Los grandes errores que cometen las empresas después de sufrir un ciberataque

[Amaya]

El Centro de Estudios Internacionales y Estratégicos de EE.UU. informó hace unas semanas de que las pérdidas por incidentes relacionados con el cibercrimen superaron los 945.000 millones de dólares en 2020 sólo en ese país, casi el doble que en 2018. Si a estas cifras añadimos las pérdidas causadas por daño reputacional, las mermas debidas a una crisis informática pueden superan con creces los dos billones de dólares. En España, según el Departamento de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil, en los últimos cuatro años, los ciberdelitos han crecido un 135%.Cuando ocurre un incidente que afecta a las infraestructuras técnicas, lo más recomendable, según los expertos, es mantener la calma y continuar con el plan de continuidad de negocio, en caso de que exista, ya que el protocolo de actuación vendrá definido en ese plan. Según Soler GDI, gabinete dedicado a la gestión de crisis informáticas, en caso de que no exista un plan de continuidad, se deben tomar decisiones estratégicas durante el proceso de crisis, por lo que es imprescindible contar con profesionales preparados para resolver cada situación.«En una crisis informática muchas veces se pierden los papeles y se actúa de forma precipitada, lo que provoca no sólo que las consecuencias se agraven sino que los resultados finales no sean los deseados», afirma José María Soler, director general de Soler GDI. «Por eso, ante cualquier incidencia, por pequeña que sea, que pueda inducir a una disrupción en los sistemas tecnológicos de la organización, hay que actuar con la cabeza fría y rodearse de expertos que tengan la experiencia y la capacidad necesarias para resolverla provocando el menor impacto en el negocio». En este sentido, la firma ha recopilado los mayores errores que se cometen tras sufrir una crisis informática.No borrar las evidencias«Nunca se debe restaurar una copia de seguridad sin haber salvado todas las pruebas de la crisis», recuerda Soler. Y es que estas piezas pueden ayudar a conocer mejor el tipo de ataque que se ha sufrido y, de este modo, estar mejor preparados en el futuro para evitar sus efectos. Además, no se debe olvidar la información básica sobre el incidente o no mantener la cadena de custodia. Esto es necesario para que las autoridades competentes puedan buscar a los culpables y llevarlos ante la justicia es necesario extraer todas las pruebas conforme al procedimiento forense.Pensar que no te volverá a pasarSegún un estudio de CrowdStrike, siete de cada diez empresas que experimentan una intrusión vuelven a sufrir un ataque, por lo que es imprescindible analizar si existen variables, técnicas o humanas, que pueden provocar que el incidente se repita. Además, es importante que una vez restaurado, el sistema se mantenga en cuarentena durante un tiempo para evitar que amenazas ocultas pasen inadvertidas.No estar al tanto de tu situaciónEn muchas ocasiones, el descontrol sobre las infraestructuras tecnológicas de la empresa es tal que pasan meses antes de que se descubra el ataque, lo que dificulta después la resolución y la recuperación de los activos.Formatear para eliminarFormatear los sistemas no sólo nos hará perder la información almacenada, en muchas ocasiones sensible o imprescindible para la actividad empresarial, sino que se borrarán también las evidencias del ataque y no se podrá ni mejorar la protección, ni la respuesta ante posibles nuevos ataques pero tampoco se podrá reclamar nada al borrar todas las evidencias del ataque.Obviar los protocolosA veces, por desconocimiento de los planes establecidos no se siguen los protocolos y se cometen errores fatales para la continuidad del negocio. En este caso, contar con certificaciones como ISO 22301 puede ayudar a resolver estos conflictos.No informar a los usuarios de la brechaNo informar a los usuarios afectados de una brecha de seguridad o de un ciberataque. En el caso de que se sufra un ataque en el que se deje al descubierto información personal de clientes o usuarios, la empresa afectada tiene la obligación de informar inmediatamente a los afectados para que tomen sus propias medidas (como modificar la contraseña de acceso a los servicios afectados) y limitar los daños.Pensar que lo pueden resolver solosTal vez el error más grave: pensar que se puede resolver sin ayuda de profesionales. Las grandes empresas cuentan con equipos dedicados a la continuidad de negocio y a la seguridad pero la mayoría de pequeñas y medianas empresas no pueden contar con estos recursos internos. En ese caso, ante cualquier crisis informática, es importante contar con socios de confianza que puedan ayudar a resolver el problema con la menor incidencia posible en el negocio.

[Solo los usuarios registrados y activados pueden ver los enlaces. Haga clic aquí para registrarse ... ]