Primeros pasos en la respuesta a incidentes

Fecha de publicación 07/03/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento.

En cualquier empresa pueden darse diversas situaciones que pueden parecer un ciberataque: el servidor de ficheros es inaccesible, la página web está caída, no se puede enviar ni recibir correos electrónicos, etc. Todos estos escenarios pueden deberse simplemente a que se están llevando a cabo actividades de mantenimiento en los sistemas o que estén mal configurados. En otros casos, puede deberse realmente a que se está produciendo un incidente.

Hasta no hace mucho, existía la creencia entre las pymes, que los ciberataques no eran algo que les fuera a afectar. ¿Para qué querría un ciberdelincuente atacar una empresa tan pequeña si el mar está lleno de peces mucho más grandes? Según fuentes externas, tras una encuesta realizada a 5.000 pymes europeas en 2017, el 53% reconoció haber sufrido un incidente de seguridad.

Dar una respuesta apropiada a un incidente es una parte fundamental en cualquier Plan Director de Seguridad. Para elaborarla de forma adecuada, debes seguir una serie de pasos. En el artículo de hoy describiremos la primera etapa.

Evaluación inicial del incidente

Si sospechas que se está produciendo un incidente, y en cualquier caso cada cierto tiempo, es recomendable:

  • Revisar los sistemas de la organización encargados de identificar accesos no autorizados como los IDS, cortafuegos, logs, etc.
  • Contactar con el departamento o personal encargado de administrar la red y los sistemas de la organización para comprobar si se están llevando a cabo tareas de mantenimiento.
  • Identificar a grandes rasgos el tipo de incidente y la gravedad del mismo. Por ejemplo, no es lo mismo un ataque por ransomware que una denegación de servicio contra la página web de la organización.
  • Registrar y documentar toda la información recogida, esta será de gran ayuda en futuras fases.

Siguiendo estas recomendaciones se sabrá con un elevado porcentaje de acierto si se está produciendo un incidente de seguridad o sencillamente, se trata de un falso positivo. En caso de no poder discernir si se trata de una situación u otra es preferible actuar como si se tratase de un incidente.

Comunicación del incidente

La comunicación será una parte fundamental del proceso de respuesta. Es importante que únicamente tengan conocimiento de lo sucedido aquellas personas o departamentos que puedan ser de ayuda en la solución del mismo. La reputación de una empresa es algo que no tiene precio y una fuga de información en estos momentos podría tener consecuencias mucho más negativas que el propio incidente. Por esa razón, únicamente el personal designado a dar respuesta debe estar en conocimiento de lo sucedido.

También debe nombrarse un responsable que será el encargado de coordinar la respuesta. Este coordinador, será el encargado de realizar las comunicaciones oportunas con el personal externo como proveedores, soporte técnico, Fuerzas y Cuerpos de Seguridad del Estado, Agencia Española de Protección de Datos en caso de que se hayan visto comprometidos datos personales o INCIBE-CERT a través de su servicio de respuesta a incidentes. Este tipo de comunicaciones comúnmente se realizan por medio de correo electrónico o por teléfono.

Contención de daños y minimización de los riesgos

Actuar rápida y eficazmente puede reducir considerablemente los efectos de un incidente. El tiempo es un factor diferencial, ya que un incidente de nivel bajo si se prolonga en el tiempo, podría convertirse en un problema mucho más grave. Cada ataque tiene una naturaleza diferente, aunque las siguientes prioridades deberían estar presentes en todo tipo de ataque:

  • Proteger la seguridad de las personas, esta debe ser la máxima prioridad.
  • Proteger cualquier tipo de información valiosa para la empresa como información personal de clientes, proveedores o el plan de negocio. En caso de que se haya realizado una clasificación de la información se puede optar por proteger aquella marcada con un determinado nivel de criticidad.
  • Proteger los equipos y sistemas de la organización, aunque minimizando el tiempo que estos se encuentran detenidos. Puede darse el caso que parar los procesos y servicios de la organización sea perjudicial para la misma, pero a la larga es más probable que sea peor no detener los sistemas afectados.

Además de estas prioridades, hay que contener el daño que se pudiera causar a la organización lo antes posible. Para ello se deberán tener en cuenta lo siguientes aspectos:

  • Ya que la gran mayoría de los escenarios requieren desconectar todos los equipos de la red o varios de ellos hay que tener en cuenta el impacto que puede tener, en especial cuando se cuenta con acuerdos a nivel de servicio en el que se garantiza un mínimo de disponibilidad.
  • Determinar la vía utilizada por el atacante para comprometer la seguridad de la organización y tomar medidas para proteger ese canal de entrada para que la organización no vuelva a ser atacada por esa vía.
  • Clonar los discos de los equipos afectados o cambiarlos por unos nuevos, estas pruebas serán de gran utilidad para determinar que ha hecho el atacante en la red de la empresa. También hay que cambiar las credenciales de acceso de todos los usuarios.

 

Estos son solo los primeros pasos, en las próximas semanas conocerás cómo responder  y recuperarse de un incidente. También a valorar los daños y tomar las medidas necesarias para que no vuelva a suceder.