4 Abr 2023

En esta época nos resulta a todos, muy familiar el concepto de ataque informático, aunque el ideario más popular dista mucho del real, las medidas mágicas no existen y toda la tarea de prevención y respuesta a incidentes es sumamente complejo y laborioso.

En este artículo hemos tratado de exponer las necesidades a atender para enfrentar un ataque informático a través del desarrollo de capacidades para detectar, responder y recuperase frente a un incidente de ciberseguridad. Hemos estructurado esta labor en planes de acción basados cuatro fases: la prevención, la detección, la recuperación y la respuesta.

 

  1. PREVENCIÓN: 

Actualmente, resulta imposible crear un entorno informático inaccesible a delincuentes informáticos aunque si se puede constituir un entorno preventivo que dificulte el acceso a los hackers, incorporando medidas preventivas:

  1.   Medidas preventivas organizativas:

Definir una política de seguridad y procedimientos que incluya aseguramiento en el desarrollo y uso de los sistemas y plataformas.

Aseguramiento de la red y los sistemas siguiendo las mejores prácticas del mercado (Antivirus, firewalls, SIEM, Red Team, Gestión de vulnerabilidades, anti spam, antiphishing)

Establecer un sistema de clasificación de la información.

Desarrollar dentro de la organización buenas prácticas para la gestión de la fuga de información.

Definir roles y niveles de acceso a la información.

Protección del papel. Desarrollo de políticas para la destrucción del papel, conservación de documentación, políticas de clean desk.

Sistemas de control de acceso, físicas a las instalaciones e informáticas en los ordenadores y sistemas de comunicación (móviles y tablets)

Control de los dispositivos extraíbles (pendrives, discos externos,…)

Desarrollo de planes de formación en materia de ciberseguridad y seguridad de la información, buenas prácticas de los sistemas informáticos etc. Estos planes de formación deben tener como objetivo la sensibilización y la formación de los usuarios.

Identificar los servicios, productos e información de mucho valor para la compañía para poder:

  • Desarrollar de planes de entrenamiento y recuperación de los servicios ante ciberataques, basados en simulaciones de situaciones reales tanto disruptivas como de filtración y fuga de información sensible. Esto es muy importante ya que el ejercicio hace a la calidad y la velocidad de recuperación ante un incidente real.   
  • Contratar ciberseguros con la  finalidad de proteger a las entidades frente a los incidentes derivados de los riesgos cibernéticos, el uso inadecuado de las infraestructuras tecnológicas y las actividades que se desarrollan en dicho entorno. Buscando cobertura sobre los siguientes conceptos:
  • Responsabilidad civil frente a terceros perjudicados.
  • Cobertura de los gastos materiales derivados de la gestión de los incidentes.
  • Cobertura de las pérdidas pecuniarias ante la interrupción de la actividad derivada de un fallo de seguridad y/o sistemas.
  • Cobertura de los gastos de asesoramiento legal en los que se debe incurrir para hacer frente a los procedimientos administrativos.
  • Cobertura ante la denegación de acceso a otros sistemas.
  • Acompañamiento en la gestión de la crisis.

Estos seguros suelen venir acompañados de servicios adicionales tales como son:

  • El borrado de huellas e historial.
  • La reparación de sistemas y equipos.
  • La recuperación de datos.
  • La descontaminación de virus.

A este respecto, cabe llamar la atención que estas garantías no suelen estar cubiertas por las pólizas de seguros tradicionales de Daños Materiales y Responsabilidad Civil. En este sentido, las entidades más expuestas al riesgo cibernético deben revisar sus seguros el objeto de garantizar que no existen gaps en la cobertura de sus posibles siniestros.

  1.   Medidas preventivas legales:

Medidas relativas a la adecuación y cumplimiento de la legislación aplicable (Ley 25.326) que incluyen, fundamentalmente, (i) el establecimiento de una circular sobre los principios generales a observar en el tratamiento de datos de carácter personal por parte de los empleados que tengan acceso a datos de carácter personal en el desempeño de sus funciones, (ii) contar con un sistema adecuado de investigación de incidencias y violaciones de seguridad de los datos.

