El objetivo último de los conocimientos teóricos de este curso debería ser dejar claro tanto cómo cumplir con las normativas, como elaborar los planes de actuación, como, por ejemplo, en este caso, la forma de actuar en una situación real, combatir un ciberataque en nuestra empresa. En la teoría pueden quedar muy claros los pasos y acciones a tener en cuenta, pero al no tratar casos prácticos o ejemplos reales es difícil entender algunas situaciones a las que tenemos que enfrentarnos como Directores de Seguridad y saber actuar.
Por ello veamos a continuación un esquema de fases para combatir un ataque de esta naturaleza en una empresa:
1. Identificación del ataque. El primer paso es identificar que se está produciendo efectivamente el ciberataque. Este indicio podría ser cuando uno o varios empleados reciben un correo electrónico que parece ser de una fuente legítima, pero en realidad es un correo electrónico de phishing, diseñado para engañar al empleado y hacer que revele información confidencial, claves de acceso o que descargue un malware. Otras veces, tenemos software de seguridad que monitoriza nuestros sistemas informáticos y detecta un consumo errático o exagerado de recursos.
2. Contención. El siguiente paso es contener el ataque para evitar que se propague. En este ejemplo, el departamento de Seguridad o TI de la empresa debe asegurarse de que conoce hasta dónde ha llegado el ataque, qué redes de comunicaciones y empleados han sido afectados, aislarlos y asegurar que no haya sido comprometida la información confidencial o que forma parte nuclear del negocio de la empresa. También identificar archivos maliciosos que hayan podido ser descargados a través del correo electrónico o de otra vía.
3. Recuperación. Si el ataque de ciberseguridad involucró la instalación de malware en la red de la empresa el siguiente paso es eliminarlo. Esto puede requerir la ayuda de un equipo de expertos o una empresa de ciberseguridad forense para rastrear todos los accesos, asegurarse de que el malware se elimine por completo y que no haya quedado ningún rastro.
4. Análisis de la causa. Una vez que se hayan recuperado nuestros sistemas informáticos, es importante analizar la causa para determinar cómo ocurrió el ataque y qué se puede hacer para evitar que vuelva a ocurrir. En este ejemplo, el departamento de Seguridad o TI debe examinar la infección inicial en el correo, las cuentas de usuario que han sido infectadas y los movimientos laterales que hizo el malware antes de manifestarse. Hay que robustecer el sistema de Ciberseguridad para detectar y prevenir futuros ataques.
5. Notificación. Es importante notificar a nuestra dirección, nuestros clientes, a otras partes interesadas y a los organismos de control el ataque y las medidas que se han tomado para remediarlo. En este ejemplo, la empresa debe también formar y concienciar a todos los empleados sobre el ataque de phishing y las técnicas y recomendaciones para poder detectar correos electrónicos sospechosos y enlaces desconocidos.
6. Monitorización. Finalmente, es importante monitorizar la red de la empresa para minimizar la probabilidad de que se reproduzcan más ciberataques y estar preparado para responder rápidamente si finalmente ocurre, que será diferente que el anterior.
En la batalla de la ciberseguridad, el enemigo es inteligente, paciente e insistente, pero en nuestras manos está responder de una forma coordinada y eficaz cuando consigan entrar en nuestro sistema de información.