Todos los controles y medidas preventivas ayudan a disminuir la probabilidad y atenuar el impacto que producen los ciberataques a empresas y organismos. Sin embargo, estas no los evitan por completo, por lo que la pregunta correcta que debemos hacernos no es si sufriremos un ciberataque, sino cómo responderemos cuando suceda.
Cuando una empresa recibe un ciberataque tiene dos problemas para conseguir ayuda, el primero es la competencia por los recursos escasos, y el segundo es la ley de la oferta y la demanda... dado que ante esos escenarios las víctimas no se encuentran en el mejor momento para negociar un precio. Para mitigar este problema, algunas empresas grandes cuentan con un equipo de respuesta a incidentes dedicado (IRT - Incident Response Team), pero no todas las empresas pueden afrontar el costo que implica.
Frente a esta encrucijada, cabe la pregunta ¿Cómo se recupera una firma/organización de un ataque a sus sistemas? ¿Es un proceso difícil?
La recuperación después de un ciberataque para una empresa o institución puede ser un proceso complejo y requiere de una respuesta rápida y efectiva para minimizar los daños. Si bien este proceso incluye una serie de actividades estandarizadas, también debe considerarse necesidades y aspectos particulares de cada empresa para que la respuesta sea la adecuada. Este enfoque se establece antes del momento del ataque e incluye un proceso que no es secuencial sino concurrente, e incluye actividades como:
Detección y Triage: Dependiendo de los mecanismos de monitoreo que cada compañía tiene implementados, se evalúan comportamientos sospechosos que requieren de un análisis para filtrar falsas alarmas y eventualmente detectar tempranamente un ataque. Naturalmente, en una situación de emergencia, es importante distinguir y priorizar los incidentes de seguridad dependiendo de su criticidad e impacto.
Contención: Una vez detectado, es importante establecer la naturaleza y el alcance del ataque. Esto implica determinar qué sistemas, información y demás activos se vieron comprometidos para aislarlos y evitar una mayor propagación del ataque.
Notificación: Dependiendo de las leyes, regulaciones y normas internas aplicables, se utilizan los canales de comunicación pre-acordados para notificar a autoridades, clientes, proveedores y demás partes interesadas.
Erradicación. Una vez comprendido el ataque y el impacto real alcanzado, se procede a eliminarlo de todos los sitios donde se hubiera podido propagar.
Análisis Forense: Esta actividad implica obtener y preservar todas las evidencias del ataque cumpliendo con los requerimientos legales y de auditoría interna que permita no solo identificar el origen y secuencia del ataque para confirmar el impacto real de la brecha, sino también para poder llevar a cabo una revisión exhaustiva de los sistemas comprometidos para identificar las vulnerabilidades que permitieron el ataque. Estas evidencias incluyen registros o logs, configuraciones de seguridad vigentes, parches de seguridad instalados y el resultado de la utilización de herramientas de detección de amenazas para asegurarse de que los sistemas estén protegidos de manera adecuada.
Recuperación: Dependiendo del alcance del ataque, la recuperación de la operación se puede realizar de forma escalonada comenzando por los niveles de operación en contingencia hasta recuperar la plenitud de la operación normal. Esto se puede realizar de forma automática o manual y con recuperación total o parcial de la información afectada dependiendo en gran medida de las medidas de seguridad, de la infraestructura de alta disponibilidad y del plan de recuperación de desastres y continuidad de negocios preexistente al ataque.
Aprendizaje: Cada ataque que se materializa deja importantes enseñanzas acerca de posibles mejoras en las medidas defensivas, procesos de respaldo, mejoras en la arquitectura y en el plan de recuperación de desastres y en el plan de continuidad de negocios
Las medidas preventivas son las que nos permiten ser menos vulnerables y más resilientes frente a los ataques. A menor prevención, mayor será la probabilidad de que sufran un ataque, mayor será la severidad del daño y mayor será el tiempo requerido para recuperar la operación del negocio.
*Director de BTR Consulting
Comentarios