Las cuatro respuestas que todos deben saber para frenar un ciberataque

Entender qué pasa durante un ciberataque no es fácil. Los equipos de tecnología en una empresa están viviendo un momento de mucha presión y cada decisión puede tener un gran impacto. Para entenderlo mejor, Amazon nos invitó a vivir un simulacro de cómo es todo este proceso incluso en las etapas previas a que la amenaza se haga realidad.

El proceso se va a dividir en cuatro fases según el marco creado por el Instituto Nacional de Estándares y Tecnología (NIST) desde donde se debe ejecutar un plan de preparación, pasando por los momentos de más tensión con el ataque y la resolución, hasta la etapa final con la retroalimentación y creación de nuevos manuales de ejecución.

Fase 1: preparación

La preparación es el inicio del ciclo de respuesta ante incidentes de ciberseguridad. En esta etapa, las organizaciones se preparan para hacer frente a los incidentes cibernéticos antes de que ocurran. Esto implica identificar los posibles escenarios de ataques y cómo responder a ellos.

Para llevar a cabo esta preparación, las organizaciones deben establecer las herramientas y recursos adecuados. Esto incluye la capacitación del equipo y la implementación de medidas de seguridad para evitar incidentes. La planificación y la realización de pruebas y simulacros son esenciales para garantizar.

En nuestro simulacro, en el que éramos parte del equipo de ciberseguridad de un hospital, el equipo decidió primero crear un entorno seguro para que los pacientes y empleados pudiera acceder a los datos. Luego realizamos un manual de procedimientos para que quedara claro el paso a paso a seguir ante un ataque. Y el establecimiento de relaciones y alianzas con empresas de terceros para respaldar los datos y tener acompañamiento y control de la seguridad.

Fase 2: detección y análisis

La detección y el análisis de incidentes cibernéticos suelen ser la parte más difícil de la respuesta ante incidentes. En esta fase, se trata de identificar y evaluar los incidentes con precisión para determinar la respuesta adecuada.

En esta etapa, se utilizan diversas técnicas y herramientas para detectar incidentes. También se supervisan sistemas y redes, y se utiliza la monitorización en tiempo real. La integración de estas actividades en sistemas de gestión de la información y eventos de seguridad (SIEM) es fundamental para agilizar el proceso de detección y análisis.

Nuestro equipo optó por iniciar todo el proceso de detección, entendiendo cuál era la amenaza y qué procedimientos estaban viéndose afectados. Además de inhabilitar inmediatamente los servidores para frenar la propagación del ataque y buscar una ayuda sin que la amenaza se salga más de control. También nos pusimos en contacto con nuestros aliados para comprender dónde hubo fallas y empezar un proceso inverso de defensa.

Fase 3: contención y erradicación

Aquí, el objetivo es reducir al máximo las consecuencias del incidente y acabar con la amenaza que afecta los servicios.

La contención se trata de aplicar medidas previamente establecidas para evitar que los daños causados por el incidente aumenten. Estos daños pueden incluir el cifrado de archivos, la exfiltración de información, la destrucción de datos o equipos, daños a la reputación o incluso intrusiones de largo plazo en los sistemas y redes de la organización.

La erradicación se centra en eliminar la parte activa de la amenaza. Esto podría implicar la eliminación de malware, la corrección de vulnerabilidades explotadas o la restauración de sistemas comprometidos.

La respuesta a un incidente puede variar según el tipo de incidente y el enfoque adoptado. Algunos ataques pueden requerir acciones legales, mientras que otros pueden involucrar contraataques. Es importante que los roles y las responsabilidades estén claramente definidos en esta fase y se mantengan actualizados.

Para este punto, nuestro equipo decidió iniciar conversaciones con el equipo de abogados de la empresa para saber que otras medidas se deben tomar más allá de lo tecnológico, también hubo una evaluación de qué servicios podían volver a funcionar y que no hayan sido afectados y, finalmente, empezar un plan de reparación de los equipos y servicios afectados.

Fase 4: lecciones aprendidas

Esta etapa es fundamental, aunque algunas veces pasada por alto. Aquí es donde el equipo de respuesta y otros roles implicados en el incidente analizan lo que sucedió y cómo se manejó el incidente. El objetivo es aprender de la experiencia para mejorar la preparación y la respuesta futura.

En esta fase, se extraen conclusiones del análisis posterior del incidente. El enfoque está en la mejora continua de los protocolos y el rendimiento del equipo. Cualquier lección aprendida que pueda mejorar la capacidad de la organización para enfrentar futuros incidentes es bienvenida. Estas lecciones se incorporan a los protocolos de respuesta y se prueban en simulacros posteriores.

Para esta etapa fue clave entender la relación entre la tecnología, las personas y los procesos, conceptos que en Amazon insistieron eran fundamentales para que todo el plan de respuesta tuviera efectividad, ya que son los actores involucrados y un ataque no solo se da por un fallo técnico o humano, sino el conjunto de todo.

Así que para finalizar el ejercicio optamos por reorganizar el manual de procedimientos e incluir las acciones que tomamos y aprendimos de la amenaza reciente. Además, volvimos hacer un programa de educación con los empleados y hablamos con nuestros aliados para que ellos también comprendieran sus fallas y fortalezas.