¿Tu empresa sabría qué hacer ante un ciberataque? El uso de herramientas digitales se ha multiplicado y, con él, han aumentado los ciber riesgos. Además, desde la pandemia se han multiplicado los riesgos en la cadena de ciberseguridad de las empresas por el auge del teletrabajo. Los ciberataques no han hecho más que crecer desde 2020 y, ante este escenario, es más importante que nunca saber qué hacer ante un ciberataque.
Además, una vez se ha producido el ataque, es momento de solucionarlo lo antes posible y asumir responsabilidades. El daño ya está hecho. Por eso, la mayor parte del trabajo de gestión de ciberriesgos pasa por mejorar la prevención y la detección. ¿Qué hacer ante un ataque cibernético?
Se conoce como ciberdefensa al conjunto de acciones de tipo activo, pasivo, proactivo, preventivo y reactivo que se aplican para asegurar el uso propio del ciberespacio y negarlo al enemigo o a otras inteligencias en oposición.
Este concepto, aunque pueda confundirse, es más amplio que el de ciberseguridad, que se limita a prevenir los ataques.
Hablaremos, por tanto, de ciberseguridad como el conjunto de acciones de carácter preventivo que tienen por objeto asegurar el uso propio de las redes y negarlo a terceros.
En el escenario actual, plagado de ciber riesgos, tanto la ciberseguridad como la ciberdefensa se convierten en herramientas fundamentales para luchar contra estas amenazas. En el primer caso se trata de prevenir los ataques cibernéticos, mientras en el segundo caso se da respuesta a los mismos con la finalidad de salvaguardar la seguridad, que en casos extremos puede implicar un peligro para la integridad de un país y de sus ciudadanos.
El Ministerio de Defensa español recuerda que el ciberespacio es un entorno global que está en constante evolución y en el que las amenazas son cada vez más complejas, lo que puede poner en peligro cuestiones fundamentales de la seguridad del país.
Por ello, se ha desarrollado el concepto de ciberdefensa, que engloba iniciativas tanto de ámbito nacional como internacional, y que contempla la coordinación de diferentes actores, así como el marco legal de actuación para luchar contra las amenazas presentes y futuras en el ciberespacio.
En España, es el Mando Conjunto de Ciberdefensa (MCCD) -un organismo creado en 2012- el que se encarga de garantizar el acceso libre al ciberespacio y de responder a las amenazas o agresiones cibernéticas que puedan afectar a la defensa nacional. Y es que, igual que una empresa necesita hoy en día un experto en ciberseguridad, también las naciones avanzadas cuentan ya con unidades especializadas para operar en el ciberespacio.
Todo lo que está conectado es susceptible de sufrir un ciberataque. Tal como señala el Instituto Nacional de Ciberseguridad de España (INCIBE), “cualquier organización, ya sea pequeña, mediana o grande, con una dependencia tecnológica elevada o reducida, debe estar preparada para hacer frente a un incidente de seguridad”.
Partiendo de la premisa de que resulta imposible crear una red completamente inaccesible y un entorno de trabajo digital 100% seguro, sí es posible llevar a cabo una serie de acciones de prevención. Es decir, construir un entorno en el que los ciberdelincuentes lo tengan complicado. Estas medidas preventivas se pueden dividir en organizativas y legales.
Para prevenir ciberataques, el compromiso del factor humano es esencial. Por ello se deben definir políticas, buenas prácticas y rutinas, así como sistemas tecnológicos de protección e instrumentos para transferir los riesgos, para reducir la incidencia de los ataques cibernéticos. Según el INCIBE, estas son las medidas organizativas más importantes para reforzar la prevención:
Además de las medidas que el Instituto de Ciberseguridad considera indispensables, existen otras acciones que también son muy importantes en materia de prevención organizativa. Establecer una política de seguridad específica para los ciclos de vida de los datos, desarrollar políticas para la destrucción del papel y desplegar sistemas de control de acceso físicos son algunas de ellas.
Por otro lado, la transferencia de riesgos al mercado asegurador es otra de las medidas preventivas fundamentales. Los seguros diseñados para proteger las organizaciones frente a los ciberataques suelen ofrecer las siguientes garantías, claves para la recuperación tras un incidente:
Además, los ciber seguros suelen garantizar el acompañamiento de expertos durante la gestión de la crisis y pueden venir acompañados de servicios adicionales como la reparación de sistemas, la recuperación de datos o la eliminación de software malicioso.
En caso de ciberataque, las consecuencias legales para la organización pueden multiplicarse. En particular, en aquellas brechas de seguridad que pongan en riesgo datos personales. Por ello, es fundamental establecer medidas preventivas legales para asegurar que se cumple el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y su transposición a la legislación española como Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).
Entre otras medidas a adoptar, es recomendable establecer de forma clara los principios generales a observar en el tratamiento de datos personales por parte de aquellos empleados que necesiten trabajar con ellos y contar con un sistema específico para detectar, comunicar y solventar las violaciones en la seguridad de los datos. Además, pueden establecerse diferentes cláusulas contractuales en materia de confidencialidad o utilización de la información personal.