Solicitud de aceptación de la política de seguridad por parte de los empleados.

Cláusulas contractuales con empleados en relación a la custodia, conservación y utilización de la información.

Cláusulas contractuales con terceros en materia de confidencialidad.

El establecimiento de una política de uso de medios tecnológicos, que determine el alcance del uso de los dispositivos y medios puestos a disposición del empleado por parte de la empresa y las facultades del empresario en relación con el control de la actividad de los empleados, así como las consecuencias derivadas del incumplimiento de la misma.

 

  1. DETECCIÓN:

El momento en el que se detecta un incidente de fuga de información es un momento crítico en cualquier entidad. Una buena gestión de la fase de detección del ataque informático puede suponer una reducción significativa del impacto del ataque.

Esta fase es muy importante, ya que muchas veces se tiene conocimiento de la irrupción una vez la información sustraída se revela al público o a la red, o el ciberdelinuente se pone en contacto con la víctima, para revenderles la información, extorsionarles o amenazarles.

Las principales medidas en esta fase de detección son técnicas, pues resulta imprescindible contar con una continua monitorización de los sistemas que permita detectar cualquier entrada sospechosa. Sin embargo también podemos encontrar medidas legales y organizativas:

  1.   Medias de detección organizativas:

Contar con un SOC- Blue Team – EDR 

Diseñar un protocolo interno de gestión del incidente en el que se identifique un gabinete de crisis u órgano decisorio de las medidas a adoptar. Este órgano debe estar compuesto por personas con capacidad de decisión, que puedan decidir, gestionar y coordinar la situación con calma, evitando consecuencias adicionales negativas.

  1.   Medidas de detección legales:

En recomendable adoptar como buena práctica obligaciones previstas por el nuevo Reglamento Europeo de Protección de Datos. Siguiendo esta línea se deberán registrar las incidencias o brechas de seguridad en el Documento de Seguridad que la empresa u organización debe desarrollar y mantener actualizado, de tal forma que quede constancia de (i) el tipo de incidencia, (ii) el momento en que se ha producido o detectado, (iii) la persona que realiza la notificación, (iii) la persona o personas a quien se realiza la notificación, (iv) los efectos que se derivan de la incidencia, (v) las medidas correctoras que se han aplicado.

Además, si la empresa realizase un tratamiento de datos de nivel medio o nivel alto, se deberán registrar, además de los extremos ya mencionados, (i) los procedimientos de recuperación realizados, (ii) la persona o personas que realizó el proceso de recuperación, (iii) los datos que han sido restaurados.

 

  1. RECUPERACIÓN

Una vez que se detecta una entrada ilegal en los sistemas informáticos es necesario llevar a cabo un plan organizado de recuperación, cuyo objetivo no es otro que recuperar los servicios y productos y dejarlos tal y como estaban antes del incidente. Para ello se deben implantar planes de continuidad del negocio que contemplen situaciones excepcionales que puedan producirse por ataques informáticos y que abarquen situaciones tanto de robo de información, como de bloqueo del sistema e incluso de borrado de datos.  Además, se recomienda realizar un informe por un perito externo de cara a la presentación de una denuncia ante las autoridades, que permita recoger todas las pruebas que faciliten una posterior investigación.

 

  1. RESPUESTA

En el momento que  se sufre un ataque informático se ve en la necesidad de dar respuesta al hecho acontecido. Ya no sólo dar respuesta e información a sus clientes, sino que también debe informar a los trabajadores, a terceros y encontrarse en predisposición de denunciar el hecho acontecido. Para ello se debe poner en marcha una estrategia de comunicación integral que abarque cada una de estas áreas. Y es que un paso fundamental ante un ataque informático, es minimizar la difusión de la información sustraída.

