Los ciberdelincuentes han encontrado en el usuario final un amplio campo de acción para estafar y vulnerar de diferentes maneras la información y la identidad de las personas. En 2021, los ciberataques se convirtieron en el tercer riesgo más importante para las organizaciones mexicanas. Basta con crear un mensaje de correo electrónico que convenza a la víctima de abrir el archivo o de ingresar a una página maliciosa, para que el hampa haga de las suyas con la información confidencial del usuario.
Debido a que este tipo de actividad ilícita es cada vez más frecuente y nociva, resulta trascendental que los responsables de la seguridad de la información de las organizaciones financieras y comerciales se den a la tarea de sensibilizar a los usuarios, sobre las prácticas comunes utilizadas por los ciberdelincuentes para que sepan qué hacer en caso de sufrir un asalto virtual, señaló Jefferson Gutiérrez, socio líder de Asesoría en Tecnología Forense de KPMG en México.
Jefferson Gutiérrez indicó también que cuando la integridad de una red informática o de un sistema de información se ve comprometida, responder adecuadamente y a tiempo minimiza las interrupciones en el negocio y reduce el impacto en las operaciones.
Es por ello que el socio líder de Asesoría en Tecnología Forense de KPMG en México comparte los siguientes cinco de esos errores que son muy importante conocer y atender.
1. Planes que se activan únicamente cuando ocurre un incidente
Las empresas generan planes completos de respuesta ante incidentes que no son puestos a prueba sino hasta que se produce un evento real y, para entonces, se descubre que fallan desde el primer paso. Además, numerosas organizaciones ven la creación de un plan de respuesta como un evento único, no como un proceso continuo.
Las organizaciones deben probar sus planes con cierta regularidad, antes de que ocurra un incidente real. Si carece de la realización de pruebas, el plan de respuesta a incidentes puede requerir un mayor tiempo de acción, generar confusión y, en el peor de los casos, permitir que un ataque sea exitoso, con un gran impacto negativo.
2. Comunicación inadecuada entre equipos y responsables
En ciertas áreas se suele trabajar en silos, y esto puede ser un desafío importante para identificar, coordinar y establecer comunicación con las partes clave involucradas en el proceso de respuesta a un incidente.
Sin duda, un repositorio centralizado de datos en el cual el equipo de respuesta pueda publicar detalles sobre la investigación en curso y, a la vez, extraer información según sea necesario, ayuda a limitar el impacto negativo de la comunicación inadecuada.
3. Destrucción de evidencia crítica
Comportamientos anómalos de equipos de cómputo, que podrían indicar un ciberataque, son reportados primero a la mesa de ayuda (help desk), incluyendo desde el bloqueo de cuentas del usuario hasta alertas de virus.
Si los miembros de dicha área no conocen los requerimientos de respuesta ante ciberataques, pueden destruir evidencia clave al tratar de solucionar los problemas del usuario. En estos casos, identificar la cadena de eventos de un incidente puede tornarse imposible, especialmente si las acciones iniciales no se documentaron.
Por ello, las organizaciones deben asegurarse de que su personal de soporte técnico esté al tanto de los indicadores que necesitan la participación del equipo de respuesta a incidentes.
4. Información no disponible
Cuando la información que contiene los detalles relevantes de un ataque no existe o no está disponible fácilmente, hay un efecto en cascada durante el proceso de respuesta a incidentes. En última instancia, el equipo responsable tiene dificultades para evaluar el impacto, contener el daño y comunicar avances o resultados a la Dirección.
Abordar este problema implica comprender qué fuentes de datos se tienen, qué datos generan y cómo los pueden gestionar. El equipo de respuesta debe identificar eventos que proporcionen información acerca de un incidente y establecer procesos para la salvaguarda, agregación, almacenamiento y análisis de datos. Dichos eventos podrían incluir registros de autenticación fallida, eliminación de bitácoras, alertas antivirus, entre otros.
5. Colaboradores que desconocen su papel en la seguridad
Lo anterior permite al personal participar activamente en temas de seguridad, saber a quién dirigirse y confiar en los procesos, en lugar de intentar resolver los problemas por su cuenta, incluso mediante la instalación de herramientas poco confiables, causando potencialmente mayores daños.
La implementación de ejercicios periódicos que pongan a prueba el conocimiento, madurez y conciencia de los usuarios son un excelente medio para lograr estos propósitos.
Dado el riesgo de cibercrimen y las regulaciones en torno al tratamiento de datos personales, las organizaciones necesitan una visión oportuna de los problemas emergentes, así como asesoría práctica que ayude a proteger la información y asegurar el cumplimiento.Con un enfoque pragmático y neutral, es posible incrementar la capacidad de la empresa para actuar ante incidentes informáticos de forma proactiva, asegurando la estabilidad del negocio, concluyó Jefferson Gutiérrez .