El grado de digitalización y la conectividad de dispositivos en las compañías se ha disparado en los últimos años, sin embargo, a su vez, esto ha sido un gran impulso para el cibercrimen, donde los ataques a la seguridad de la empresa se han visto afectadas con gran frecuencia.  

A pesar de los avances en materia de ciberseguridad, los cibercriminales, no han dejado de invertir en mejorar sus técnicas y herramientas para conseguir sus objetivos, ya sean la disrupción, el robo de información o el ciberfraude. Teniendo en claro que: el cibercrimen es un negocio multimillonario, mientras que, los encargados de evitar un cibercrimen, buscamos un equilibrio presupuestario ya sea mediante factores de riesgo, probabilidad de ocurrencia e impacto, o alineando el apetito de inversión en ciberseguridad con la estrategia del negocio y de Tecnologías de la Información (TI).    

Para mejorar nuestra posición y la probabilidad de éxito, es indispensable que adoptemos un cambio de mentalidad, tan simple como movernos de “¿Nos puede afectar un ransomware?” hacia “¿Cómo respondemos ante un ransomware?”.

En este actual entorno, es indispensable interiorizar -en todos los niveles de la organización- que los riesgos son inevitables, por lo que debemos apostar por la acción y la inversión adecuada. En este artículo, desgranaremos puntos de mejoras esenciales para mejorar nuestra postura ante el cibercrimen. Evitaremos hablar de Prevención, ya que nos enfocaremos en el último bastión: la Respuesta e Investigación.

Para reducir su impacto inmediato, riesgo de recurrencia, cuantificar el daño y cumplir adecuadamente ante clientes, inversores, reguladores y terceros debemos de invertir en capacidades de Respuesta e Investigación.

Invertir para Responder de forma adecuada: La fortaleza en la Respuesta, es fundamental para reducir el tiempo de duración del ciberincidente y -por ende- sus posibles consecuencias. Por ejemplo, el ransomware causa primordialmente disrupción a tu negocio, ya que estas incapacitado de poder acceder a tus datos y sistemas, afectando tu negocio, ya que si eres una empresa de logística o retail, cada minuto off-line afecta directamente tus objetivos de negocio: recibir/enviar un paquete, vender un producto o capturar una reclamación. Afectando también tus obligaciones de cumplimiento. Por lo que, debemos aceptar la necesidad de invertir en un plan y capacidad de Respuesta que nos permita ser ágiles y eficientes a la hora de afrontar un ciberataque.

Por ello es recomendable tomar en cuenta cuatro aspectos:

1. Preparación: Los planes de respuesta ante un ciberataque no pueden ser estáticos o probarse únicamente cuando se necesiten. No podemos olvidar que los atacantes cambian de tácticas, técnicas y procedimientos (TTP) continuamente, por lo que los planes de respuesta deben adaptarse. Para ello podemos formularnos algunas preguntas: ¿Se realizan simulacros técnicos o teóricos?, ¿Dispone de herramientas de organización o comunicación?, ¿Existe un seguro de cobertura?, ¿Es necesario contar con el apoyo de técnicos de IR o forensic?   

2. Coordinación: Dar respuesta a un ciberincidente implica el trabajo conjunto y coordinado de diferentes áreas, desde IT, seguridad, comunicación, auditoría interna y asesoría jurídica; además de proveedores especialistas en Incident Response y Forensic. Es importante coordinar quién estará a cargo de coordinar los equipos o si conocen bien sus responsabilidades y tareas.
3. Comunicación: Es crucial disponer de planes de comunicación, tanto internos (para que los profesionales y usuarios sepan qué está sucediendo y evitar posibles daños mayores), como externos (para los clientes, proveedores, inversores o reguladores). Los riesgos asociados a una mala comunicación ante un incidente pueden afectar la reputación de la empresa. Por ello, es indispensable cuestionarse aspectos como: ¿Quién lidera la comunicación?, ¿Cuándo, qué y quién comunica tanto dentro de la organización como al exterior?, ¿Qué se puede documentar?