 

  1.   Respuestas a clientes:

Ante un ataque informático, es necesario poner en conocimiento de nuestros clientes el incidente ocurrido. En este sentido, podemos tomar como buena práctica lo expresado en el nuevo Reglamento General de Protección de Datos donde se establece en su artículo 34 que se deberá comunicar a los interesados sin dilación debida toda violación de la seguridad que afecte a sus datos personales, siempre que entrañe un alto riesgo para los derechos y libertades de las personas físicas titulares de los datos objeto de la vulneración. La norma no define qué debe entenderse por “alto riesgo”, por lo que ante la duda, lo aconsejable será informar a los interesados. Sin perjuicio de lo anterior, no será precisa la notificación, si (1) se han implementado medidas de seguridad apropiadas (p.ej., encriptación); o (2) si se han adoptado medidas que impiden que el riesgo elevado se llegue a materializar; o (3) la comunicación supone un esfuerzo desproporcionado.

En caso de que no aplique ninguna de las anteriores excepciones, la comunicación deberá incluir, como mínimo, (i) el nombre y los datos de contacto del delegado de protección de datos de la entidad o de otro punto de contacto en el que pueda obtenerse más información, (ii) las posibles consecuencias de la violación de la seguridad de los datos personales, y (iii) una descripción en un lenguaje sencillo las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Para ello se debe elaborar unas comunicaciones adecuadas a la situación concreta, atendiendo al número de clientes afectados, a la información sustraída y al daño ocasionado. Además de mostrar la disponibilidad y accesibilidad necesaria a todos nuestros clientes, como por ejemplo, poniendo un teléfono de asistencia específico o designando a una persona concreta para dar respuesta a las susceptibles dudas y cuestiones que puedan surgir.

 

  1.   Respuestas dentro de la organización:

Igualmente, se debe hacer una comunicación a los empleados. En primer lugar, para que tengan capacidad de dar respuesta a clientes que puedan preguntar, elaborando un discurso común y ordenado para toda la organización; y en segundo lugar, para crear un sentimiento de concienciación de los empleados, que les permita sentirse parte del proceso y a la vez, permita localizar puntos por los que los ciberdelincuentes han podido tener acceso al sistema informático. Y es que no podemos olvidar, que un gran número de ataques informáticos se producen a través de dispositivos móviles de empleados, por conexiones a redes wifi inseguras o por el uso de contraseñas fáciles de descifrar.

 

  1.   Respuestas a terceros:

Dentro del plan de comunicación ante este tipo de incidentes, un punto fundamental es las comunicaciones con terceros, y estas pueden ser de varios tipos:

– Respuestas a medios de comunicación que se han hecho eco del hecho acontecido: mostrando tranquilidad e informando del control de la situación, así como anunciando las medidas legales que se tomaran al efecto y dando respuesta a las preguntas que pudiesen suscitarse.

– Comunicación con los sitios (medios, web, canales de noticias,…) que puedan haber publicado parte de información sustraída: anunciando que se trata de una información confidencial que ha sido sustraída de manera ilícita, solicitando su retirada a la mayor brevedad posible y pidiendo la colaboración del medio para la posible detección e identificación de los ciberdelincuentes.

 

  1. Denuncias:

En caso de ser víctima de un ciberataque se pueden realizar las denuncias ante:

  • El Ministerio Público Fiscal de la nación. Unidad Fiscal Especializada en Ciberdelincuencia (UFECI).
  • El Ministerio Público Fiscal del poder judicial de la provincia de Cordoba.
  • La Dirección Nacional de Protección de Datos Personales.

 

  1. OTRAS MEDIDAS ACCESORIAS

 

Por último debemos atender a otras medidas accesorias que se pueden implementar y que van a contribuir a crear un entorno de seguridad y concienciación en materia de prevención, detección, recuperación y respuesta ante ataques informáticos como:

Atender a las buenas prácticas de la ISO 19600 en materia de Compliance.

Atender a las buenas prácticas de la ISO 27001 en materia de seguridad de la información.

Atender a las buenas prácticas de la ISO 22301 en materia de continuidad del negocio.

Apoyarse en terceros expertos independientes que puedan ayudarnos tanto en el desarrollo de todo el proceso, desde el desarrollo de políticas internas, como en la custodia de información, como a la hora de actuar ante alguno de los incidentes expuestos.

Emanuel Herrera es PECB Senior Lead Risk Manager ISO 27005-31000 y tiene más de 10 años liderando la Gestión de Ciberriesgos y Clasificación de Activos en Banco de Córdoba S.A.