¿Qué no hacer en caso de una crisis provocada por un incidente de seguridad?

  • Seguridad

Ante una crisis informática es muy difícil mantener la calma y eso lleva a actuar de forma precipitada, lo que puede llevar a que la situación se agrave. De la mano de un especialista en gestión de este tipo de incidencias vamos a repasar los errores más comunes que se cometen, desde borrar incidencias o no mantener la cadena de custodia de las pruebas a formatear para eliminar el ataque o no seguir los protocolos del plan de contingencia.

Recomendados: 

Los desastres ocurren... ¿tienes un plan de continuidad de negocio? Webinar

Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar

En España, según el Departamento de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil, en los últimos cuatro años, los ciberdelitos han crecido un 135%. Cuando se sufre un incidente de este tipo, hay una serie de errores en los que las empresas son propensas a caer  fruto de los nervio, y esto dificulta la resolución del problema. Los repasamos de la mano de la firma española Soler GDI:

- Borrar evidencias de los daños causados. Nunca se debe restaurar una copia de seguridad sin haber salvado todas las pruebas de la crisis.

- Olvidar la información básica sobre el incidente o no mantener la cadena de custodia. Para que las autoridades competentes puedan buscar a los culpables y llevarlos ante la justicia es necesario extraer todas las pruebas conforme al procedimiento forense.

- Pensar que no va a volver a ocurrir. Según un estudio de CrowdStrike, siete de cada diez empresas que experimentan una intrusión vuelven a sufrir un ataque, por lo que es imprescindible analizar si existen variables, técnicas o humanas, que pueden provocar que el incidente se repita. Además, es importante que una vez restaurado, el sistema se mantenga en cuarentena durante un tiempo para evitar que amenazas ocultas pasen inadvertidas.

- No saber siquiera que se ha sufrido un ataque. En muchas ocasiones, el descontrol sobre las infraestructuras tecnológicas de la empresa es tal que pasan meses antes de que se descubra el ataque, lo que dificulta después la resolución y la recuperación de los activos.

- Formatear para eliminar el ataque. Formatear los sistemas no sólo nos hará perder la información almacenada, en muchas ocasiones sensible o imprescindible para la actividad empresarial, sino que se borrarán también las evidencias del ataque y no se podrá ni mejorar la protección, ni la respuesta ante posibles nuevos ataques pero tampoco se podrá reclamar nada al borrar todas las evidencias del ataque.

- Obviar los protocolos marcados por el plan de contingencia. A veces, por desconocimiento de los planes establecidos no se siguen los protocolos y se cometen errores fatales para la continuidad del negocio. En este caso, contar con certificaciones como ISO 22301 puede ayudar a resolver estos conflictos.

- No informar a los usuarios afectados de una brecha de seguridad o de un ciberataque. En el caso de que se sufra un ataque en el que se deje al descubierto información personal de clientes o usuarios, la empresa afectada tiene la obligación de informar inmediatamente a los afectados para que tomen sus propias medidas (como modificar la contraseña de acceso a los servicios afectados) y limitar los daños.

- Pensar que se puede resolver sin ayuda de profesionales. Las grandes empresas cuentan con equipos dedicados a la continuidad de negocio y a la seguridad pero la mayoría de pequeñas y medianas empresas no pueden contar con estos recursos internos. En ese caso, ante cualquier crisis informática, es importante contar con socios de confianza que puedan ayudar a resolver el problema con la menor incidencia posible en el negocio.