Incidentes de ciberseguridad: ¿cómo gestionarlos?

Cuando las empresas registran incidentes de ciberseguridad deben contener su impacto, garantizar la continuidad de negocio y notificarlos a las partes interesadas. Si no sabes cómo hacerlo, este artículo te ayudará a gestionar ciberincidentes.

En el blog de Senassur nos hemos ocupado de las ciberamenazas para las corredurías de seguros. Y también de los principales desafíos de ciberseguridad en el sector asegurador. Además, solemos ofrecer consejos para prevenir ciberataques. Pero, ¿qué tiene que hacer una pyme de la mediación en caso de registrar incidentes de ciberseguridad? ¿Cómo debe gestionarlos?

Se trata de un asunto primordial. Según los expertos de Secure&IT, los primeros pasos en la gestión de un incidente cibernético son los más importantes para poder limitar y contener su impacto. Y con ello, contribuir a la continuidad de negocio y evitar interrupciones en el servicio.

Estas últimas pueden ocasionar un grave perjuicio a los clientes. Y no menos relevante: tener repercusiones económicas y reputacionales para el prestador del servicio. ¡Conviene no olvidarlo!

Gestión de ciberincidentes: ¿qué es?

Sobre qué es la gestión de incidentes cibernéticos, el Instituto Nacional de Ciberseguridad (Incibe) la define como “un conjunto ordenado de acciones enfocadas a prevenir, en la medida de lo posible, la ocurrencia de ciberincidentes; y, en caso de que ocurran, restaurar los niveles de operación lo antes posible”. El proceso de gestión de incidentes consta de diferentes fases:

1. Preparación. Es importante que una empresa esté preparada para cualquier evento que pueda suceder. En esta fase, las personas, los procedimientos y la tecnología son de gran importancia.
2. Identificación. Su objetivo es identificar o detectar cualquier ciberincidente en el menor tiempo. Para ello, es fundamental realizar una monitorización lo más completa posible.
3. Contención. Cuando se detecta un incidente de ciberseguridad se debe contener su impacto. De esta forma, se evitará la propagación a otros sistemas o redes, evitando un impacto mayor y el robo de información.
4. Mitigación. Las medidas de mitigación del tipo de ciberincidente. En algunos casos será necesario el borrado completo de los sistemas afectados y la recuperación desde una copia de seguridad. Y en otros habrá que contar con el apoyo de proveedores de servicios de ciberseguridad.
5. Recuperación. La finalidad de esta fase consiste en devolver el nivel de operación a su estado normal y que las áreas de negocio afectadas puedan retomar su actividad.
6. Actuaciones después del incidente. Superado el ciberincidente, es primordial aprender de lo sucedido, implementar las soluciones adecuadas para que no se produzca una situación similar y realizar un informe detallado del caso.

Incidentes de ciberseguridad: primeros pasos

En el supuesto de sospechar que se está produciendo un ciberincidente, Incibe aconseja, a grandes rasgos, dar estos primeros pasos:

• Comprobar los sistemas de detección de intrusos (IDS, por sus siglas en inglés), cortafuegos, logs –registros de eventos de la actividad de los usuarios y de los procesos asociados a la misma–, etc.
• Contactar con el personal encargado de administrar la red y los sistemas de la empresa para saber si está realizando algún tipo de mantenimiento.
• Intentar identificar el tipo de incidente y la gravedad.
• Registrar y documentar toda la información posible relacionada con el ciberincidente.

Poner en práctica estas recomendaciones facilitará saber si se trata de un incidente de ciberseguridad o de un falso positivo.

¿Cómo responder en función del puesto o cargo?

De manera más precisa, Secure&IT establece una serie de tareas para gestionar incidentes de ciberseguridad en función del puesto o cargo que se desempeñe.

Empleados

Como ha quedado de manifiesto en el blog, el factor humano influye en la seguridad de las organizaciones. Por eso es tan importante que los empleados estén concienciados y formados en materia de ciberseguridad. Respecto a los incidentes de ciberseguridad, deben:

• Ser prevenidos con los correos que reciban para evitar ser víctimas de amenazas como phishing o ransomware.
• Usar contraseñas robustas. Y si sospechan que han sido comprometidas, solicitar nuevas claves al personal de TI.
• Comunicar cualquier incidencia, por insignificante que parezca, a los profesionales de TI.

Personal de TI

Ya sea interno o externo, las corredurías de seguros han de disponer de personal cualificado para prevenir ciberamenazas, garantizar la seguridad de la información y, si fuese el caso, gestionar ciberincidentes. Para esto último, el personal de TI tiene que ocuparse de las siguientes acciones:

• Registrar el incidente y categorizar su criticidad. Esta última estará condicionada al grado de afectación a la información confidencial y los datos de carácter personal.
• Considerar la posibilidad de contar con los servicios de un informático forense para que determine el origen, la causa y el impacto del ciberincidente.
• Recabar todas las evidencias posibles y documentar las medidas de contención y erradicación desplegadas.
• Poner los hechos en conocimiento del Delegado de Protección de Datos (DPO) y el asesor legal de la correduría para que reporten el incidente de ciberseguridad –asunto que detallamos en otro apartado–.

Dirección de la empresa

En cuanto a la dirección de la empresa, tendrá que afrontar, entre otras, estas actuaciones:

• Comunicar el incidente a todas las partes interesadas (empleados, clientes, proveedores, etc.).
• Valorar las consecuencias del ciberincidente con el personal de TI y legal para garantizar la continuidad de negocio y minimizar el impacto económico y reputacional.
• Establecer planes estratégicos que permitan solucionar la causa raíz del problema y mejorar la ciberseguridad para que la empresa esté mejor preparada ante futuros ciberincidentes.

¿Cómo se debe notificar un ciberincidente?

En el apartado anterior ha quedado claro que una empresa tiene que comunicar los incidentes de ciberseguridad a empleados, clientes, proveedores, etc. Pero, además, debe notificárselos a las entidades correspondientes:

• Según el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, las empresas privadas notificarán los ciberincidentes al Incibe-CERT. Para el sector privado, Incibe ha preparado una Guía nacional de notificación y gestión de ciberincidentes muy práctica.
• Y si el incidente de ciberseguridad afecta a la protección de datos, habrá que notificárselo a la Agencia Española de Protección de Datos (AEPD) en el plazo de 72 horas. La AEPD pone a disposición de los interesados la Guía para la notificación de brechas de datos personales.

En resumen, implementar las medidas de ciberseguridad adecuadas y formar a los empleados facilitará prevenir ciberincidentes. Y en el supuesto de que se produzcan, es aconsejable contar con profesionales que se ocupen de garantizar que la empresa vuelva a la normalidad y de notificarlos en tiempo y forma.