4. Decisión: Al producirse un incidente, es importante tomar decisiones rápidamente, las cuales deberán estar muy bien justificadas desde el punto de vista técnico. Por ejemplo, cortar comunicaciones con terceros para contener la propagación demalware. Asimismo, es crucial dar respuesta a cuestiones como: ¿Quién puede decidir qué? ¿Cuál es el impacto comercial o legal de las decisiones? ¿Está el Consejo informado?, Teniendo en cuenta estas interrogantes, se podrá mejorar la respuesta o el accionar ante el incidente, evitando dar pasos en falso que puedan empeorar la situación.

Con la Respuesta en movimiento y el ciberataque contenido pasamos a la explorar la fase de Investigación.

Apostar por la Investigación: Al estar frente a un ciberataque, la fase de Investigación se puede ejecutar en paralelo a la recuperación de las operaciones o con posterioridad al incidente. En la Investigación encontramos a la Informática Forense (Digital Forensics en inglés), una actividad que nos permite recuperar, preservar y analizar evidencias digitales, asimismo, nos permite conocer en mayor detalle las técnicas y herramientas empleadas por el atacante, identificando los puntos de entrada y salida que usaron en nuestra red, o analizando el malware para comprender su comportamiento y poner en marcha contramedidas adicionales.

En Actualmente, el sector bancario lidera la incorporación de esta práctica en la que se observa una confluencia entre la gestión de incidentes y la disciplina anti-fraude, donde el informático forense juega un papel indispensable de apoyo a las áreas de Legal y de Sistemas. Como un punto clave, es incorporar en el ciclo de la estrategia de ciberseguridad al área de Digital Forensics, además, de tener en cuenta otras áreas de mejora:

Políticas y procedimientos: En los planes de respuesta es necesario incorporar la preservación de evidencias y su Cadena de Custodia. También, la empresa debe cuestionarse aspectos como: ¿están identificados los requerimientos forenses para cada tipo de incidente?, ¿Cuáles son las fuentes de información y dónde están? o ¿existe capacidad técnica -personas y herramientas- para llevar a cabo estas tareas?

Registros o Logs de Seguridad: Estos permiten aportar información clave para la investigación, sin embargo, se da con mucha frecuencia que las actividades de los usuarios o sus dispositivos no han quedado registrado de forma adecuada. Frente a ello debemos evaluar las siguientes respuestas a: ¿Qué actividades se registran?, ¿con qué frecuencia?, ¿cómo se protege la información?, o ¿se puede acceder de forma eficaz?

Consideraciones Jurídico/Legal: Los resultados de una Investigación pueden ser clave para la atribución de responsabilidades o determinación de negligencia, entre otras cuestiones, teniendo en cuenta la legislación vigente y dando respuesta a las siguientes interrogantes: ¿se ha consultado con Asesoría Jurídica las implicaciones legales de estas actividades?, ¿se entienden las consecuencias de ir a juicio o una corte arbitral?, ¿se dispone de cobertura contractual para acceder a las fuentes de información en un tercero?, o ¿hemos respetado los derechos a la intimidad de los empleados?

El poder dar respuesta a cada una de estas preguntas clave mejorará significativamente el nivel de preparación forense digital de nuestra empresa. Facilitar las tareas de Investigación Informático Forense nos permite reducir numerosos riesgos, que van desde los despidos improcedentes a la atribución de responsabilidades, o incluso la imposición de multas.

Para culminar, es importante reconocer que hacer frente al cibercrimen, es algo complicado, sin embargo hoy en día, existen modelos de servicio para mejorar nuestra capacidad de Respuesta e Investigación, sobre todo en casos complejos.

El poder acceder a este tipo de recursos especialistas, pueden asesorarte rápidamente sobre la marcha, reduciendo el impacto del ataque substancialmente. Ya que los roles que estos especialistas pueden asumir oscilan entre asesorar o validar acciones/recomendaciones técnicas o legales; o asumir un rol directamente para la ejecución de tareas específicas en la Respuesta.

Desde el punto de vista de la Investigación, la independencia del especialista juega un papel importantísimo, en particular si existe la posibilidad de reclamaciones a/por terceros.

Fuente: Tendencias.kpmg