Los casos más recientes de ciberataques, como el WannaCry, han puesto de relevancia un factor que, muchas veces, se menosprecia: el fallo humano es esencial para el éxito de los hackers. Es más, según los datos del último informe al respecto de Willis Towers Watson, el factor humano es la primera causa de los siniestros relacionados con los ciber riesgos.
Así, la ignorancia y la falta de formación de los empleados sobre seguridad no son una buena estrategia de ciberdefensa. “Esta situación se agrava cuando le sumamos que los administradores o directivos son siempre los responsables finales de los fallos que ocurren bajo su supervisión”, explica Sergio Muñoz-Rojas, Director de D&O en Willis Towers Watson Iberia.
La mayoría de los directivos no cuenta con los conocimientos específicos para actuar ante un ciberataque. ¿Cómo establecer entonces la estrategia de defensa? Para Francis Kean, Director de FINEX Global en Willis Towers Watson, existen tres puntos clave.
01
Nadie presupone que los directivos de una compañía tengan que saber de todo. Sin embargo, a la hora de asumir responsabilidades tras un ciberataque, están en primera línea. Así, necesitan contar con la información más precisa posible para entender los ciber riesgos a los que se enfrenta la empresa.
El desconocimiento no exime de responsabilidad. Por lo tanto, para los directivos de una compañía es fundamental hacer las preguntas correctas antes de que ocurra el incidente. Entonces, “¿cuáles son las preguntas correctas?”, se pregunta Francis Kean. La respuesta es sencilla: “Todas”. “Los ciberataques pueden tener un impacto en el valor de las acciones, las fusiones y adquisiciones, los precios, la reputación, la cultura, el personal, la información, el control de procesos, la marca, la tecnología y las finanzas”, concluye el directivo de Willis Towers Watson.
02
El campo de acción de los directivos es el gobierno corporativo de la compañía, también a la hora de hacer frente a los ciberataques. Para Francis Kean, la estrategia de ciberdefensa de los ejecutivos de una empresa pasa por:
03
“Un apunte final: los directivos harían bien en no solo plantearse las cuestiones correctas (y darles seguimiento) sino también en asegurarse de que estas hayan sido documentadas correctamente”, puntualiza Francis Kean.
Así, a la hora de definir las responsabilidades de un ejecutivo en materia de ciberdefensa y ciberataques, el registro de las decisiones que haya tomado es clave. Incluso, llegado el caso de que se haga necesaria la intervención de las autoridades, demostrar con evidencias que se habían tomado las medidas adecuadas reducirá la exposición de los directivos y el impacto sobre la propia compañía.
Tras la preparación, la siguiente fase en un protocolo de actuación ante ciberataques es la de detección o identificación. En ella, tal como señala el INCIBE, “se detecta el incidente, se determina su alcance y se conforma una solución”. Y es que, por buena que sea nuestra estrategia de prevención y las medidas de protección, siempre existen probabilidades de que los ciberdelincuentes encuentren alguna vulnerabilidad a través de la que acatar. En ese momento, la rapidez y la efectividad en la respuesta son claves.
A la hora de detectar un ciberataque y responder, entran en juego tres tipos de medidas:
En esta segunda fase, es recomendable desarrollar una serie de acciones para evaluar de forma rápida el impacto del incidente, como pueden ser revisar los sistemas encargados de identificar accesos no autorizados, identificar el tipo de incidente y su gravedad y registrar toda la información del ataque y sus consecuencias.
Una vez se ha controlado un ciberataque y se ha logrado recuperar la continuidad del negocio, entran en juego una serie de medidas de recuperación, que variarán en función del incidente y de la organización. Sin embargo, el elemento más importante de esta fase es la comunicación.
En primer lugar, el incidente debe siempre ser comunicado a las autoridades competentes. En el caso de que hayan sido comprometidos datos personales, tal como establece el RGPD, el ataque debe ser comunicado a la Agencia Española de Protección de Datos o al INCIBE-CERT a través de su servicio de respuesta a incidentes. Además, también puede denunciarse ante las fuerzas de seguridad del Estado. En este caso, el Grupo de Delitos Telemáticos de la Guardia Civil o la Brigada de Investigación Tecnológica de la Policía.
Además, la comunicación con los clientes que se han visto afectados por el incidente debe ser prioritaria, facilitando en todo momento que puedan disponer de la información necesaria sobre el ataque. Por último, la comunicación también debe darse de forma interna, tanto para asegurar que los empleados saben qué responder ante posibles preguntas externas como para hacer que los trabajadores se sientan parte del proceso.
Como acabamos de ver, un buen protocolo de actuación ante un ciberataque pasa, sobre todo, por la prevención, tanto a nivel organizativo como legal. Una vez se ha producido un incidente, una respuesta rápida y efectiva y una comunicación eficiente en todos los frentes son claves.