En un entorno cada vez más conectado, con despliegues más complejos en IT y mayor sofisticación en las armas del cibercrimen, aumenta el riesgo de sucumbir frente a los ataques informáticos. La pregunta no es cuándo pasará, sino qué pueden hacer las empresas para enfrentarlas sin arriesgar más de lo necesario.
No se trata de un tema menor. Como se ha mencionado anteriormente en este medio, el impacto financiero de, por ejemplo, una vulneración de datos puede alcanzar en promedio $3.92 millones de dólares para las empresas afectadas, de acuerdo con el Cost of a Data Breach Report 2019, estudio anual que realiza el Instituto Ponemon.
Situación: Hackean un sitio web y el atacante vende todos los passwords y nombres de usuario. ¿Qué procede? Para Menny Barzilay, experto en ciberseguridad, quien encabezó los servicios de inteligencia de las Fuerzas de Defensa de Israel, el aspecto técnico es lo más simple. El especialista indicó que la ciberseguridad es un problema tecnológico, pero al mismo tiempo es un problema del negocio.
“Es fácil entender qué hackearon y cómo mitigar las consecuencias del acto, pero hay un montón de elementos actuando que no tienen que ver con la tecnología: cómo se libera esta información al regulador, qué se le dices a los clientes y a través de qué canales, cómo se manejan las relaciones públicas de la compañía atacada, cómo trabajar con tu empresa de seguros, entre otras cosas”, señaló Barzilay.
Momentos en una vulneración de datos
Jeimy José Cano, especialista en computación forense y autor de varios libros, entre ellos El peritaje informático y la evidencia digital en Colombia: Conceptos, retos y propuestas, señaló en entrevista que hay tres momentos en una vulneración de datos: antes, durante y después.
- Antes: El incidente está en el margen de la expectativa de riesgo definida por la empresa, la junta directiva conoce el estado actual del nivel de ciber-riesgo de la compañía y el nivel de aseguramiento de controles. Se tienen claros los deberes de protección de la información en el marco de trabajo del negocio y sus diferentes grupos de interés.
- Durante la vulneración es necesario activar la gestión del incidente de seguridad de la información, desplegar la estrategia de comunicación con los diferentes grupos de interés afectados, indicando con claridad lo que ocurre y qué se debe hacer, así como manejar las expectativas de los grupos de interés.
- Después del ataque hay que activar un programa legal que sea consistente con la brecha identificada, validar y confirmar los deberes de protección de la información para establecer los impactos y efectos concretos, además de evaluar la efectividad de la respuesta frente a la vulneración.
En su libro Computación Forense, Cano señala que los delitos informáticos presentan muchos retos. La computación forense se analiza desde los tres roles principales: El intruso, el administrador y el investigador, se ajustan las técnicas y se perfilan las responsabilidades de los investigadores y administradores para minimizar los riesgos y las amenazas que recaen sobre las redes, los sistemas y los ciudadanos.
Experiencia mexicana de alto nivel
Por su parte, Andrés Velázquez, experto en seguridad IT y fundador de MaTTica, compañía que desde 2006 se ha especializado en ciberseguridad estratégica, respuesta a incidentes IT, manejo de crisis IT e investigaciones digitales, ha señalado ha señalado que “no se trata de si va a suceder un incidente de seguridad, sino de ‘cuándo’ sucederá”.
Velázquez coincide con Cano y subraya la importancia de contar con un equipo de respuesta a incidentes, para dimensionar el ataque, detenerlo, mantener la operación y hacer la investigación pertinente. Pero también ha destacado la necesidad de ser proactivos desde un punto de vista estratégico para saber cómo reaccionar, considerando los aspectos tecnológicos, de ciberseguridad, jurídicos, de cumplimiento y mediáticos.
Ante un problema de este tipo, se requiere contar con el apoyo de especialistas. En México, Mattica creó el primer Laboratorio de Investigaciones Digitales en América Latina. En su página web señalan que este se apega a los estándares y procedimientos de las agencias de investigación en delitos cibernéticos líderes en Estados Unidos y Europa. Su experiencia de 15 años en la materia ayuda a que las compañías afectadas restablezcan de forma adecuada sus servicios y tienen planes de resiliencia para regresar a la operación.