Cómo actuar ante un incidente de seguridad

En pocos meses se ha notado el crecimiento de brechas de seguridad, fugas de información en empresas importantes de muchos sectores, como el sector de las telecomunicaciones con Telefónica (Movistar sufrió un fallo de seguridad que dejó al descubierto datos personales y de facturación de sus clientes con sus nombres, domicilios, direcciones de correo electrónico, numeraciones y el desglose de sus llamadas). También en el sector de las aerolíneas, como ha sido el caso de British Airways (alrededor de 380.000 pagos con tarjetas bancarias se han visto comprometidos desde el 21 de agosto hasta el 5 de septiembre de 2018). Si bien era de esperar y expertos en la materia ya preveían que en pocos años se incrementarían los ataques cibernéticos, no por ello debemos de asustarnos y no actuar ante estas situaciones.
Es importante tener presente que todas las organizaciones, desde el momento en que se exponen a Internet, están expuestas a ser atacadas por personas malintencionadas que, o quieren destruir las marcas que atacan, o simplemente por el mero hecho de satisfacción propia, realizan ataques a estas empresas.
Algunas de las preguntas que nos vienen a la cabeza son: ¿Cómo podemos prevenir estos ataques? y ¿Cómo debemos actuar ante un Incidente de Seguridad?
La primera pregunta se responde con disponer de medidas de seguridad preventivas para mitigar los riesgos a los que las empresas están expuestas. Aunque esto no se limite a las siguientes medidas, se incluyen:

1. Disponer de una Política de Seguridad y Procedimientos en donde se establezcan los ciclos de vida de los datos, los sistemas dónde se almacenan, etc.
2. Establecer un sistema de Clasificación de la Información para determinar que datos son más sensibles y que medidas de seguridad deben disponer.
3. Definir roles y niveles de acceso a la información.
4. Disponer de sistemas de control de acceso tanto físico como lógico, incluyendo protección en los sistemas portátiles (móviles, tablets, ordenadores portátiles, etc.)
5. Desarrollo de Formación en materia de Ciberseguridad y de protección de información sensible para la organización.
6. Disponer de sistemas actualizados y de sistemas de monitorización de alteras de seguridad.
7. Realización de pruebas de intrusión internas y externas (pentest) para asegurar que los sistemas son seguros en el tiempo y que no existen vulnerabilidades que pueden ser detectadas por hackers.

¿Si detectamos un fallo de seguridad, cómo debemos de actuar?

La solución es disponer de un Plan de Respuesta ante Incidentes de Seguridad. Si bien la respuesta es sencilla, la elaboración de un Plan de Respuesta ante Incidentes no es trivial. No obstante, en A2SECURE te damos algunas pautas a seguir para la creación de un Plan de Respuesta ante Incidentes:

1. Disponer de un protocolo interno de gestión de incidentes.
   Establecer un comité de crisis con el personal adecuado para definir y establecer las medidas que se van a adoptar frente al incidente de seguridad.
2. Analizar el incidente de seguridad.
   Es importante disponer de las herramientas necesarias para analizar, por ejemplo, a través de sistemas de monitorización y de logs de los sistemas, cómo y cuándo se ha producido el incidente, determinar la información que ha podido ser sustraída y averiguar dónde se ha hecho pública, etc.
3. Evaluación inicial y toma de decisiones.
   Una vez se ha analizado el incidente y se ha determinado como ha sucedido, es de vital importancia aplicar los controles y las medidas necesarias para resolver el incidente de seguridad y establecer las acciones destinadas a cerrar la filtración y evitar nuevas fugas de información.
   En esta fase, se establecen los posibles planes de comunicación tanto a nivel interno, como a los clientes afectados y a las autoridades correspondientes.
4. Seguimiento de las medidas aplicadas.
   Es de vital importancia monitorizar y realizar una mejora continua en base las lecciones aprendidas para asegurar que las medidas de protección y prevención impulsadas son adecuadas para que no se vuelva a producir un incidente de seguridad con las mismas características.

Nunca estaremos 100% seguros frente a una brecha de seguridad, pero es importante en base las buenas prácticas y gracias a la tecnología, disponer de medidas de seguridad que minimicen los ataques y los riesgos en los que una organización está expuesta y, sobre todo, saber actuar una vez la empresa ha sido atacada o es susceptible de que se haya producido una fuga de información.
Si tienes un plan de respuesta ante incidentes, ensayalo, realiza pruebas de manera anual para asegurar que el plan funciona y ¡mejorar tu seguridad!