Investigar un ciberataque es una tarea que necesita ser definida, estandarizada y comunicada. Los ataques cibernéticos exponen información confidencial o privilegiada de la organización, pero también pueden hacer públicos datos de clientes o terceros que se rigen por lo determinado en regulaciones como el RGPD.
Los profesionales en Seguridad de la Información y los del área de TI, en primer lugar, deben afinar sus competencias y habilidades para investigar un ciberataque de forma inmediata.
Por supuesto, el trabajo de los equipos de Seguridad de la Información tiene como uno de sus objetivos esenciales impedir que ocurran ataques informáticos o cibernéticos. Sin embargo, mientras los Sistemas de Gestión adquieren la necesaria madurez, las organizaciones necesitan prepararse para responder con efectividad antes estos eventos.
La mejor forma de hacerlo, asegurando la no repetición, es investigar un ciberataque con el profesionalismo y la efectividad esperados. Explicamos cómo hacerlo en cinco pasos.
¿Cómo investigar un ciberataque de forma sistemática y efectiva?
Investigar un ciberataque debe ser una tarea que se desarrolle de forma automática, cuando se presenta una violación de seguridad informática o relacionada con el uso de Internet. Esto significa que las personas con responsabilidades conocen con antelación el protocolo a seguir.
Por supuesto, algunas tareas o procedimientos muy específicos dependerán del tamaño de la organización, del sector en el que opera y de su contexto en general. Sin embargo, investigar un ciberataque podría adoptar una estructura definida por estos pasos:
1. Identificar el problema
Un ciberataque no es un hecho único y específico. De este tipo de violaciones existen muchas. Los orígenes también son diversos: algunos son tan solo travesuras de algún grupo que necesita hacerse notar. Otros pueden ser el primer paso de un hecho criminal mucho mayor. Los hay también que tienen un precursor dentro de la organización y facilita el acceso indebido.
Esta primera identificación, inmediata y clara, resultará esencial para el futuro desarrollo de la investigación. Es necesario saber qué ocurrió, dónde ocurrió, qué consecuencias inmediatas tiene, qué se prevé para el futuro y a quiénes se responsabiliza en un primer momento del ataque.
2. Iniciar la investigación
Usualmente, el trabajo realizado en el primer paso permite dimensionar la gravedad del problema, e identificar alguna evidencia sobre los orígenes del problema. Sin embargo, es durante la investigación sobre el terreno que se descubre información valiosa para superar el problema y evitar la repetición.
Este procedimiento debe ser documentado y registrado. Las organizaciones que han implementado el estándar internacional sobre Seguridad de la Información ISO 27001 deben hacer esto para alcanzar la conformidad con requisitos de la norma.
La investigación permite definir el tipo de ataque: malware, ransomware, phishing, virus, tunelización de DNS… Esto, de paso, ayuda a entender si la causa raíz es un error humano, fallo de un control o de un proceso.
3. Toma de acciones efectivas inmediatas
Aún sin información definitiva sobre el origen del problema, es importante tomar acciones inmediatas para detener el avance del ataque. En muchos casos, el ciberataque es parte de un delito mayor. Por eso, es importante aislar el área afectada, cortar la comunicación, asignar nuevos privilegios de acceso y cambiar las contraseñas actuales de todos los usuarios autorizados.
Además de cortar con el acceso no permitido, el objetivo es preservar la evidencia y la trazabilidad de los hechos, que servirán en el futuro para asignar responsabilidades y obtener una comprensión profunda y extensa sobre lo ocurrido.
Muchas de estas acciones son transitorias. Algunas, sin embargo, pueden ser parte de las acciones tomadas para prevenir la ocurrencia del mismo hecho en el futuro.
4. Evaluar los datos y analizar la información
En esta fase, la información recopilada es suficiente para iniciar procesos de evaluación y análisis. El objetivo es obtener una comprensión cualitativa y cuantitativa del incidente, su impacto y sus consecuencias a medio y largo plazo.
