72 horas críticas tras una fuga de información

Aparecen datos de tu empresa que no deberían estar manos de terceros, ya sea porque figuran publicados en medios de comunicación, en la Deep web, en redes sociales o porque recibes un email “anónimo” de alguien que te exige dinero a cambio de no divulgar información sensible. Es evidente que alguien “ha metido la mano”, técnicamente hablando, en las bases de datos o servidor con información confidencial de tu empresa ¿Cómo deberíamos reaccionar, de forma productiva?

Lo primero que hay que tener en cuenta es que todas las empresas e instituciones son/somos víctimas potenciales; todos, sin excepción. Obviamente, cuantas menos medidas de seguridad tomemos, más fácil se lo pondremos al atacante. Tampoco podemos evitar que tengamos un “intruder”, “insider” o empleado desleal que filtre los datos desde dentro de la empresa o nos vaya robando información poco a poco o de forma puntual.

Sea lo que fuere, hay un botón rojo que debemos pulsar en nuestra cabeza en el momento que detectemos información de nuestra empresa en manos ajenas y 5 puntos muy básicos que debemos conocer desde ya, “plis plas,” que estás leyendo este artículo.

 

  1. Establece un equipo ¡Manos arriba, esto es una crisis reputacional!

Hay que actuar con rapidez. Las primeras 72 horas son cruciales. NO es momento de buscar responsabilidades ni culpables sino de buscar el posible origen ¿Cómo? Establece un equipo multidisciplinar (si tu empresa es grande y si no, un responsable para apretar el botón de emergencia y pensar con claridad) con un canal de comunicación y/o una reunión con los diferentes componentes que puedan aportar información a posteriori de la fuga de información: Director de Seguridad, Departamento Legal y Auditoría, Departamento Tecnológico y equipo directivo, para establecer un interlocutor adecuado a los conocimientos del incidente, con capacidad decisoria para agilizar los requerimientos, trámites y comunicaciones oportunas. Entender el mecanismo de una intrusión puede ser complicado así que lo mejor es dejarlo en manos de quien sepa entender la magnitud del problema y sus implicaciones, para poder aportar soluciones prácticas.

 

  1. Determinar el origen de la fuga y el tipo de ataque.

El administrador de sistemas o el equipo de seguridad debe examinar las peticiones, accesos o descarga de recursos a información sensible y a aquellas aplicaciones o herramientas de las que se sirve la empresa para transferir la información determinada de la web fuera del entorno y que presenten accesos no permitidos o vulnerabilidades ¿Dónde se aloja la información que ha aparecido filtrada y dónde se encuentra el servidor de tu empresa? ¿Se encuentra dentro de tu propio espacio, como parte de la propia arquitectura de red o está fuera de tu perímetro de control?

¿Qué es lo que puede buscar el atacante?

Acceso a las bases de datos, información confidencial del servidor, credenciales de administración del sistema, etc. Una vez que el atacante tiene las credenciales, puede buscar y extraer los archivos que le interesen dentro del sistema con más facilidad y darse el caso (frecuente) de que el ataque se haya estado produciendo durante las últimas semanas o se produjera hace unos meses.

 

  1. Identificación del autor/es.

Denuncia. Es importante que quede debidamente registrado todo el proceso de análisis de la información obtenida del sistema atacado y las evidencias que se deriven del estudio (con la intervención de un perito forense y un notario) de la intrusión, desde el momento que se produce la incidencia, se recibe la información y se tiene conocimiento de cuáles han sido los sistemas comprometidos.

Aunque existe el deber de denunciar cuando se tiene conocimiento o se sufre un delito, en estos casos tan sensibles (y después de haber sido convenientemente valorado por la empresa), puede ocurrir que se decida no poner el incidente en conocimiento de las autoridades pertinentes. Si decides ocultar el incidente, ten presente una cosa: ¿Quién te asegura que la fuga de información no acabe siendo filtrada a los medios o a un tercero ajeno a los intereses de tu empresa? A lo mejor tus clientes prefieren que sea tu propia empresa quien les comunique la fuga y no una noticia en la prensa. Parte de tu servicio está en la confianza que el cliente deposita en ti.

 

  1. ¿A qué preguntas debemos poder dar respuesta en el momento de la denuncia? No vayamos a denunciar sin la siguiente información:
  • ¿Quién ha sido el primero en detectar la fuga y de qué forma?
  • Determinar el/los delitos acontecidos y la información de contacto para tomar declaración a todos los testigos.
  • Identificar al administrador de la red y obtener la información de contacto para que sea el interlocutor con la policía y el perito forense y nos ponga al tanto de los extremos técnicos que necesitemos precisar.
  • ¿Hay empleados o ex empleados sospechosos? En caso afirmativo, conviene saber si se ha llevado a cabo un estudio de sus historiales.
  • ¿Hay un diagrama de la red impreso disponible ?
  • ¿Se han preservado los registros del ordenador? Hay empleados que ante un incidente ciber solo saben responder con el botón BORRAR à ERROR. No limpies la sangre de un homicidio.

Si tenemos alojada la información en un CPD (Centro de Procesamiento de Datos) o en un servidor externo con aplicaciones de gestión: tienda, gestión de pagos, comunicación, etc. que nos provee de diferentes servicios web y que no pertenecen a la arquitectura de servidores ni al perímetro de control de tu empresa, hay que ponerse en contacto con ellos al objeto de establecer un canal de comunicación e intercambio de información. Se deberá pedir el consentimiento expreso de la empresa tercera para el acceso a la información que contiene (si es que te lo da). Si has estado pagando un servicio externo “de saldo” y de “aquella manera” para tu bien más preciado, tendrás una respuesta “de saldo”, no lo dudes.

 

  1. Preservación forense de la información objeto de análisis. Si la extrae el informático de aquélla manera y sin las garantías legales, a lo mejor te cargas la evidencia y su valor probatorio.

Me refiero a la obtención de una copia forense inalterada, exacta y custodiada de los registros de actividad disponibles de la/s web/s y las bases de datos vulneradas con respeto a los principios forenses que conoce un perito. La copia debe hacerse mediante formatos y mecanismos de copia que impidan la manipulación o alteración, intencionada o fortuita de la información contenida, permitiendo la verificación por parte de un tercero del análisis realizado. Es decir, que si la aporta alguien de tu empresa de cualquier forma, puede que el juicio se convierta en tu palabra contra la del sospechoso. Así que, antes de tocar nada, llama a un perito forense.

Todo este proceso mínimo debe estar grabado a fuego dentro de cualquier plan de emergencia ante una fuga y recuerda: la Red puede que no te dé una segunda oportunidad.

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies