¿Cómo actuar ante un ciberataque?

Al igual que cualquier agresión o evento disruptivo en el ámbito empresarial un ataque informático para cualquier empresa u organización debe tener su propio plan de acción, el cual abarque desde el paso inicial o prevención hasta la fase post ataque en la cual se incluyan las acciones que realizará la organización una vez haya terminado el evento.
Sabemos que no todas las organizaciones cuentan con estos planes, y es por eso que Hitbeat quiere apoyarlas y ofrecer su experiencia en este ámbito.
Para iniciar es importante definir cuales son las etapas o pilares que comprenden este tipo de plan.
PREVENCIÓN: Dentro de esta etapa se encuentra la construcción de un entorno preventivo que dificulte o obstaculice que ocurre un ataque.
DETECCIÓN: Corresponde a los procedimientos o herramientas que están enfocados a localizar y comunicar internamente que un ciberataque está ocurriendo.
RECUPERACIÓN: Consiste en estructura un plan organizado de recuperación, cuyo objetivo no es otro que recuperar el sistema y dejarlo tal y como estaba antes del incidente.
RESPUESTA: Dentro de esta etapa se encuentran los pasos y procedimiento para poder poner en marcha una estrategia de comunicación integral que abarque todas las areas de la organización y nuestros clientes y proveedores, un paso fundamental ante un ataque informático, es minimizar la difusión de la información sustraída.

FASE 1: PREVENCIÓN
Actualmente, resulta imposible crear un entorno informático inaccesible a delincuentes informáticos aunque si se puede constituir un entorno preventivo que dificulte el acceso a los hackers, incorporando medidas preventivas organizacionales y legales:
Medidas preventivas organizacionales:
Desarrollar dentro de la organización buenas prácticas para la gestión de la fuga de información.
Definir una política de seguridad y procedimientos para los ciclos de vida de los datos.
Establecer un sistema de clasificación de la información.
Definir roles y niveles de acceso a la información.
Protección del papel. Desarrollo de políticas para la destrucción del papel, conservación de documentación, políticas de clean desk.
Sistemas de control de acceso, físicas a las instalaciones e informáticas en los ordenadores y sistemas de comunicación (móviles y tablets)
Control de los dispositivos extraíbles (pendrives, discos externos,…)
Desarrollo de planes de formación en materia de ciberseguridad y seguridad de la información con el objetivo de concientizar a tu organización en estos temas.
Contratar ciberseguros cuya finalidad es proteger a las entidades frente a los incidentes derivados de los riesgos cibernéticos. Estos seguros te pueden apoyar con las siguiente actividades:
El borrado de huellas e historial.
La reparación de sistemas y equipos.
La recuperación de datos.
La descontaminación de virus.
Medidas preventivas legales:
Medidas relativas a la adecuación y cumplimiento de la legislación aplicable (LFPDPPP) que incluyen, fundamentalmente, (i) el establecimiento de una circular sobre los principios generales a observar en el tratamiento de datos de carácter personal por parte de los empleados que tengan acceso a datos de carácter personal en el desempeño de sus funciones, (ii) contar con un sistema adecuado de investigación de incidencias y violaciones de seguridad de los datos.
Solicitud de aceptación de la política de seguridad por parte de los empleados.
Cláusulas contractuales con empleados en relación a la custodia, conservación y utilización de la información.
Cláusulas contractuales con terceros en materia de confidencialidad.
El establecimiento de una política de uso de medios tecnológicos, que determine el alcance del uso de los dispositivos y medios puestos a disposición del empleado por parte de la empresa y las facultades del empresario en relación con el control de la actividad de los empleados, así como las consecuencias derivadas del incumplimiento de la misma.

FASE 2: DETECCIÓN
El momento en el que se detecta un incidente de fuga de información es un momento crítico en cualquier entidad. Una buena gestión de la fase de detección del ataque informático puede suponer una reducción significativa del impacto del ataque.
Esta fase es muy importante, ya que muchas veces se tiene conocimiento de la irrupción una vez la información sustraída se revela al público o a la red, o el ciberdelinuente se pone en contacto con el despacho de abogados correspondiente, para revenderles la información, extorsionarles o amenazarles.
Las principales medidas en esta fase de detección son técnicas, pues resulta imprescindible contar con una continua monitorización de los sistemas que permita detectar cualquier entrada sospechosa. Sin embargo también podemos encontrar medidas legales y organizativas:
1. Medias de detección organizativas:
Diseñar un protocolo interno de gestión del incidente en el que se identifique un gabinete de crisis u órgano decisorio de las medidas a adoptar. Este órgano debe estar compuesto por personas con capacidad de decisión, que puedan decidir, gestionar y coordinar la situación con calma, evitando consecuencias adicionales negativas.
2. Medidas de detección legales:
Sin perjuicio de las obligaciones previstas por el nuevo Reglamento Europeo de Protección de Datos, se deberán registrar las incidencias o brechas de seguridad en el Documento de Seguridad que la empresa u organización debe desarrollar y mantener actualizado, de tal forma que quede constancia de (i) el tipo de incidencia, (ii) el momento en que se ha producido o detectado, (iii) la persona que realiza la notificación, (iii) la persona o personas a quien se realiza la notificación, (iv) los efectos que se derivan de la incidencia, (v) las medidas correctoras que se han aplicado.
Además, si la empresa realizase un tratamiento de datos de nivel medio o nivel alto, se deberán registrar, además de los extremos ya mencionados, (i) los procedimientos de recuperación realizados, (ii) la persona o personas que realizó el proceso de recuperación, (iii) los datos que han sido restaurados.
.png)
FASE 3: RECUPERACIÓN
Una vez que se detecta una entrada ilegal en los sistemas informáticos del despacho es necesario llevar a cabo un plan organizado de recuperación, cuyo objetivo no es otro que recuperar el sistema y dejarlo tal y como estaba antes del incidente. Para ello se deben implantar medidas técnicas de recuperación de la información: backups de los sistemas, copias de seguridad etc.
Entre las medidas organizativas que se pueden desarrollar para la recuperación se encuentra la elaboración de planes de continuidad del negocio que contemplen situaciones excepcionales que puedan producirse por ataques informáticos y que abarquen situaciones tanto de robo de información, como de bloqueo del sistema e incluso de borrado de datos. Además, se recomienda realizar un informe por un perito externo de cara a la presentación de una denuncia ante las autoridades, que permita recoger todas las pruebas que faciliten una posterior investigación.

