Ciberdefensa en la empresa privada

¿Qué podemos aprender de la gestión de emergencias tradicional para estar preparados cuando se produzca un incidente grave?

Es una sensación extraña. Cuesta respirar con este... ¿olor a humo? Empiezo a recordar. Estoy de viaje. Durmiendo en un hotel. Abro los ojos y noto la habitación llena de humo. ¿Cómo puede ser? ¿No hay detectores de humo? No está sonando ninguna alarma.

Está claro que algo pasa. Me visto deprisa con lo primero que veo y salgo al pasillo. Hay fuego por todas partes.

Todo es un desastre, pero de alguna forma consigo llegar a la calle. Justo en ese momento, el recepcionista del hotel sale del bar de enfrente con un cubo de agua en las manos. Lo tira al fuego, pero no sirve de nada. Me da otro cubo y me pide ayuda.

Esto tiene que ser un sueño. ¿No hay bomberos? ¿tampoco policías o sanitarios?

Como comienzo de una historia de terror resulta más bien cómica por lo poco creíble ¿verdad?

Los procedimientos de urgencias y emergencias están muy estudiados desde hace muchísimos años. Todo es mejorable, pero en general estamos tranquilos porque sabemos que hay profesionales que se ocupan de estos asuntos. Incluso muchas veces aparecen cuando aún no nos hemos dado cuenta de que algo está ocurriendo, especialmente en las situaciones de cierta importancia.

En las empresas, y no sólo en las empresas, los sistemas informáticos son importantes. Más aún, se han convertido en críticos. ¿Qué impacto puede llegar a tener en la organización un incidente informático?

Hace unos días, una gran empresa del sector del automóvil ha sufrido uno de los llamados "timo al CEO", tan habituales últimamente. Le ha supuesto una pérdida directa de 37 millones de euros... y está por conocerse la cifra en pérdidas indirectas.

En la mayoría de las empresas aún no han instalado "detectores de humo". No suena ninguna alarma. Se detecta el incidente informático cuando alguien se da cuenta de que todo está lleno de humo... o incluso cuando ve las llamas.

Y una vez que nos estamos abrasando ¿En cuántas empresas existe un equipo de respuesta a incidentes informáticos formalmente establecido, entrenado, y con procedimientos y recursos para apagar el fuego antes de que el daño sea irreversible?

En algunas ocasiones se "soluciona" comprando tecnología. Ponemos un detector de humos, una alarma y un pequeño aspersor, y dormimos tranquilos. Esto nos protege cuando un cliente se olvida de que está prohibido fumar en las habitaciones. Pero tiene el pernicioso efecto de hacernos pensar que estaremos preparados ante un incendio de verdad.

Las medidas básicas de ciberseguridad se llevan correctamente en un pequeño porcentaje de organizaciones. Software legal, antivirus y S.O. actualizados, un firewall más o menos bien configurado, copias de seguridad realizadas con sentido y comprobadas... quizás incluso dedicamos algo de tiempo a conocer nuestros riesgos, aunque sea de forma informal.

Pero los ataques informáticos son diferentes al fuego en algo fundamental. Incluso cuando el fuego es provocado, una vez en marcha no lo controla nadie. Sigue las reglas de la física, y por tanto es predecible para los profesionales. Esto no quiere decir que sea fácil de combatir, pero al menos no piensa por sí mismo.

Un ataque informático puede ser por accidente, y también puede haber sido lanzado a propósito y luego evoluciona por sí solo. En esos casos se parece a un desastre natural.

Pero cada vez más, los ataques informáticos son dirigidos. Incluso cuando somos una víctima propiciatoria simplemente por exponer alguna vulnerabilidad de las "de moda".

Si una o varias personas coordinan el ataque, la única forma de enfrentarnos a él con cierta garantía de éxito es que un equipo especializado coordine la respuesta.

¿Existen "bomberos" informáticos? ¿Hay profesionales especializados en respuesta a incidentes de ciberseguridad? Por supuesto. Los equipos de respuesta a emergencias informáticas (CERT o CSIRT) están ahí, y los profesionales que los forman, también.

Uno de los perfiles más importantes en un CERT es el analista forense, y sobre todo si se trata de un analista forense especializado en respuesta a incidentes (DFIR - Digital Forensics Incident Response).

Un informático forense es un profesional que conoce las interioridades de los sistemas informáticos, y sabe dónde buscar información y cómo interpretarla para averiguar qué ha ocurrido, cómo ha ocurrido, y quién ha sido. Incluso, llegado el caso, está preparado para preservar las evidencias necesarias y presentarlas adecuadamente ante un Juez.

Se trata de un trabajo apasionante, que requiere un conjunto de aptitudes muy variado y un gran conocimiento técnico. Por los mismos motivos, requiere una investigación y formación constante, y costosa en tiempo y dinero.

Quizás este último sea uno de los motivos de que muy pocas empresas monten su propio equipo. Pero no debería ser motivo para acordarnos de los bomberos sólo cuando la empresa está en llamas.

Aprendamos a trabajar día a día con un equipo especializado en ciberseguridad y respuesta a incidentes. Ellos saben cómo aplicar medidas preventivas, monitorizar nuestros sistemas, y reaccionar ante los primeros síntomas. De esta forma, no en pocas ocasiones apagarán los pequeños fuegos antes de que crezcan, e incluso antes de que nos demos cuenta de que se habían producido.

 

Modesto Álvarez Rodríguez

Ingeniero Informático colegiado, especializado en Ciberseguridad y Análisis Forense con más de 20 años de experiencia. Profesional certificado en Respuesta a Incidentes de Ciberseguridad (IRCP).

Deja tu comentario

Comentarios

  • Sé el primero en comentar

¿Quieres estar informado de nuestras novedades?

Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.

Acepto