El pasado viernes 3 de abril nuestro compañero Roberto Hidalgo, Responsable de Sistemas y Ciberseguridad de CIC Consulting Informático, participó en un desayuno virtual: Webinar: Innovation Breakfast Virtual. Incident Response – Preparación y respuesta ante ataques cibernéticos, organizado por Railgrup, clúster de referencia en el sector ferroviario que cuenta con 100 entidades entre socios y colaboradores de diferentes sectores.
El webinar se orientó a los ataques cibernéticos, un acto que está en auge en estos tiempos. Las secuelas del coronavirus, además de verse reflejadas en la salud y la economía, están afectando gravemente a la tecnología. Desde la llegada del COVID-19 los ciberataques se han incrementado en todo el mundo: cinco veces más desde que empezaron los protocolos de cuarentena a nivel global.
La nueva forma de trabajar que hemos empezado a adoptar desde que comenzó la cuarentena pone el peligro los canales de seguridad y abre la puerta a posibles ciberataques.
En este escenario, Roberto Hidalgo ha realizado una formación online gratuito sobre la forma en la que una empresa puede prepararse y responder ante posibles ciberataques.
En CIC desde hace muchos años nos hemos dotado de experiencia y conocimientos para seguir las normas y estándares internacionales en Ciberseguridad.
La parte de los ciberataques es una certeza. Si nos fijamos en este análisis Global Risks Report 2020 -Reports -World Economic Forum, la parte de ciberataques tiene alta probabilidad y alto impacto.
¿Cuál es impacto de una parada por un ciberataque?
El impacto de un ciberataque en una empresa es muy grande: pérdida de ingresos, daño reputacional, incumplimientos contractuales como pérdida de clientes o penalizaciones económicas, incumplimientos regulatorios por perdidas de información (RGPD) que conllevan multas, o incumplimiento de plazos), perdida de oportunidades comerciales, estrés laboral, e incluso, un riesgo grande de quiebra.
¿Qué empresas pueden sufrir un ciberataque?
Todos estamos en riesgo de sufrir un ataque cibernético. Muchas empresas piensan que eso no les va a pasar. Roberto Hidalgo planteó la mejor postura: Lo mejor que podemos pensar es que esto Sí te puede pasar, de esta forma puedes estar preparado.
Para estar preparado para estar prevenido de un ciberataque es realizarse las siguientes preguntas:
- ¿Cuándo me va a pasar?
- ¿Cómo me va a pasar?
- ¿Qué pautas de actuación puedo tener para detectar, prevenir y reaccionar?
- ¿Cuánto me va a costar? ¿Va a dañar mi imagen, voy a tener pérdidas económicas?
Ante este panorama hay que centrarnos en la Ciber-resiliencia, es decir, la capacidad de resistir, proteger, defender el uso de ciberespacio de los atacantes.
¿Como puede mi empresa resistir y defenderse ante un ataque de este tipo?
Para poder proteger tu empresa de un ciberataque tienes que plantear un marco normativo orientado a la protección de tu organización.
Existen múltiples de marcos normativos orientados a este fin. El marco más reciente y orientado a adaptar la protección de infraestructuras críticas es el NIST Cyber Security Framework v.1.1, publicado en abril de 2018.
El Framework de trabajo de ciberseguridad del NIST es uno de los referentes en las buenas formas de hacer en ciberseguridad. Existen muchos, pero este es un buen marco de referencia. Esta principalmente enfocado a su uso por los operadores de infraestructuras críticas, pero en realidad afecta a toda la cadena de valor, incluyendo todos los proveedores. Todos deberían preocuparse por la ciberseguridad, porque una brecha en el perímetro puede acabar en penetración hasta el cliente. El pensamiento que todos deben tener en cuanto a ciberseguridad es que “Yo soy un riesgo para mis clientes”.
El marco de Ciberseguridad del NIST v1.1 lo que dice es que hay que seguir estos cinco pasos para asegurar la ciberseguridad en una infraestructura critica:
- Identificar. Hay que saber localizar cuales son mis infraestructuras, sistemas, datos y otros activos críticos a los que los riesgos de ciberseguridad pueden afectar. Realizar un análisis de riesgos para saber que posibles amenazas pueden sufrir y los posibles impactos que conlleva un ataque.
- Proteger. Es muy importante implementar las contramedidas necesarias para proteger los activos críticos.
- Detectar. Es necesario ejecutar actividades de identificación temprana ante amenazas y potenciales los incidentes de seguridad.
- Responder. Hay que realizar acciones de respuestas ante el incidente de seguridad.
- Recuperar. Para poder recuperarse tras un ciberataque, hay que desarrollar la capacidad de resiliencia para poder volver a la situación anterior del incidente con los menores daños posibles.
Marco de ciberseguridad de NIST
El marco de Ciberseguridad que plantea el NIST Cyber Security Framework es el siguiente:
- Identificación.
En este punto, lo que se recomienda es hacer es auditorias técnicas, análisis de negocio, identificar cuáles son los servicios hay que arrancar primero y saber qué medidas hay que tomar, implementar Planes Directores de Seguridad donde se analizan las vulnerabilidades, los elementos críticos y planificar las contramedidas procedimentales y técnicas y la posible contratación de un seguro de ciberseguridad.
- Protección:
En este punto, es importante realizar un despliegue de medidas técnicas, firewalls, seguridad de red, antivirus, elementos perimetrales, hacking ético, test de penetración, acciones de Red Team (un estilo de maniobras militares en ciberseguridad, donde un equipo atacante ficticio realiza un ataque simulado para ver si es capaz de penetrar en la organización y ver cuanto daño nos puede hacer). Estas son acciones más costosas, pero mucho más eficaces.
En este punto se encuentra la formación y la concienciación, un punto muy importante a tener en cuenta ya que, en la ciberseguridad, el eslabón más débil son las personas. Si hay alguien que clica en un phishing surgen importantes problemas.
- Detección:
Para poder detectar un ataque cibernético es necesaria la monitorización de la ciberseguridad, implementación de SIEMS, correladores de eventos, detectores de ataques de red.
- Respuestas:
En la respuesta, es importante la recogida de evidencias ante un ataque, peritaje forense y judicial. En este punto hay que tener claro y saber cómo hay que gestionar la crisis.
- Recuperación:
Para poder recuperarse de un ataque, hay que ejecutar planes de Distaster Recovery, donde se recuperen los datos perdidos, realizar un informe post incidente. Si se dispone de un seguro de ciberseguridad, hay que tratar de dar parte el seguro y que sea el seguro el encargado de dar cobertura, de forma que se minoricen los impactos económicos y de imagen.
¿Cómo puede responder una empresa tras un ataque de ciberseguridad?
Entre las diferentes disciplinas de la ciberseguridad, la respuesta ante incidentes (Ciber Security Incident Reponse CSIR), se ocupa de las funciones de:
- Detectar
- Responder
- Recuperar
Dentro de la disciplina de respuesta de incidentes existen múltiples estándares y guías de buenas prácticas que ayudan a responder a incidentes de ciberseguridad y gestionar nuestro CSIR. Entre todos los estándares y guías nuestro compañero Roberto Hidalgo destaca:
- ISO/IEC 27035-1:2016. Gestión de incidentes de seguridad de la información (https://www.iso.org/standard/60803.html)
- NIST SpecialPublication800-61 Rev2. Computer Security Incident Handling Guide (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
Organiza la capacidad de respuesta de tu negocio ante un ciberataque:
Para poder responder con eficacia, el punto inicial es la planificación y la organización del CSIR:
- Planea. Crea un plan simple, claro y preciso que determine de forma clara quien hace qué, cómo y cuándo. Este plan debe permitir reaccionar de forma rápida y precisa ante un ataque. Por esta razón, esto es lo más difícil.
- Crea equipo de respuesta ante incidentes. La mayor parte CSIR crean un equipo con roles detallados y responsabilidades claras. Se recomienda que el equipo no esté formado únicamente por técnicos, sino que también hay que mezclar equipo técnico y no técnico. Es importante que participen otros departamentos como Marketing, RRPP, Legal, RRHH, alta dirección… todos tienen que estar presentes en una crisis. Hay que tomar decisiones que pueden tener impactos desde económicos hasta legales, pasando por temas de daños de imagen. Por ello, hay que tener capacidades para responder rápido al ataque.
- Clasifica incidentes. Establece criticidades, vectores de ataque, impactos… Es importante clasificar los incidentes. Esto nos permite tener un histórico de incidentes que nos permite aprender para futuras ocasiones. Todo esto tiene el objetivo de proteger el negocio, por tanto, debemos entender que prioridades tiene el negocio, saber que es lo principal porque quizá tengamos que proteger los activos críticos y quizá sacrificar lo menos críticos.
- Prioriza el negocio. Se debe entender las prioridades del negocio y alinear el plan a las necesidades del negocio.
¿Cómo se maneja un ciberataque?
Cuanto más temprana sea la alerta, mejor reaccionaremos a ella. Por esto, debemos establecer unas buenas prácticas para la gestión del incidente.
- Preparación: Desarrolla y documenta las políticas de respuesta ante un incidente. Define las guías y mecanismos de comunicación: quien comunica, a quien, que se puede comunicar… Incorpora las fuentes de inteligencia de amenazas y ejecuta ejercicios de cyber-hunting o Red Team para evaluar las capacidades de detección de amenazas. Es de vital importancia el entrenamiento y la formación al equipo en temas de ciberseguridad.
- Detección y análisis: Monitoriza los eventos de seguridad usando firewalls, IPS y DLP. Detecta los potenciales incidentes de seguridad mediante la correlación de alertas con un SIEM. Genera alertas, los analistas abrirán tickets de incidentes, documentarán los incidíos iniciales y asignarán una clasificación inicial al incidente. A partir de estas acciones, se crearán informes técnicos, a negocio y regulatorios.
- Contención: Elige una estrategia de contención entre las disponibles, recoge evidencias, identifica los hosts atacantes, erradica la amenaza y recupera la información.
- Post Incidente: Realiza un informe del incidente, de esta forma podrás sacar lecciones de aprendizaje en base a los incidentes. Es importante realizar una monitorización posterior al incidente porque si la amenaza reaparece. A partir de este informe, actualiza las fuentes de inteligencia de amenazas, identifica medidas preventivas y realiza análisis de lecciones aprendidas.
Y tú ¿estas preparado para un ciberataque?
Si ha pasado a otras empresas, ¿por qué no te va a pasar a ti? No dejes que tu negocio sea victima de un ataque cibernético y pon en práctica todos nuestros consejos.
En CIC somos expertos en ofrecer Servicios de Ciberseguridad y sabemos la importancia que tiene en una empresa.
Por esta razón, CIC colabora con el Centro de Ciberseguridad Industrial (CCI), la entidad de referencia en el ámbito de la protección de los sistemas industriales e infraestructuras críticas que soportan parte de nuestros servicios esenciales (energía, agua, telecomunicaciones, transportes, entre otros) y que están en el punto de mira de los ciberataques. CIC forma parte del Centro de Ciberseguridad Industrial (CCI) para contar con mayor representatividad en el sector industrial, así como, potenciar el intercambio de conocimiento, experiencias y la dinamización de los sectores involucrados en este ámbito, así como sacar partido a los siguientes objetivos estratégicos que define el centro.