Algunos de estos eventos repercuten en el tiempo y la organización necesita establecer el impacto que tendrá el ataque en el futuro próximo. Así mismo, es preciso establecer responsabilidades internas y externas, cuando estas existen. Finalmente, es preciso cuantificar el efecto nocivo de la infracción: número de datos comprometidos, coste financiero, afectación de activos informáticos…
Descubre los pasos clave para investigar un #ciberataque y responder de manera efectiva a incidentes cibernéticos en esta completa guía #ISO27001 #SeguridadInformación Clic para tuitear5. Planificar las acciones definitivas
Las acciones específicas definitivas son las que solucionarán el problema, garantizando que no se repetirá. Esto puede significar la adopción de nuevos controles, modificación de un proceso, incluir sanciones en las políticas y los procedimientos de Seguridad de la Información…
En muchos casos, la solución definitiva requiere automatizar la gestión de Seguridad de la Información. Es un hecho que los sistemas digitalizados y automatizados, dentro de procesos maduros de Transformación Digital, son menos vulnerables a los ataques cibernéticos.
Finalmente, investigar un ciberataque con la debida celeridad y eficiencia, requiere contar con los profesionales adecuados. Para ello, es preciso disponer de los programas de formación indicados.
Programas de Formación para profesionales de la Seguridad de la Información
El área de Seguridad de la Información ocupa un lugar predominante en el catálogo de la Escuela Europea de Excelencia. Investigar un ciberataque es una de muchas tareas que desarrollan con excelencia los alumnos de los programas que conforman la oferta formativa en el área de Seguridad de la Información. Algunos de los más relevantes son:
1. Diplomado de Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 profundiza en los conceptos, requisitos y controles del estándar internacional ISO 27001. Los alumnos de este Diplomado, además de adquirir las competencias y habilidades necesarias para implementar y poner en marcha el Sistema, están habilitados para auditarlo, en cualquier país de Europa o de América Latina, si deciden aplicar al certificado ERCA – Registro Europeo de Auditores Certificados -. Inscríbete aquí.
2. Curso Experto en Seguridad Informática Aplicada a las Organizaciones
La Seguridad Informática es el área, dentro de la Seguridad de la Información, que se ocupa de datos e información transmitida o almacenada por medio digitales, cibernéticos, informáticos o simplemente a través de Internet. El Curso Experto en Seguridad Informática Aplicada a las Organizaciones forma los profesionales que enfrentan los desafíos cotidianos que implica el tratamiento de información por medios digitales. Infórmate aquí.
3. Curso Auditor Interno ISO/IEC 27001:2013 – Sistemas de Gestión Seguridad de la Información
La mejora continua es un requisito de la norma ISO 27001. La auditoría interna es el mecanismo que con mayor eficacia promueve la mejora continua de un Sistema de Gestión de Seguridad de la Información. El Curso Auditor Interno ISO/IEC 27001:2013 Sistemas de Gestión Seguridad de la Información entrega las competencias que necesitan los auditores profesionales, expertos en el área y en las complejidades del estándar ISO 27001. Los alumnos de este programa adquieren además todo el conocimiento sobre el estándar para auditores de Sistemas de Gestión ISO, 19011. Inscríbete aquí.
4. Curso Transición a ISO/IEC 27001:2022
Investigar un ciberataque es una tarea propia de cualquier Sistema de Gestión de Seguridad de la Información. Sin embargo, la gestión en general, en todas las organizaciones que se certificaron en la norma ISO 27001, necesita ocuparse de la transición a la nueva edición del año 2022. El Curso Transición a ISO/IEC 27001:2022 es el nuevo programa de la Escuela Europea de Excelencia, que responde a esta necesidad de las organizaciones. Aquí lo encuentras.
La Oferta Formativa en el área de Seguridad de la Información de la Escuela Europea de Excelencia es mucho más amplia. Conócela aquí.
