Conectividad

Prosegur crea una guía para proteger una empresa de ciberataques

Las brechas de seguridad son uno de los mayores problemas a los que se enfrentan las empresas hoy día debido a la proliferación del spyware y ransomware. Ya no son solo virus y troyanos el malware que ataca a las grandes empresas. La preparación previa y la gestión profesional son factores determinantes que pueden minimizar el impacto de un ciberataque en una empresa y la pueden proteger.

En este Día de Internet Segura, Cipher, la división de ciberseguridad de Prosegur, ha elaborado una lista con las recomendaciones más útiles para proteger una empresa u organización si sufre un ciberataque.

Centralizar la coordinación de la respuesta a los incidentes

Todas las medidas tras un ciberataque deben estar perfectamente coordinadas desde un único punto. No deben de tomarse acciones unilaterales por parte de diferentes departamentos, ya que pueden distorsionar la información durante el proceso de Threat Hunting y chocar con ellos, de forma que se entorpezcan y al final acaben haciendo que la amenaza se extienda en vez de que sea reducida.

La descoordinación puede ser un signo de fragilidad que acelere y facilite la respuesta de los ciberdelincuentes. Por esto hay que depender de un único equipo coordinado en vez de tener varios particulares divididos físicamente y en diferentes sectores.

Identificar y analizar la amenaza

Una vez se haya confirmado que la ha habido un ataque a la empresa u organización, el objetivo es identificar con la mayor precisión posible los vectores de ataque, así como las pruebas o indicios procedentes del incidente. Es necesario realizar un análisis exhaustivo para determinar los Indicadores de Compromiso del incidente. Saber del modus operandi del grupo criminal implicado y conocer sus mecanismos de ciberespionaje va a darnos información sobre el mismo que pueda ser útil para definir los siguientes pasos.

Implementar una estrategia de contención para detener la propagación de los virus

La estrategia de contención que debemos implementar tras un ciberataque dependerá del tipo de incidente, de los recursos y de las capacidades de contención disponibles. Hay que tener en cuenta la posible necesidad de preservar las pruebas forenses de la actividad delictiva y así como la viabilidad de una solución permanente o temporal. ç

El corte total de Internet, la limitación de la conectividad en protocolos de mando y control identificados y establecimiento de una situación de “VLAN de contención” en la que se aíslan los elementos afectados pueden ser soluciones temporales a un ciberataque. Pero son esto, soluciones temporales y no finales, con lo que hay que seguir con más protocolos y estrategias para evitar que se sigan produciendo daños.

Erradicación del ciberataque y recuperación de los equipos

Después de que un ordenador haya sido retenido y controlado debido a una amenaza, se deben de comenzar las labores de erradicación y recuperación necesarias para que se pueda restablecer la normalidad diaria de la empresa. Durante esta fase, existen varias posibilidades para la restauración como son reinstalar el equipo, restaurar una copia de seguridad del estado del equipo anterior al incidente o limpiar el equipo de elementos dañinos mediante los programas adecuados.

Hacer un análisis forense y establecimiento de una línea cronológica del incidente

El mejor momento para realizar un análisis completo de la línea cronológica no es en la fase más grave del ciberataque. Tampoco lo es para investigar la causa y origen del mismo. Lo más recomendable es que todo análisis forense del incidente sea dirigido a reconstruir una línea de tiempo del ataque para localizar rastros de actividad delictiva. En un incidente puede haber una enorme cantidad de ordenadores comprometidos o en los que pueden seguir elementos dañinos que puedan ocasionar una reinfección a otros equipos.

Tener una comunicación interna segura

Si se ven comprometidas las comunicaciones de dentro de la empresa, es urgente encontrar un canal de comunicación alternativo y seguro para compartir información durante la gestión de la crisis. Si no existe, se pueden establecer plataformas alternativas de comunicación y colaboración. Algunas de estas alternativas pueden ser sesiones de Microsoft Teams, grupos en Slack, en Signal o en Telegram. Se recomienda centralizar la comunicación interna en la figura del coordinador para que la comunicación sea fluida.

Emplear un programa de comunicación externa con los afectados

Todas las comunicaciones externas fuera del ecosistema de la empresa deben de ser supervisadas por un gabinete de crisis. El gabinete de crisis debe de solicitar información a la coordinación técnica para notificar a los clientes, socios o propietarios de datos personales que hayan podido ser comprometidos de acuerdo con las normativas de Protección de Datos españolas y europeas. También deberán de comunicar el incidente a las fuerzas de seguridad pública.

Se recomienda informar lo antes posible a los inversores que potencialmente hayan sido afectados por el ciberataque. Esto es necesario para que puedan llevar a cabo un proceso de búsqueda de indicadores dentro de sus infraestructuras y evitar la propagación del mismo tipo de amenaza en sus sistemas. Así se consigue mantener la confianza con los socios e inversores, y dejar claro que se está preparado ante ciberataques ataques.

Reflexión y aprendizaje de la experiencia para proteger la empresa de un futuro ciberataque

Una vez se haya solucionado el incidente y se haya completado la recuperación de los sistemas afectados, hay que hacer balance de lo aprendido. Tras recapitular toda la información obtenida tras peritaje, análisis forense y planes de actuación y sus resultados, podremos mejorar las medidas de seguridad, desarrollar nuevos procesos y protocolos, e implementaremos nuevas tecnologías para la detección, análisis y mitigación de futuros ciberataques.

Como parte del proceso de aprendizaje, es recomendable hacer reuniones de debriefing con todos los involucrados en la empresa para que sepan cómo se pueden proteger en un futuro ciberataque. Se recomienda si el incidente tiene un alto impacto, para así aprovechar el suceso como una oportunidad para transmitir a todos los empleados la necesidad de mantener comportamientos correctos en materia de ciberseguridad. El factor del error humano suele ser el punto débil que buscan los hackers en un ataque a cualqueir sistema, como puede ser una contraseña insegura o un puerto mal vigilado.

Mostrar más

Benjamín Rosa

Madrileño cuya andadura editorial empezó en 2009. Me encanta investigar curiosidades que después os traigo a vosotros, lectores, en artículos. Estudié fotografía, habilidad que utilizo para crear fotomontajes humorísticos.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba