Qué hacer ante incidentes de seguridad informática
Es fundamental identificar las necesidades de seguridad de una organización ante ataques como una intrusión, una falla en los equipos o un daño por filtración. No obstante, es imposible evitar por completo todo tipo de riesgos y se ha de estar preparado. Aquí brindamos algunas claves de ciberseguridad para abordar este tipo de incidentes.
¿Cómo abordar un incidente de seguridad informática?
En estas circunstancias, resulta fundamental una reacción rápida, ya que una máquina afectada hace peligrar el sistema de información de la compañía en su totalidad. Además, cuando el compromiso provoca el mal funcionamiento del servicio, una interrupción prolongada puede aparejar pérdidas económicas. Por último, en los casos en los que se ha alterado un sitio web (modificación de páginas) la reputación de la compañía está en juego.
Etapa de reacción
Generalmente, la etapa de reacción es la que menos se toma en cuenta en los proyectos de seguridad informática. Esta etapa consiste en prever eventos y planificar las medidas que deben tomarse si surge un problema. En el caso de una intrusión, por ejemplo, el administrador de sistemas puede reaccionar de una de las siguientes maneras:
- Obtener la dirección del hacker y contraatacar.
- Cortar el suministro eléctrico de la máquina.
- Desconectar la máquina de la red.
- Reinstalar el sistema.
El problema es que cada una de estas acciones puede resultar más perjudicial (particularmente en términos de costos) que la intrusión en sí misma. En efecto, si el funcionamiento de la máquina comprometida es fundamental para el funcionamiento del sistema de información o si se trata de un sitio web de ventas online, una interrupción prolongada del servicio podría ser catastrófica. A su vez, en este tipo de situaciones es importante establecer pruebas en caso de que se realice una investigación judicial. De lo contrario, si la máquina comprometida se ha usado para realizar otro ataque, la compañía corre el riesgo de ser considerada responsable.
La implementación de un plan de recuperación de desastres permite a la organización evitar que el incidente empeore y tener la certeza de que todas las medidas tomadas para establecer pruebas se aplicarán correctamente. Asimismo, un plan contra desastres desarrollado correctamente define las responsabilidades de cada individuo y evita que se emitan órdenes y contraórdenes que impliquen una pérdida de tiempo.
Restauración
En el plan de recuperación se debe especificar en detalle cómo hacer que el sistema comprometido vuelva a funcionar correctamente. Es necesario tomar en cuenta los siguientes elementos:
- Anotar la fecha de intrusión: conocer la fecha aproximada en la que se ha comprometido la máquina permite a la organización evaluar el nivel de riesgo de intrusión para el resto de la red y el grado de compromiso de la maquina.
- Restringir el compromiso: tomar las medidas necesarias para que el compromiso no se expanda
- Estrategia de seguridad: si la compañía tiene una estrategia de seguridad, se recomienda comparar los cambios que se realizaron a los datos del sistema comprometido con los datos supuestamente fiables. Si los datos están infectados con un virus o un troyano, la restauración de estos puede expandir aún más el daño.
- Establecer pruebas: por razones legales, es necesario guardar los archivos de registro diario del sistema corrompido para poder restituirlos en caso de una investigación judicial
- Cómo configurar un sitio de reemplazo: en lugar de reinstalar el sistema comprometido, es preferible desarrollar y activar a tiempo un sitio de reemplazo que permita que el servicio continúe activo cuando sea necesario.
Práctica del plan contra desastres
De la misma forma en que los simulacros de incendio son fundamentales para repasar un plan de escape en caso de incendio, la práctica del plan contra desastres permite a una organización confirmar que el plan funciona y garantizar que todas las personas involucradas sepan qué hacer.
¿más dudas sobre seguridad? ¡consulta nuestro foro!