Continuidad del negocio
¿Qué hacer después de sufrir un ciberataque?
Mario Antonio Garibay Gamboa, director de Delivery en XITH El lado humano de la Ciberseguridad |
Continuidad del negocio

Es usual que los departamentos de Sistemas regulen las actividades de continuidad del negocio. Están acostumbrados a gestionar el uso de recursos informáticos para proveer los servicios de Tecnologías de la Información (TI), pero sus procesos no siempre consideran casos de desastres o situaciones que interrumpan la operación de los sistemas de la empresa. Por esta razón, un ciberataque puede ocasionar grandes impactos en la operación del negocio.

Consideremos el siguiente caso: ¿Qué sucedería si un ransomware —programa que restringe el acceso a determinados archivos, y pide un rescate para quitar la restricción— o un ciberdelincuente dañan aplicaciones críticas como el sistema de ventas? El negocio no podría facturar, cobrar u operar de forma normal. Los impactos iniciales serán tanto operativos como económicos; si la recuperación no es rápida, el impacto no tardará en afectar la esfera legal o económica, pues la organización no podrá ofrecer el mejor servicio a sus clientes, y eventualmente dañará su posición en el mercado.

Si queremos sobrevivir a un ciberataque, primero debemos conocer los servicios por proteger; después hay que realizar un análisis de riesgos; y finalmente desarrollar una estrategia de protección en 3 puntos. A continuación, les comparto algunas sugerencias para ejecutar este proceso:

 

 

Prevención (para reducir probabilidad)

 

  1. Documentar los procesos tecnológicos, de negocio y de recuperación de los servicios.

  2. Implementar tecnología de defensa: antivirus, firewall, sistemas de control de contenido web y mail, etc.

  3. Preparar al personal para detectar y remediar los daños.

 

 

Detección y contención (para reducir impacto)

 

  1. Instalar Sistemas de Prevención de Intrusos (IPS, en inglés), correlacionadores de eventos y segmentación de red, entre otros.

  2. Conocer la red y su operación usual para detectar desviaciones: incrementos anormales del uso de internet, lentitud en la red y en los equipos de cómputo, aparición de archivos extraños, etc.

  3. Instaurar procesos que permitan aislar rápidamente los equipos afectados, y métodos de administración de incidentes (de acuerdo con las mejores prácticas corporativas).

 

 

Controles correctivos (para recuperar datos y servicios)

 

  1. Respaldo de la información. Una estrategia bien implementada que proteja la información (de acuerdo con los requerimientos de los usuarios del negocio) es una de las mejores medidas que se pueden tomar, ya que permitirá recuperarse del ciberataque bajo cualquier circunstancia planeada.

  2. Procesos documentados para recuperar los servicios afectados. Esta es otra actividad fundamental pues, en caso de sufrir un ciberataque, será difícil tomarse el tiempo para desarrollar actividades de remediación y contención. De esta manera, el negocio contará con los respaldos o documentos necesarios para reinstalar la información y los servicios en el periodo requerido por el negocio.

 

 

Es fundamental detectar el ciberataque una vez que sucede para activar las medidas de contención y aislamiento necesarias, así como guardar la evidencia que respalda los procesos legales y operativos posteriores.

Normalmente se considera que el incidente “termina” cuando se recuperan los datos y los servicios; sin embargo, siempre es necesario realizar un análisis post mortem del ataque para determinar cuáles fueron los vectores que se utilizaron (y los controles inexistentes o que fallaron) para infiltrar las redes del negocio. Así, no solo se sobrevivirá al ciberataque, sino que fortaleceremos la protección digital del negocio.


 

Articulos Relacionados