Ciberataques: ¿cómo prepararse? ¿Cómo reaccionar?

En el contexto de las actuales tensiones internacionales, Francia sufre numerosos ciberataques. Sus consecuencias pueden ser desastrosas para las empresas, desde la paralización de operaciones hasta el robo de datos confidenciales. Fuentes de estrés, los ciberataques complican el proceso de toma de decisiones de TI y limitan su impacto. Por tanto, la anticipación se convierte en una necesidad. ¿Cómo prepararse para afrontar una crisis? ¿Cómo reaccionas bien una vez que está ahí?

« Hay dos tipos de organizaciones: las que ya han sido víctimas de un ciberataque y las que no estarán en mucho tiempo «Dice un poco provocativamente Guillaume Poupard, director general de la Agencia Nacional de Sistemas de Información (ANSSI).

Una crisis informática se acerca de dos maneras: o la jugamos, con todos los caprichos de las medidas adoptadas en caso de emergencia, o está prevista. Lamentablemente, el policía de ciberseguridad destaca la falta de anticipación de las empresas. Por este motivo, ANSSI les anima encarecidamente a implementar medidas preventivas. La agencia identifica cinco medidas prioritarias a implementar en el corto plazo para gestionar cualquier eventualidad.

1. Fortalecer los procedimientos de autenticación

Es necesario fortalecer las cuentas más sensibles, las de los administradores de sistemas empresariales (SI) de la Compañía y las de las personas más expuestas (gerencias, ejecutivos, etc.). ANSSI recomienda implementar una autenticación sólida de dos factores.

Por lo tanto, para acceder a la red, deberá combinar una contraseña segura y soporte de hardware (tarjeta inteligente, token USB, tarjeta magnética, etc.). Al menos un código recibido por SMS puede servir como segundo medio de identificación.

Este sistema de autenticación de dos factores ya existe desde 2019 para los establecimientos bancarios.

2. Aumentar la vigilancia de la red

En caso de ciberataque, el tiempo de reacción se vuelve fundamental. Por tanto, la preparación es fundamental para poder reaccionar lo más rápido posible cuando llegue el momento. Es por esto que ANSSI recomienda la creación de un monitoreo global y permanente de la red. Esto permitirá identificar un posible compromiso lo antes posible y solucionarlo lo antes posible. A falta de una vigilancia global, la ANSSI advierte » Centraliza los diarios de los puntos más sensibles del sistema de información. Como puntos de entrada VPN, oficinas virtuales, controladores de dominio o hipervisores.

Los administradores de seguridad deberán investigar cualquier anomalía que normalmente podría ignorarse, como conexiones anormales a controladores de dominio y alertas de antivirus y soluciones EDR (detección y respuesta de puntos finales).

3. Guarde datos y aplicaciones sin conexión

Es necesario realizar «copias de seguridad periódicas del conjunto de datos de la empresa, incluidos los presentes en los servidores de archivos, la infraestructura y las aplicaciones corporativas», insiste la ANSSI.

Para evitar el ransomware, las copias de seguridad deben desconectarse de la red para evitar su cifrado. Es necesario favorecer el uso de soluciones frías (discos duros y bandas magnéticas).

Deberá restaurar las copias de seguridad periódicamente para garantizar su integridad y evitar errores durante la restauración.

4. Identificar servicios críticos

En caso de ataque se deben priorizar las acciones de seguridad. Para ello es necesario haber establecido un inventario de los servicios digitales de la empresa y priorizarlos en función de su carácter crítico para la continuidad del negocio de la empresa.

ANSSI también pide tener en cuenta las dependencias con respecto a los proveedores.

5. Preparar una gestión de crisis adaptada a un ciberataque

Un ciberataque puede desestabilizar el funcionamiento del negocio. Funciones de soporte como telefonía, mensajería e incluso aplicaciones empresariales suelen ser las primeras en dejar de funcionar. Por lo tanto, la sociedad tendrá que funcionar de manera degradada, a veces a riesgo de volver al lápiz y al papel.

Dependiendo de la gravedad, un ciberataque provoca una interrupción parcial del negocio que, en casos graves, puede llegar a una interrupción total.

La empresa deberá establecer una unidad de crisis y definir un plan de respuesta encaminado a aplicar un plan de continuidad del negocio (PCA) o un plan de recuperación informática (PRI). Lo que permite a la empresa operar en modo degradado y restaurar sistemas y datos lo más rápido posible para volver a una situación normal.