¿Cuál es la respuesta y el procedimiento adecuados en una emergencia cibernética? ¿Necesitas un plan de emergencia concreto? ¿Y hay alguna relación entre el tiempo de reacción y la cantidad de daño? En la segunda parte de nuestra entrevista con el experto forense de TI de Perseus, Julian Krautwald, aprenderás qué medidas inmediatas deberían tomar las empresas tras un ciberataque.

¿Cuál sería la respuesta y el enfoque adecuados de la persona afectada en una emergencia cibernética?

La reacción y las instrucciones para actuar dependen del incidente en cuestión. En un mundo ideal, existe un plan de emergencia estructurado para cada situación con responsabilidades y áreas de responsabilidad claramente definidas que entran en vigor inmediatamente si ocurre un incidente cibernético. Sin embargo, en realidad, la situación es diferente. Aquí, el enfoque correcto en una emergencia cibernética depende en gran medida del grado en que las empresas afectadas hayan gestionado previamente la gestión de incidentes.

Entonces, ¿qué deberían hacer exactamente los empleados en una emergencia?

¡Mantén la calma y no te pongas nervioso! También deberían animarse a no decidir de forma independiente si la anomalía o el «evento» es realmente una emergencia cibernética. En este caso, el empleado debe informar del suceso al experto interno de TI. El profesional de TI debería investigar de nuevo la anomalía y decidir si se trata de un evento no crítico para la seguridad (como un problema técnico, error del usuario, fallo del servicio, etc.) o un incidente «real» (para la empresa). Solo entonces, por supuesto, se pueden seguir instrucciones adicionales.

¿Entonces no hay un procedimiento correcto en todos los casos?

Por supuesto, el enfoque correcto en una emergencia cibernética depende en gran medida del grado en que la empresa afectada ya haya tratado el tema de la gestión de incidentes y de hasta qué punto se hayan creado y emitido directrices adecuadas y procesos o instrucciones claras para actuar para los empleados a partir de este trabajo. Todo empieza por el hecho de que la mayoría de las empresas ni siquiera han definido por sí mismas qué es un incidente de seguridad de la información para la propia empresa y qué puede ser solo un problema técnico. En otras palabras, no existe un enfoque único para todos en una emergencia cibernética, ya que una instrucción puede ser la adecuada para una empresa, pero puede empeorar la emergencia para otra.

¿Existe alguna correlación entre el tiempo de reacción y la cantidad de daño?

Hay incidentes en los que el impacto resultante depende realmente del tiempo de respuesta. Por ejemplo, ¿»solo» uno de mis sistemas está cifrado o toda la red y también mis copias de seguridad? ¿Se exfiltran «solo» unos pocos datos «sin importancia», o se están exfiltrando cientos de GB de secretos comerciales altamente sensibles?

¿Son «solo» unos pocos conocidos atacados a través del servidor de correo electrónico infectado «a mi nombre» con correos de phishing, o es la agenda completa de la empresa con todos los contactos profesionales?
Todos estos ejemplos demuestran que un enfoque rápido, pero sobre todo coordinado y reflexivo para afrontar emergencias cibernéticas puede contener enormemente los daños esperados.

¿Qué medidas deberían implementar las empresas que aún no han integrado una cultura sostenible de ciberseguridad en sus operaciones de manera oportuna?

Por supuesto, implantar una cultura de ciberseguridad en una empresa no ocurrió de golpe: es un proceso largo. Además, por supuesto, es importante no convertir esto en un «evento» puntual, sino integrar y vivir el tema de la seguridad de la información de manera sostenible. Ya sea que intentes integrar una cultura de ciberseguridad lo más arraigada posible en una empresa, o que quieras empezar con unas pocas medidas a corto plazo, hay algo que no podrás evitar: el tema de la seguridad de la información debe ser una prioridad máxima. Si la dirección no se centra en el tema y no reconoce su importancia, a la empresa le resultará extremadamente difícil lograr realmente algo.

¿Cómo deduces cuáles medidas a corto plazo son las adecuadas para tu empresa?
En primer lugar, tiene sentido pensar cuánto tiempo puedes realmente «sobrevivir» sin acceso a ciertos datos o sistemas de tu empresa, o lo grave que sería si cierta información sensible cayera en manos de terceros no autorizados. En otras palabras, primero deberías identificar tus «joyas de la corona» para asegurarlas con las medidas adecuadas en el siguiente paso.

Por tanto, un plan de acción mínimo para asegurar las estaciones de trabajo podría consistir en los siguientes temas, por ejemplo:

• Contraseñas seguras
• Autenticación de 2 factores
• Uso de software antivirus y cortafuegos
• Actualizaciones de software
• Gestión de correos entrantes así como protección de los correos salientes
• Restricción de derechos (Principio del menor privilegio)
• Creación y protección de copias de seguridad

Además, tiene sentido crear un plan de emergencia en cualquier caso, es decir, pensar en un proceso de quién hace exactamente qué en una emergencia cibernética. Si también se distribuyen responsabilidades claras en este paso, puedes ahorrar mucho tiempo en caso de emergencia cibernética y, por tanto, mucho dinero al final del día.

Tipos de incidentes y acciones inmediatas

Una selección de posibles incidentes cibernéticos: