Cuando se enfrentan a un problema de seguridad, cualquier CIO debería intentar tomar las siguientes medidas:
Comprende lo que ha pasado. Consulta con tus principales colaboradores de tu departamento de IT para evaluar la situación y entender qué datos se han visto comprometidos y cuál es el alcance de la brecha de seguridad.
Decide el plan que hay que invocar. Cuando ya tienes todos los detalles del problema, trabaja con tu equipo de IT y comunicaciones para decidir cuál es el plan que debe ser invocado. Entre las acciones a llevar a cabo, las siguientes pueden ser algunas de las que deberían estar en cualquier plan:
Desconecta tus sistemas de la red. Si un intruso ha accedido a cualquier cosa, lo más probable es que sea a través de la red. Tu prioridad número uno es detener daños adicionales y para ello lo mejor es desconectar los sistemas de la red. El método de desconexión depende de la ubicación del servidor. Para instalaciones in house, literalmente debes desenchufar todo. Pero si eres una de las muchas organizaciones que tienen sus datos alojados en la nube, lo que necesitas es moverlo a una red aislada y desactivarlo. ¿Por qué desconectar? Mientras que buscas y corriges la vulnerabilidad que se produjo con la intrusión, por ahora necesitas simplemente cerrar la puertas para que ninguna información salga sin tu permiso. Si el servidor tiene datos críticos para el funcionamiento de la empresa, la cosa es un poco más complicada. Por eso siempre siempre es mejor separar funciones.
Elimina todo rastro del atacante. Podrías desear que nada hubiera ocurrido, pero ha ocurrido. Lo que puedes hacer ahora es volver hacia atrás en el tiempo. Un hacker puede haber estropeado archivos, implantado datos o infringido otros daños. La ruta más rápida para deshacerse de todo lo que haya hecho es restaurar una copia de seguridad anterior que esté limpia. Elige el último momento conocido en el que no había rastro del atacante y restaura los datos y el software desde allí.
Diagnóstica los sistemas comprometidos. Ahora que ya está todo en funcionamiento de nuevo, es el momento de averiguar quién entró, dónde, cómo, qué información se puede haber llevado y cuáles de tus usuarios pueden verse afectados. Se trata de un trabajo a medias entre una autopsia y el trabajo de un detective, y cómo llevarlo a cabo depende de la naturaleza de la violación. Por supuesto, debes revisar todos los logs para intentar ver dónde algo ha funcionado mal. Esto puede mostrarte los logins y otras actividades de cuenta. Examina qué ficheros fueron afectados y cuándo, chequea si hubo clientes afectados mediante el envío de un ataque de phising. Pero ten en cuenta que si el sistema estaba comprometido, los logs pueden no ser fiables ya que también pueden haber sido falsificados.
Notifica a los usuarios afectados. No solo estás obligado a avisar a todos los interesados cuyos datos pueden haber sido afectados por una brecha de seguridad sino que hacerlo puede ayudar a detener el problema de tener una espiral fuera de control. La mejor estrategia para comunicar malas noticias es ser transparente. En el momento en el que sepas lo que sucedió informa a los usuarios y haz recomendaciones claras sobre las acciones que deben de tomar.
Toma acciones correctivas. Cuando hayas sellado el sistema y solucionado todos los problemas, toma medidas para asegurar que un robo similar nunca vuelve a suceder. Una de las principales formas de acceso de los intrusos es a través de vulnerabilidades conocidas en piezas de software. Asegúrate de aplicar todos los parches y actualizaciones con diligencia. Recuerda a los usuarios internos las políticas de seguridad, como no compartir la contraseña. Considera la posibilidad de reestructurar tu configuración para que sea más difícil que un intruso pueda volver a entrar. Implementa una configuración de DMZ. Almacena los ficheros logs en un servidor remoto para que incluso si los hackers entran, no puedan falsificar la evidencia de sus acciones.
Comunícalo a la dirección de la empresa. Una vez el problema haya sido evaluado y puesto en marcha el plan, comunica la situación al equipo de dirección de la empresa. CEO, CTO, CMO, CFO, etc., querrán tener una visión completa de cómo y porqué sucedió, los clientes que han sido afectados y las acciones que se han tomado.
Evalúa las secuelas. Un análisis posterior al problema es tan importante como cualquier otro proceso en caso de crisis. Entender cómo y porqué la seguridad de tu empresa ha sido violada, el punto exacto en el cual los datos fueron comprometidos, y el impacto en el negocio a corto plazo y largo plazo, son consideraciones importantes que debes entender. En el futuro este análisis podría servirte para averiguar si alguno de los mayores impactos en tu negocio podría ser disminuido o incluso eliminado si vuelve a ocurrir algo similar.