Pasos a seguir por un CIO cuando descubre un problema de seguridad

Los ciberataques ocurren pero un CIO debe prepararse para tener capacidad de recuperación ante estos ataques lo más rápidamente posible y con mínimos problemas.


En una reciente mesa redonda de CIOs, hubo una discusión acerca de los problemas de seguridad que más les preocupaban. La principal conclusión fue que no había mucho que hacer para evitar los ciberataques. Van a ocurrir alguna vez a la mayoría de las empresas, y además es muy difícil prevenirlos totalmente. Pero una de las cosas que los CIO sí deben hacer es prepararse para tener capacidad de recuperación ante estos ataques. Recuperarse lo más rápidamente posible y con la menor cantidad de problemas.

problema de seguridad.jpg

Sus compañeros, CTO, CMO, CFO, etc, pueden llegar a entender y aceptar que la seguridad de su organización se ha visto comprometida en un ciberataque, pero lo que no van a consentir es que el CIO no se haya preparado para una recuperación rápida y con pocas consecuencias.

Los CIO deben tener un programa de acciones a realizar, detallado y listo para poner en marcha ante diferentes escenarios de ataque.

Estos planes deben cubrir los diferentes grupos de aplicaciones y entornos, una lista de las acciones propuestas en función de su prioridad y unas instrucciones claras acerca de cómo debe actuar el personal de IT. No parece lógico empezar a decidir sobre lo que hacer cuando ya estás en medio de un ataque.

 

Pasos a seguir cuando te enfrentas a un problema de seguridad

Cuando se enfrentan a un problema de seguridad, cualquier CIO debería intentar tomar las siguientes medidas:

  • Comprende lo que ha pasado. Consulta con tus principales colaboradores de tu departamento de IT para evaluar la situación y entender qué datos se han visto comprometidos y cuál es el alcance de la brecha de seguridad.
  • Decide el plan que hay que invocar. Cuando ya tienes todos los detalles del problema, trabaja con tu equipo de IT y comunicaciones para decidir cuál es el plan que debe ser invocado. Entre las acciones a llevar a cabo, las siguientes pueden ser algunas de las que deberían estar en cualquier plan:
    • Desconecta tus sistemas de la red. Si un intruso ha accedido a cualquier cosa, lo más probable es que sea a través de la red. Tu prioridad número uno es detener daños adicionales y para ello lo mejor es desconectar los sistemas de la red. El método de desconexión depende de la ubicación del servidor. Para instalaciones in house, literalmente debes desenchufar todo. Pero si eres una de las muchas organizaciones que tienen sus datos alojados en la nube, lo que necesitas es moverlo a una red aislada y desactivarlo. ¿Por qué desconectar? Mientras que buscas y corriges la vulnerabilidad que se produjo con la intrusión, por ahora necesitas simplemente cerrar la puertas para que ninguna información salga sin tu permiso. Si el servidor tiene datos críticos para el funcionamiento de la empresa, la cosa es un poco más complicada. Por eso siempre siempre es mejor separar funciones.
    • Elimina todo rastro del atacante. Podrías desear que nada hubiera ocurrido, pero ha ocurrido. Lo que puedes hacer ahora es volver hacia atrás en el tiempo. Un hacker puede haber estropeado archivos, implantado datos o infringido otros daños. La ruta más rápida para deshacerse de todo lo que haya hecho es restaurar una copia de seguridad anterior que esté limpia. Elige el último momento conocido en el que no había rastro del atacante y restaura los datos y el software desde allí.
    • Diagnóstica los sistemas comprometidos. Ahora que ya está todo en funcionamiento de nuevo, es el momento de averiguar quién entró, dónde, cómo, qué información se puede haber llevado y cuáles de tus usuarios pueden verse afectados. Se trata de un trabajo a medias entre una autopsia y el trabajo de un detective, y cómo llevarlo a cabo depende de la naturaleza de la violación. Por supuesto, debes revisar todos los logs para intentar ver dónde algo ha funcionado mal. Esto puede mostrarte los logins y otras actividades de cuenta. Examina qué ficheros fueron afectados y cuándo, chequea si hubo clientes afectados mediante el envío de un ataque de phising. Pero ten en cuenta que si el sistema estaba comprometido, los logs pueden no ser fiables ya que también pueden haber sido falsificados.
    • Notifica a los usuarios afectados. No solo estás obligado a  avisar a todos los interesados cuyos datos pueden haber sido afectados por una brecha de seguridad sino que hacerlo puede ayudar a detener el problema de tener una espiral fuera de control. La mejor estrategia para comunicar malas noticias es ser transparente. En el momento en el que sepas lo que sucedió informa a los usuarios y haz recomendaciones claras sobre las acciones que deben de tomar.
    • Toma acciones correctivas. Cuando hayas sellado el sistema y solucionado todos los problemas, toma medidas para asegurar que un robo similar nunca vuelve a suceder. Una de las principales formas de acceso de los intrusos es a través de vulnerabilidades conocidas en piezas de software. Asegúrate de aplicar todos los parches y actualizaciones con diligencia. Recuerda a los usuarios internos las políticas de seguridad, como no compartir la contraseña. Considera la posibilidad de reestructurar tu configuración para que sea más difícil que un intruso pueda volver a entrar. Implementa una configuración de DMZ. Almacena los ficheros logs en un servidor remoto para que incluso si los hackers entran, no puedan falsificar la evidencia de sus acciones.
  • Comunícalo a la dirección de la empresa. Una vez el problema haya sido  evaluado y puesto en marcha el plan, comunica la situación al equipo de dirección de la empresa. CEO, CTO, CMO, CFO, etc., querrán tener una visión completa de cómo y porqué sucedió, los clientes que han sido afectados y las acciones que se han tomado.
  • Evalúa las secuelas. Un análisis posterior al problema es tan importante como cualquier otro proceso en caso de crisis. Entender cómo y porqué la seguridad de tu empresa ha sido violada, el punto exacto en el cual los datos fueron comprometidos, y el impacto en el negocio a corto plazo y largo plazo, son consideraciones importantes que debes entender. En el futuro este análisis podría servirte para averiguar si alguno de los mayores impactos en tu negocio podría ser disminuido o incluso eliminado si vuelve a ocurrir algo similar.

 

enmascaramiento de datos guia gratuita

 

Artículos relacionados

Subscríbete a nuestro blog y recibe las últimas actualizaciones sobre gestión de datos.

Descubre contenido nuevo todos los días para profundizar la transformación digital en tu organización.