesión y otras actividades de la cuenta. Examine qué archivos se vieron afectados y cuándo, verifique si hubo clientes afectados enviando un ataque de phishing. Pero tenga en cuenta que si el sistema se vio comprometido, es factible que los registros no sean confiables, puesto que además pueden haber sido falsificados.
- Notificar a los usuarios afectados. No solo está obligado a alertar a todas las partes interesadas cuyos datos puedan haber sido comprometidos por una violación de seguridad, sino que hacerlo puede ayudar a detener el problema de la escalada fuera de control. La mejor estrategia para comunicar malas noticias es ser transparente. Tan pronto como sepa lo que sucedió, reporte a los usuarios y haga recomendaciones claras sobre las acciones que deben tomar.
- Toma acciones correctivas. Cuando haya sellado el sistema y solucionado todos los problemas, tome las medidas imprescindibles para asegurarse de que no vuelva a ocurrir un robo equivalente. Una de las principales alternativas para acceso de los intrusos es por medio de vulnerabilidades reconocidas en piezas de software. Asegúrese de aplicar todos los parches y actualizaciones con diligencia. Recuerde a los usuarios internos las políticas de seguridad, como no compartir la contraseña. Considere reestructurar su configuración para que sea más difícil para un intruso volver a ingresar. Poner en práctica una configuración DMZ. Almacena los archivos de registro en un servidor remoto para que, inclusive si los piratas informáticos ingresan, no puedan falsificar la evidencia de sus acciones.
- Comuníquelo a la dirección de la compañía. Una vez evaluado el problema y ejecutado el plan, comunique la situación al equipo directivo de la compañía. El CEO, CTO, CMO, CFO, etc., querrá tener una visión completa de cómo y por qué sucedió, los clientes que se han visualizado afectados y las acciones que se han tomado.
- Examinar las secuelas. Un análisis posterior al problema es tan importante como cualquier otro procedimiento de crisis. Comprender cómo y por qué se ha violado la seguridad de su compañía, el punto exacto en el que los datos se vieron comprometidos y el impacto comercial a corto y largo plazo son consideraciones importantes que debe comprender. En el futuro, este análisis podría ayudarlo a averiguar si alguno de los principales impactos en su negocio podría reducirse o inclusive eliminarse si algo equivalente vuelve a suceder.