El 48% de las empresas españolas es consciente de que necesita más ciberseguridad, según un reciente estudio. Sin embargo, aunque se incremente la inversión en seguridad informática, nunca se estará completamente a salvo, ya que los atacantes son cada vez más avispados y capaces de desarrollar amenazas más difíciles de detectar y de solventar. Es por ello que, de media, cada compañía pierde unos 75.000 euros con cada ataque que tiene éxito; cifra que es urgente reducir sino puede ser eliminada por completo.

Es ahí donde entra en juego la labor de prevención por parte de las organizaciones, con los planes de respuesta ante ciberataques como punto de partida para la estrategia de seguridad informática de la empresa. Se trata de un documento en el que se recogen los principales pasos a seguir en caso de sufrir una amenaza, desde la propia detección de la vulnerabilidad hasta la identificación de los principales vectores de riesgo, pasando por las medidas a tomar para eliminar o minimizar los efectos del incidente, los equipos implicados, las políticas para evitar cualquier pérdida reputacional o las medidas orientadas a garantizar la continuidad del negocio. Todo ello complementado con el soporte legal y financiero adecuado para que toda esta operativa pueda ser puesta en marcha cuando -desgraciadamente- sea necesario.

Conseguir que el tiempo de respuesta ante un ciberataque sea el menor posible es fundamental para reducir el impacto de los atacantes sobre nuestro negocio, los datos que se puedan ver comprometidos y facilitar la investigación sobre el virus o la vulnerabilidad que ha sido explotada. Y es que, al igual que sucede con los delitos en la vida real, los minutos son cruciales a la hora de responder a un incidente.

Puntos del plan

Una vez que tenemos clara la necesidad de contar con un plan de respuesta ante ciberataques en nuestra compañía, el siguiente escalón en el proceso es definir los distintos puntos que debe contemplar este documento, que ha de ser lo más completo posible para abarcar todas las situaciones posibles que puedan suceder.

En ese sentido, y aunque cada empresa es un mundo en sí misma, existe una serie de capítulos que deben ser siempre analizados en un plan de esta índole:

• Auditoría e identificación de la amenaza: El primer punto del plan de respuesta ante ciberataques debe ser el que especifique los mecanismos necesarios para identificar correctamente la amenaza, incluyendo tanto los procesos internos (protocolos de monitorización y de auditoría) como la gestión de fuentes de información externas (como proveedores de terceros o avisos de seguridad independientes). En este primer estadio también debe analizarse y valorarse si la amenaza es real o no, así como qué nivel de gravedad representa para la organización.

• Comunicación y notificación: Una vez detectado el incidente, el plan debe recoger el procedimiento para notificar el problema a todos los individuos implicados en el equipo de respuesta. Esta comunicación debe ser lo más inmediata posible, pero no por ello exenta de contenido (detalles sobre la amenaza, próximos pasos, órdenes a seguir, etc.).

• Equipo de respuesta: Para poder enviar estas notificaciones y responder al hacker, debe existir un equipo de respuesta perfectamente organizado, con responsabilidades bien definidas, preparado y disponible las 24 horas para atender esta necesidad vital del negocio. Entre los perfiles que deben estar presentes en el equipo debe haber un líder -que puede ser el CSO de la empresa, si existe- además de varios ingenieros expertos en ciberseguridad, aunque también es recomendable contar con profesionales de la parte operativa de la empresa (para poder coordinar mejor la disponibilidad del negocio) y de comunicación o marketing (para evitar la publicidad negativa que puede generar el incidente).

• Comunicación externa: En la línea anteriormente mencionada, el plan de respuesta ante ciberataques debe recoger cómo se afrontará esa crisis de forma pública, tanto ante los medios de comunicación como en redes sociales y (tras la entrada en vigor de la normativa europea GDPR) también ante los organismos oficiales correspondientes.

• Metodología y tecnología: El aspecto central del plan es la metodología y las tecnologías que serán utilizadas para eliminar la amenaza, reducir el impacto sobre el negocio y acabar con el problema en todas sus vertientes.

• Evaluación final y desactivación del plan: Una vez que se haya desactivado el virus, el equipo de respuesta debe evaluar de nuevo la situación para decidir si ha llegado el momento de desactivar ‘el estado de alarma’. Además, también es un buen momento para asimilar lo aprendido durante el episodio y modificar los métodos preventivos y sistemas de respuesta de forma que se evite cualquier réplica futura de la amenaza.