Combatir las brechas de seguridad es una de las políticas más importante de protección de datos que debemos implantar en nuestra organización.
Políticas de respuesta a brechas de seguridad
Los sistemas de detección de intrusos de red (NIDS) supervisan de forma continua y pasiva el tráfico de la red en busca de un comportamiento que parezca ilícito o anómalo y lo marcan para su revisión.
Los NIDS no sólo bloquean ese tráfico, sino que también recopilan información sobre él y alertan a los administradores de red.
Pero a pesar de todo esto, las brechas de seguridad siguen ocurriendo.
Es por eso que es importante tener un plan de respuesta ante una violación de datos.
Un sistema sólido contra una violación garantizará que:
- tienes los recursos preparados
- es fácil seguir un conjunto de instrucciones para sellar la violación
- recibes asistencia legal, en caso de que sea necesario
- tienes pólizas de seguro
- tienes planes de recuperación de datos
- la política de notificaciones, ¿qué y a quién se comunicarán las brechas?
Por ello es de suma importancia la implantación de una política de respuesta a las brechas de seguridad dirigida a establecer:
- los supuestos desencadenantes
- las partes interesadas
- los plazos de respuesta,
- las comunicaciones con los afectados y autoridades de control.
Cuando se enfrenta a un problema de seguridad, cualquier organización debería intentar tomar las siguientes medidas:
Comprende lo que ha pasado.
Consulta con tus principales colaboradores de tu departamento de IT para evaluar la situación y entender qué datos se han visto comprometidos y cuál es el alcance de la brecha de seguridad.
Decide el plan que hay que invocar.
Cuando ya tienes todos los detalles del problema, trabaja con tu equipo de IT y comunicaciones para decidir cuál es el plan que debe ser invocado.
Entre las acciones a llevar a cabo, las siguientes pueden ser algunas de las que deberían estar en cualquier plan:
1.Desconecta tus sistemas de la red.
Si un intruso ha accedido, lo más probable es que sea a través de la red.
Tu prioridad número uno es detener daños adicionales y para ello lo mejor es desconectar los sistemas de la red.
El método de desconexión depende de la ubicación del servidor.
Para instalaciones in house, literalmente debes desenchufarlo todo.
Pero si eres una de las muchas organizaciones que tienen sus datos alojados en la nube, lo que necesitas es moverlo a una red aislada y desactivarlo.
¿Por qué desconectar?
Mientras que buscas y corriges la vulnerabilidad que se produjo con la intrusión, por ahora necesitas simplemente cerrar las puertas para que ninguna información salga sin tu permiso.
Si el servidor tiene datos críticos para el funcionamiento de la empresa, la cosa es un poco más complicada.
Por eso siempre es mejor separar funciones.
2.Elimina todo rastro del atacante.
Un hacker puede haber estropeado archivos, implantado datos o infringido otros daños.
La ruta más rápida para deshacerse de todo lo que haya hecho es restaurar una copia de seguridad anterior que esté limpia.
Elige el último momento conocido en el que no había rastro del atacante y restaura los datos y el software desde allí.
3.Diagnóstica los sistemas comprometidos.
Ahora que ya está todo en funcionamiento de nuevo, es el momento de averiguar quién entró, dónde, cómo, qué información se puede haber llevado y cuáles de tus usuarios pueden verse afectados.
Por supuesto, debes revisar todos los logs para intentar ver dónde algo ha funcionado mal.
Examina qué ficheros fueron afectados y cuándo, chequea si hubo clientes afectados mediante el envío de un ataque de phising.
Pero ten en cuenta que si el sistema estaba comprometido, los logs pueden no ser fiables ya que también pueden haber sido falsificados.
4.Notifica a los usuarios afectados.
No solo estás obligado a avisar a todos los interesados cuyos datos pueden haber sido afectados por una brecha de seguridad, sino que hacerlo puede ayudar a detener el problema de tener una espiral fuera de control.
La mejor estrategia para comunicar malas noticias es ser transparente.
En el momento en el que sepas lo que sucedió informa a los usuarios y haz recomendaciones claras sobre las acciones que deben de tomar.
5.Toma acciones correctivas.
Cuando hayas sellado el sistema y solucionado todos los problemas, toma medidas para asegurar que un robo similar nunca vuelve a suceder.
Una de las principales formas de acceso de los intrusos es a través de vulnerabilidades conocidas en piezas de software.
Asegúrate de aplicar todos los parches y actualizaciones con diligencia.
Recuerda a los usuarios internos las políticas de seguridad, como por ejemplo, no compartir la contraseña.
Considera la posibilidad de reestructurar tu configuración para que sea más difícil que un intruso pueda volver a entrar.
Almacena los ficheros logs en un servidor remoto para que incluso si los hackers entran, no puedan falsificar la evidencia de sus acciones.
6.Comunícalo a la dirección de la empresa.
Una vez el problema haya sido evaluado y puesto en marcha el plan, comunica la situación al equipo de dirección de la empresa. CEO, CTO, CMO, CFO, etc.
Querrán tener una visión completa de cómo y porqué sucedió, los clientes que han sido afectados, así como las medidas y las acciones que se han tomado en consideración.
7.Evalúa las secuelas.
Un análisis posterior al problema es tan importante como cualquier otro proceso en caso de crisis.
Entender cómo y porqué la seguridad de tu empresa ha sido violada, el punto exacto en el cual los datos fueron comprometidos, y el impacto en el negocio a corto plazo y largo plazo, son consideraciones importantes que debes entender.
En el futuro, este análisis podría servirte para averiguar si alguno de los mayores impactos en tu negocio podría ser disminuido, o incluso eliminado, si vuelve a ocurrir algo similar.