En el mundo de la seguridad digital, existe un nombre con alta representación a la hora de combatir las ciberamenazas. Es el Center for Internet Security (Centro para la Seguridad en Internet o CIS, por sus siglas en inglés ).
Es una organización sin fines de lucro enfocada en la comunidad tecnológica, y que es responsable, por ejemplo, de CIS Controls. Son prácticas recomendadas y reconocidas a nivel mundial en materia de protección de sistemas y datos, realizadas por reconocidos especialistas.
Otro gran tema al que hace referencia el Centro para la Seguridad de Internet es su lista de verificación de accidentes cibernéticos. En realidad, se trata de un listado con un paso a paso preciso sobre las medidas a adoptar cuando aparece un ciberataque en una empresa. Así, muestra el ciclo de vida de toda la lucha contra un incidente de seguridad digital.
La lista de verificación del Center for Internet Security consta de tres pasos que pueden ayudar a las organizaciones a lidiar con un incidente cibernético. En cada etapa, se hacen varias preguntas, orientando las acciones y dirigiendo los próximos pasos.
El número de incidentes asociados a la seguridad digital aumenta cada año. Por ello, es importante que los profesionales estén preparados para actuar con rapidez, con el fin de minimizar los impactos de estos incidentes.
En este post mostraremos el checklist CIS, una excelente referencia para profesionales y empresas con madurez en seguridad digital, conscientes de la necesidad de prepararse, para enfrentar estas situaciones.
1) Reunir datos confiables es una forma de mantenerse informado
- A)¿Quién está reportando el problema? ¿Cómo se enteraron estas personas del incidente?
- B) ¿Qué se sabe hasta ahora sobre lo sucedido?
En este punto, es necesario describir qué redes y sistemas se vieron afectados, detallando más los datos comprometidos, y si se bloquearon o cambiaron.
- C) ¿Cuándo ocurrió la violación?
Aquí, es importante resaltar cuándo se descubrió exactamente el compromiso y el momento en que la empresa comenzó a hacer algo al respecto. A continuación, es necesario definir un cronograma con todo el alcance del problema y las fechas para su completa resolución.
- D) ¿Dónde ocurrió la violación?
La idea es tener datos concretos sobre qué unidad fue afectada, qué sector, qué ciudad, qué oficina. La ubicación exacta debe quedar clara, para que las medidas sean lo más asertivas posibles.
- E) ¿Cuánto se sabe con certeza sobre cómo se produjo el incumplimiento?
El objetivo en esta etapa es determinar con precisión la fuente del ataque.
- F) ¿Cómo mantener a todos informados sobre los esfuerzos para remediar el incumplimiento y restablecer el servicio normal?
Es decir, elegir un canal de comunicación confiable y ágil para intercambiar información relevante sobre el problema.
2) Movilizar una respuesta
- A) ¿Quién lidera la dirección de los esfuerzos de respuesta operativa?
- B) ¿Cuál será el papel de cada sector?
- C) ¿A quién se debe notificar sobre la invasión?
Dependiendo del problema, puede ser necesario notificar a las autoridades públicas u otras empresas asociadas, proveedores y clientes.
- D) ¿Se ha notificado a los organismos públicos competentes?
En algunos casos, puede ser necesario reportar la ocurrencia al organismo público responsable.
- E) ¿A qué expertos se puede consultar para resolver el problema? ¿Qué tipo de ayuda adicional podría ser necesaria? ¿Y quién prestaría este servicio?
Si la empresa no tiene un contrato continuo con un proveedor especializado, para soporte en caso de incidentes cibernéticos, es importante, al menos, tener una lista de proveedores, para que, en caso de ser necesario, pueda activar dicha empresa/ contratado rápidamente.
- F) ¿Qué medidas son necesarias para proteger las redes y sistemas de nuevas intrusiones que puedan aprovechar este momento?
A pesar de no ser el mejor escenario, un incidente puede revelar otros problemas en la estructura de defensa de la empresa. Aproveche este momento para identificarlos y corregirlos.
- G) ¿Qué pasos adicionales se requieren para asegurar las bases de datos?
- H) ¿Cómo se priorizarán los esfuerzos para reparar los daños y restaurar los servicios normales?
En este punto, es importante aplicar herramientas de análisis y priorización de riesgos, para que la empresa pueda enfocarse en lo más importante. Esta es una actividad fundamental para mitigar impactos y reducir pérdidas.
- I) ¿Qué notificaciones especiales se deben preparar para las víctimas?
Aquí, la idea es definir cómo los clientes, cuyos datos se han visto comprometidos, deben ser informados del incidente. Cualquiera que sea el medio de contacto, el mensaje debe ser lo más claro, honesto, rápido y transparente posible, detallando los esfuerzos realizados para remediar el problema.
- J) ¿Qué otras acciones requieren las leyes de notificación de incumplimiento? ¿Cuáles son las implicaciones legales del incidente?
En estas dos últimas cuestiones hay que consultar la Ley, como es la Ley General de Protección de Datos (LGPD)(en Brasil) para predecir qué implicaciones se aplican y cómo afrontarlas.
3) Comunicar lo que se sabe
Según el alcance del ataque y el tipo de negocio, es importante publicar notas públicas oficiales una vez que el problema esté razonablemente bajo control, detallando nuevamente lo que la empresa está haciendo al respecto. Además, la gerencia debe estar preparada para explicar la postura de seguridad cibernética preexistente, detallando las medidas que se implementaron para prevenir tales eventos.
Luego debe explicar los pasos que se tomarán para prevenir futuras intrusiones no autorizadas. El consejo es empezar -o volver a empezar- con la higiene cibernética y los controles CIS, o bien, según las necesidades y la realidad de la empresa, buscar certificaciones de mercado asociadas a la seguridad de la información, como la certificación en la norma ISO 27001.
Finalmente, la empresa debe establecer una frecuencia regular de actualizaciones para víctimas, medios de comunicación, redes sociales y otras partes interesadas, incluidos los propios empleados. Después de todo, también necesitan seguridad en sus acciones para ayudar a garantizar la seguridad digital de la organización.