Para poder reaccionar ante un incidente de seguridad lo primero que debemos conocer son los más típicos en Pymes y autónomos, según INCIBE (Instituto Nacional de Ciberseguridad de España, S.A. sociedad dependiente del Ministerio de Energía, Turismo y Agenda Digital) son:
La mayoría son infecciones por malware y la recepción de spam. Las pérdidas medias totales por tipo de incidente fluctúa entre los 28.144 € el más barato y los 62.676 € el más caro según el informe Kaspersky Labs. Un incidente de seguridad puede desde interrumpir la actividad normal de la empresa hasta destruir la reputación de la misma. Como todo en la vida, la reacción ante una brecha de seguridad ha de seguir una pauta previamente estipulada que resumiremos en 4 pasos:
1º Detección
2º Análisis
3º Decisión
4º Actuación
1º Detectar la amenaza buscando signos que nos puedan indicar el carácter del incidente, que pueden ser:
2º Analizar las consecuencias que nos puede acarrear el incidente y tratar de minimizar los riesgos inherentes a la misma, p.ej.: identificar los departamentos o las secciones afectadas, comunicar a los proveedores, clientes, etc. las circunstancias y valorar las necesidades para la gestión del incidente.
Clasificar el incidente ayuda a tomar decisiones y para ello deberemos saber si afecta a la confidencialidad, la integridad o a la disponibilidad de nuestro activo informático.
3º Optar por una pauta de actuación concreta o, en caso de haberlos elaborado con anterioridad, aplicar los protocolos interiores de actuación; todo ello en función de la gravedad del incidente.
4º Las actuaciones tendentes a solucionar el incidente pueden consistir en apagar los sistemas o desconectarlos de la red, limpiar o eliminar los componentes asociados al mismo, restaurar copias de seguridad, restaurar los equipos a las 24 h. anteriores al incidente, etc. En el caso de no poseer los conocimientos suficientes para ello lo mejor es ponerse en manos de profesionales. También podemos ponernos en manos de un CERT (de sus siglas en inglés Computer Emergency Response Team) o Equipo de Respuesta ante Emergencias de Informáticas. (El INCIBE posee un CERT gratuito de seguridad al servicio de Industrias, pymes, autónomos y ciudadanos).
Estas actuaciones se refieren a una brecha en la seguridad de los sistemas, pero ¿cómo actuar ante el robo o pérdida de un dispositivo móvil (Smartphone, tablet, etc.)?
Hay que tener en cuenta que, como poco, el 38% de las pymes no protege con el software adecuado sus smartphones ni la cuarta parte de las tablets. Nos parece que el teléfono móvil no forma parte de nuestro activo informático y ello provoca brechas de seguridad más importantes de lo que creemos.
Ante un robo o pérdida de dispositivos móviles deberemos:
1º Comprobar si se habían hecho copias de seguridad de los datos.
2º Si es así, dar de baja el dispositivo rápidamente y restaurar los datos en el nuevo dispositivo. Si no había copia de seguridad anterior al incidente dar de baja lo más rápido posible el dispositivo.
En ambos casos es fundamental comunicar a nuestra compañía el código IMEI* del dispositivo para inutilizarlo definitivamente.
Una vez restablecidos todos los parámetros a sus estados normales y aptos para el trabajo, es conveniente confeccionar un registro de incidencias para examinar las consecuencias visibles y técnicas que provocaron el incidente para poder prevenir posteriores injerencias y brechas de seguridad.
Con ello y sin la presión de tener que solucionar los problemas lo antes posible, conseguiremos detectar deficiencias en los sistemas de seguridad, métodos de actuación, deficiencias en la formación del personal y todos aquellos ítems que se ven involucrados en la protección de nuestros datos para poder actuar con la eficiencia deseable en este tipo de actuaciones.
* IMEI: International Mobile Equipment Identity, código de 15 dígitos asociado a cada terminal móvil que lo identifica de forma inequívoca a nivel mundial.