FASE 4: RESPUESTA
En el momento que nuestra organización sufre un ataque informático se ve en la necesidad de dar respuesta al hecho acontecido. Ya no sólo dar respuesta e información a sus clientes, sino que también debe informar a los trabajadores, a terceros y encontrarse en predisposición de denunciar el hecho acontecido. Para ello se debe poner en marcha una estrategia de comunicación integral que abarque cada una de estas áreas. Y es que un paso fundamental ante un ataque informático, es minimizar la difusión de la información sustraída.
1. Respuestas a clientes:
Ante un ataque informático, es necesario poner en conocimiento de nuestros clientes el incidente ocurrido.
La comunicación deberá incluir, como mínimo:
-El nombre y los datos de contacto del delegado de protección de datos de la entidad o de otro punto de contacto en el que pueda obtenerse más información.
-Las posibles consecuencias de la violación de la seguridad de los datos personales
-Una descripción en un lenguaje sencillo las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Para ello se debe elaborar una comunicaciones adecuada a la situación concreta, atendiendo al número de clientes afectados, a la información sustraída y al daño ocasionado. Además de mostrar la disponibilidad y accesibilidad necesaria a todos nuestros clientes, como por ejemplo, poniendo un teléfono de asistencia específico o designando a una persona concreta para dar respuesta a las susceptibles dudas y cuestiones que puedan surgir.
2. Respuestas dentro de la organización:
Igualmente, se debe hacer una comunicación a los empleados. En primer lugar, para que tengan capacidad de dar respuesta a clientes que puedan preguntar directamente a sus abogados de contacto, elaborando un discurso común y ordenado para toda la organización; y en segundo lugar, para crear un sentimiento de concienciación de los empleados, que les permita sentirse parte del proceso y a la vez, permita al despacho localizar puntos por los que los ciberdelincuentes han podido tener acceso al sistema informático. Y es que no podemos olvidar, que un gran número de ataques informáticos se producen a través de dispositivos móviles de empleados, por conexiones a redes wifi inseguras o por el uso de contraseñas fáciles de descifrar.
3. Respuestas a terceros:
Dentro del plan de comunicación ante este tipo de incidentes, un punto fundamental es las comunicaciones con terceros, y estas pueden ser de varios tipos:
- Respuestas a medios de comunicación que se han hecho eco del hecho acontecido: mostrando tranquilidad e informando del control de la situación, así como anunciando las medidas legales que se tomaran al efecto y dando respuesta a las preguntas que pudiesen suscitarse.
- Comunicación con los sitios (medios, web, canales de noticias,…) que puedan haber publicado parte de información sustraída: anunciando que se trata de una información confidencial que ha sido sustraída de manera ilícita, solicitando su retirada a la mayor brevedad posible y pidiendo la colaboración del medio para la posible detección e identificación de los ciberdelincuentes.
4. Denuncias:
Comunicaciones con las autoridades.
En relación con la notificación a las autoridades no existen un protocolo designado por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales de una brecha de seguridad.
No obstante, con la aplicación del nuevo Reglamento General de Protección de Datos todas las empresas que hayan sufrido una brecha de seguridad, independientemente del sector al que pertenezcan, se encuentran obligadas a realizar una notificación expresa a la INAI sin demora, en un plazo máximo de 72 horas siempre que sea posible. La notificación dirigida al instituto deberá incluir: (i) naturaleza del incidente; (ii) identidad y datos de contacto del delegado de protección de datos;(iii) consecuencias del incidente; y (iv) medidas correctoras propuestas o adoptadas.
Otras medidas recomendadas.
Por último debemos atender a otras medidas que se deben de implementar dentro de nuestra organización y que van a contribuir a crear un entorno de seguridad y concienciación en materia de prevención, detección, recuperación y respuesta ante ataques informáticos como:
-Atender a las buenas prácticas de la ISO 19600 en materia de Compliance.
-Atender a las buenas prácticas de la ISO 27001 en materia de seguridad de la información.
-Apoyarse en terceros expertos independientes que puedan ayudarnos tanto en el desarrollo de todo el proceso, desde el desarrollo de políticas internas, como en la custodia de información, como a la hora de actuar ante alguno de los incidentes expuestos.