¿Cómo responder ante un incidente de seguridad?
Hoy 11 de febrero se celebra el Safer Internet Day (día de Internet Segura). La seguridad de la información y ciberseguridad son unos de los grandes retos a los que se enfrentan las compañías en la actualidad, siendo de gran importancia la elaboración de protocolos de actuación y la formación de los empleados para aminorar los daños ante las posibles brechas. En esta ocasión vamos a tratar las distintas fases que se deben tener en cuenta a la hora de responder ante un incidente de seguridad.
Fase 1. Prevención
En primer lugar debemos elaborar los protocolos de actuación y formar un equipo de responsables que van a gestionar los incidentes, son los denominados “procedimientos de respuesta a incidentes”. Dentro de dichos protocolos, sería recomendable determinar aquellas vulnerabilidades más relevantes (análisis de riesgos) o si la gestión del incidente será interna o externa.
También se debe nombrar a las personas encargadas de actuar y la formación al resto de empleados que pueda prevenir en la medida de los posible los ciberataques.
Fase 2. Detección, identificación y clasificación
Antes de aplicar cualquier tipo de protocolo, debemos detectar el incidente. Para ello se podrán utilizar indicadores como alertas, que el servicio vaya más lento de lo habitual o la caída de un servidor.
Identificado el incidente, se deberá clasificar en función de su gravedad y priorizar las actuaciones. En esta fase se debe determinar si se trata de una brecha de los datos de carácter personal descrita en el RGPD, y el nivel de riesgo al que se enfrenta la organización (que va desde el nivel crítico que afecta a un importante número de datos siendo el ataque en muy poco tiempo, hasta el nivel bajo, con un riesgo mínimo) y clasificarlo en función de las posibles consecuencias.
Según la guía publicada por la Agencia Española de Protección de datos e INCIBE, una brecha de seguridad puede ser catalogada en tres categorías distintas,
Brecha de confidencialidad: Tiene lugar cuando partes que no están autorizadas, o no tienen un propósito legítimo para acceder a la información, acceden a ella.
Brecha de integridad: se produce cuando se altera la información original y la sustitución de datos puede ser perjudicial para el individuo
Brecha de disponibilidad: su consecuencia es que no se puede acceder a los datos originales cuando es necesario. Puede ser temporal, o permanente (los datos no pueden recuperarse).
En esta fase se debe analizar, si la amenaza es externa o interna, el número y tipología de sistemas dañados y perfil de usuarios afectados, con todo ello se dará prioridad de actuación, si se hubiesen producido varios incidentes.
Fase 3. Notificación
Dicho procedimiento de notificación debe realizarse tanto internamente, a aquellas personas que puedan mitigar los daños, como externamente. El RGPD establece la obligación (art 33) notificar a la autoridad de control (en nuestro caso la AEPD) si se ha producido una brecha de seguridad de los datos personales. Dicha situación debe hacerse sin dilaciones indebidas, y de ser posible, en el plazo de 72 horas.
También se regulan los supuestos en los que se debe notificar a los afectados, en los casos en los que la brecha conlleve un alto riesgo para los derechos y libertades de las personas físicas.
Dicha obligación corresponde al responsable de tratamiento, aunque puede ser delegada.
Fase 4. Plan de actuación
En primer lugar se debe contener y frenar el incidente, con medidas como puede ser deshabilitar servicios o desconectar la red, se deberá pasar a la fase de recuperación de los sistemas.
Dentro de las actividades de resolución, tenemos actuaciones como la instalación de parches de seguridad o cambios en los cortafuegos. Como actividades de recuperación, se podrá restaurar información contenida en las copias de seguridad, cambios de contraseñas o el reemplazo de componentes afectados.
Fase 5. Seguimiento y cierre
Mitigado el incidente de seguridad, resulta recomendable documentar todas las actuaciones llevadas a cabo, incluso disponer de un registro de incidentes, con ello se deberán adoptar políticas de mejora, e identificar nuevos patrones que eviten nuevas brechas.
Es muy frecuente que se filtre la información acerca del incidente de seguridad, por lo que se deberá analizar el impacto mediático que va a tener para la compañía. Para ello se deberá analizar la información filtrada en los medios de comunicación, ver las reacciones y valorar la posibilidad de emitir un comunicado oficial.