Daniel Fírvida Pereira, es experto en ciberseguridad para empresas y profesionales del Instituto Nacional de Ciberseguridad (INCIBE)

Hace tiempo que los que trabajamos en ciberseguridad advertimos que antes o después todas las empresas van sufrir un incidente de ciberseguridad, y las noticias que se conocen no contradicen esta idea. Así, se producen hechos como un empleado conectando un USB que no debe, un problema en la página web de la compañía, un ransomware que secuestra algún equipo, un correo de spam/phishing que da problemas, o un empleado que incumple las políticas y se lleva datos de la empresa a su casa, sin obviar el quebradero de cabeza que genera en las empresas el cumplimento de algunas normativas legales.

Por todo esto, la actual aproximación que los expertos recomiendan a la hora de enfrentarse a los incidentes de ciberseguridad no se centra tanto en evitarlos (como decimos es cuestión de tiempo sufrirlos) sino en cómo resistirlos, es lo que se conoce bajo el término de “ciberresiliencia”, que viene a ser la capacidad de anticiparse, resistir, recuperarse y evolucionar para mejorar las destrezas de ciberseguridad, con el objetivo de sobreponerse a un ciberataque o un incidente no previsto.

Básicamente hablamos de prepararse para lo imprevisto, y aunque dicho así parece un imposible, en realidad con un plan de trabajo adecuado no lo es tanto, y lo primero no pasa por una cuestión técnica, sino por un buen conocimiento de tu propio negocio y tu empresa. Al fin y al cabo el objetivo de resistir y recuperarse ante un ciberataque pasa por conseguir la capacidad de mantener operativos los elementos esenciales de tu negocio a través de una respuesta rápida y flexible que asegure que los sistemas clave que necesita tu compañía para funcionar puedan continuar su actividad con la menor degradación posible.

Incidentes de seguridad

Aunque esto pueda parecer muy difícil cuando de lo que hablamos es de un incidente de ciberseguridad a través de un ciberataque no previsto, y sobre todo dada la diversidad de las organizaciones, su complejidad interna o las interdependencias entre ellas, y no se puede generalizar una forma de implementar la ciberresiliencia, hay una serie de pautas comunes que nos pueden ayudar. Además es fundamental iniciar un proceso de adaptación y considerar que se debe extender a todo nuestro ecosistema (partners, proveedores, clientes,…). Se deben establecer los siguientes pasos:

• Priorizar los servicios según el impacto (económico, medioambiental, público y social, personas afectadas) que su pérdida o deterioro pueda ocasionar.
• Conocer y priorizar según su criticidad las amenazas que afectan a los servicios.
• Implementar acciones preventivas contra actuales y futuras amenazas.
• Desarrollar procesos de remediación para minimizar el daño que pueden producir los incidentes.
• Detectar vulnerabilidades continuamente y remediarlas para reducir la superficie de ataque.
• Desarrollar y mantener procesos de comunicación dentro de la empresa.
• Ejecutar constantemente acciones de mejora que minimicen los riesgos, y repetir el ciclo de pasos para la mejora continua.

Como la primera etapa para ser ciberresiliente es anticiparse, resulta necesario estar preparado para un incidente de ciberseguridad. Para esto debemos contar con un plan de acción que marque las acciones a seguir en caso de que se produzca algún incidente de seguridad. Este plan debe contar con las fases propias de un ciclo de respuesta a incidentes:

• Preparación: donde se reúnen las herramientas necesarias para el tratamiento del incidente (antimalware, comprobadores de integridad de ficheros o dispositivos, escáneres de vulnerabilidades, análisis de logs, sistemas de recuperación y backup, análisis forense, etc.).
• Identificación: dónde se detecta el incidente, se determina el alcance y se conforma una solución. Esta fase engloba a los responsables del negocio, operaciones y comunicación (contactos con soportes técnicos, CERT, peritos forenses, policía o asesores legales si fueran necesarios, etc.).
• Contención: impidiendo que el incidente se extienda a otros recursos. Como consecuencia, se minimizará su impacto (separando equipos de la red afectada, deshabilitando cuentas comprometidas, cambiando contraseñas, etc.).
• Erradicación: eliminando los elementos comprometidos, en caso de ser necesario (reinstalación de sistemas afectados o backups), previos a la recuperación (el objetivo final de la gestion del incidente, recuperarte del mismo).
• Recapitulación: donde se documentan los detalles del incidente. Para ello, se archivarán los datos recogidos y se debatirán las lecciones aprendidas. Se informará a los empleados y se les enseñarán las recomendaciones dirigidas a prevenir situaciones de riesgo futuras.

Desde INCIBE, con el objetivo de profundizar más en cada uno de los aspectos importantes de la gestion de incidentes en las empresas, disponemos de una serie de artículos agrupados bajo la etiqueta “Reporte de incidentes” que pueden consultarse y permitir a las empresas conocer y mejorar en todos estos aspectos.