Prosegur Compañía de Seguridad S A : Recomendaciones para proteger su empresa de los ciberataques

Madrid, 8 de febrero de 2022.- Las brechas de ciberseguridad son actualmente una amenaza no solo para las empresas, sino también para la estabilidad de la economía mundial, como viene destacando el Foro Económico Mundial en su conferencia anual de Davos desde 2016. Por otro lado, según el Instituto Ponemon, en el último año el coste medio de una brecha de ciberseguridad fue de 4,86 millones de dólares.

La preparación previa al incidente y la gestión profesional son los factores determinantes que pueden minimizar el impacto de un ciberataque. Por estos motivos, en este Día de Internet Segura, Cipher, la división de ciberseguridad de Prosegur, ha elaborado una lista con las recomendaciones más útiles para proteger una empresa u organización si sufre un ciberataque:

1. Centralizar la coordinación de la respuesta a los incidentes: todas las medidas tras un ciberataque deben estar perfectamente coordinadas desde un único punto y, en particular, no deben tomarse acciones unilaterales por parte de diferentes departamentos, ya que pueden distorsionar la información durante el proceso de Threat Hunting. La descoordinación puede ser un signo de fragilidad que acelere y facilite la respuesta de los ciberdelincuentes.

2. Identificar y analizar: una vez confirmado que la organización ha sido atacada, el reto es identificar, con la mayor precisión posible, tanto los vectores de ataque como las pruebas o indicios procedentes del incidente. Se debe realizar un análisis exhaustivo para determinar los IoC (Indicadores de Compromiso) del incidente, así como el modus operandi del grupo criminal implicado, por si, a través de mecanismos de ciberespionaje, se dispone de información sobre el mismo que pueda ser útil para definir los siguientes pasos.

3. Implementar una estrategia de contención para detener la propagación de los virus: las estrategias de contención dependerán del tipo de incidente y de los recursos y capacidades de contención disponibles, teniendo en cuenta la posible necesidad de preservar las pruebas forenses de la actividad delictiva y la viabilidad de una solución permanente o temporal. Algunos ejemplos son: corte total de Internet, limitación de la conectividad en protocolos de mando y control identificados (por ejemplo, HTTPS) y establecimiento de una situación de "VLAN de contención" en la que se aíslan los elementos afectados.

4. Erradicación y recuperación: después de que un ordenador haya sido retenido y controlado debido a una amenaza, deben comenzar las labores de erradicación y recuperación para poder restablecer finalmente la normalidad diaria de toda la empresa. En esta fase, existen varias posibilidades como reinstalar el equipo, restaurar una copia de seguridad anterior al incidente o limpiar el equipo de elementos dañinos.

5. Análisis forense y establecimiento de una línea cronológica: la fase más grave del incidente no es el mejor momento para realizar un análisis completo de la línea cronológica, ni de la causa y origen del mismo. En general, se recomienda que todo el análisis forense del incidente se dirija a reconstruir una línea de tiempo del ataque para localizar rastros de actividad delictiva. Hay que tener en cuenta que en un incidente de este tipo puede haber cientos, si no miles, de ordenadores comprometidos o en los que pueden persistir elementos dañinos que lleven a la reinfección.

6. Comunicación interna: al verse comprometidas las comunicaciones dentro de la empresa, es urgente encontrar un canal de comunicación alternativo que sirva de herramienta de comunicación segura para compartir información sobre la gestión de la crisis. Si no existe, se pueden establecer plataformas alternativas de comunicación y colaboración (como Teams, o grupos en Slack, Signal o Telegram). Se recomienda centralizar la comunicación interna en la figura del coordinador.

7. Comunicación externa: todas las comunicaciones externas deben ser supervisadas por un gabinete de crisis, que debe solicitar información a la coordinación técnica para notificar a los clientes, socios o propietarios de datos personales comprometidos de acuerdo con la normativa de Protección de Datos y, sobre todo, a las fuerzas de seguridad pública. También se recomienda informar lo antes posible a los stakeholders que potencialmente hayan sido afectados por el ciberataque, para que puedan llevar a cabo un proceso de búsqueda de indicadores dentro de sus infraestructuras y evitar la propagación del mismo tipo de amenaza en sus sistemas. Este tipo de comportamiento es muy valorado por los socios y empresas con los que mantenemos una relación de confianza.

8. Reflexión y aprendizaje: una vez solucionado el incidente y completada la recuperación, se recomienda hacer balance de lo aprendido durante la crisis para mejorar las medidas de seguridad, desarrollar nuevos procesos e implementar nuevas tecnologías para la detección, análisis y mitigación de futuros ciberataques. Tras la gestión del incidente, y como parte del proceso de aprendizaje, también se recomiendan reuniones globales de debriefing, sobre todo si el incidente tiene un alto impacto, para aprovechar el suceso como una oportunidad para transmitir a todos los empleados la necesidad de mantener comportamientos correctos en materia de ciberseguridad, ya que el factor del error humano suele ser el punto débil que buscan los hackers en un ataque.