¿Qué debería hacer una compañía luego de haber sido hackeada? Es una pregunta que Target, Home Depot, Sony Pictures Entertainment y otras empresas han tenido que hacerse a lo largo de los últimos años. Y es probable que otras organizaciones se enfrenten a la misma pregunta en los próximos meses.
Ser hackeado nunca es bueno, especialmente cuando el resultado es que la información del cliente ha sido comprometida o robada. Pero la forma en la que una empresa reacciona puede hacer la diferencia a largo plazo.
Una reacción rápida y efectiva puede minimizar los daños o al menos brindarles alguna seguridad a los clientes, socios y a la comunidad en general. Una reacción pobre y floja puede ocasionar que una mala situación empeore, y además costarle años a la empresa.
Aquí hay seis cosas claves para hacer después de haber sufrido un ataque en la seguridad por un hacker.
1.- Manténgase tranquilo e implemente un plan de respuesta coherente
El primer paso después de haber sido hackeado, es implementar un plan de respuesta ante incidentes bien pensado. Asumiendo que ya tiene uno. Si no, debe armar uno ya mismo.
“Es fácil entrar en pánico y tratar de controlar el daño”, señaló Eric Cole, un miembro de la facultad y director del SANS Cyber Defense Program del SANS Institute. “Pero muy a menudo, sin un plan apropiado, podría estar destruyendo evidencia y empeorando las cosas”.
El plan debería incluir la determinación de la extensión de la infracción, identificando qué información estuvo comprometida, decidiendo cómo trabajar mejor con el departamento legal para determinar si requiere ser expuesto a funcionarios gubernamentales u otras autoridades, descubriendo de qué manera el ataque comprometió a toda la organización, y realizando una valoración de daño.
“Una vez que el plan apropiado esté en su lugar, la atención debería estar en implementarlo”, indicó Cole. Durante la fase de implementación, las empresas deberían enfocarse en distintas áreas clave. Una de ellas es la contención.
“Una vez que el plan se empieza a implementar, es crítico asegurarse de que el agresor ya no se encuentre en la red”, añadió Cole. “Los atacantes pueden ser bastante agresivos, y si se enterasen de que está tratando de limpiar el sistema y todavía tienen acceso, podrían causar daños significativos”.
Normalmente, las organizaciones deben tratar de aislar o controlar el flujo de tráfico para minimizar cualquier otro daño proveniente del ataque.
Otra área clave es la erradicación. “Mientras que estar fuera de servicio durante un incidente no es lo ideal, es crítico tomarse el tiempo de arreglar el problema para prevenir otro ataque”, anotó Cole. “Muy a menudo, durante un incidente, las organizaciones tratan de apresurarse para volver a trabajar lo antes posible, pero no arreglan bien todos los puntos de exposición que el atacante usó para ingresar”.
Si un adversario irrumpe una vez, lo hará de nuevo si no se toma el tiempo necesario para arreglar los problemas.
Una tercera área de implementación es la recuperación.
Una vez que los puntos de exposición que se usaron para comprometer el sistema estén arreglados, la atención se enfoca en recuperar los datos y hacer que el sistema trabaje como debería, indicó Cole. “Es necesario verificar siempre los sistemas antes de que la gente los pueda usar”, añadió. “Muy a menudo, durante la recuperación, los sistemas pueden ser infectados de nuevo accidentalmente”.
Una vez que los sistemas hayan sido verificados, monitoréelos para asegurarse de que el atacante no ingrese nuevamente. “El énfasis no es parar activamente al adversario, sino monitorear pasivamente las actividades, y asegurarse de que ya no puedan entrar al sistema e infectarlo”, dijo Cole.
2.- Una al equipo de respuesta ante incidentes
“El equipo de respuesta ante incidentes debería estar preparado, luego de una violación, para asesorar con la situación”, señaló Tim Francis, líder empresarial para el seguro cibernético en Travelers.
El equipo debería cubrir TI, liderazgo empresarial, recursos humanos, relaciones públicas, y operaciones legales.
“Sesearía conservar un técnico en infracciones, un abogado con experiencia en seguridad y cumplimiento de normativas privadas, para ayudarlo en su defensa y en la interpretación de varias regulaciones estatales y federales que puede que hayan desencadenado después de un evento de violación de datos”, añadió Francis.
3.- Trabaje con vendedores y expertos en seguridad, según la necesidad
Muchas veces, las empresas necesitarán la ayuda de proveedores y firmas de consultoría de seguridad claves para identificar la causa de la transgresión, y asegurarse de que futuros ataques serán detenidos antes de que hagan daño.
A comienzos del 2014, la infraestructura de la máquina virtual (VM, por sus siglas en inglés) del Illinois Institute of Technologies estaba siendo explotada para uso en un ataque de denegación de servicios distribuidos (DoS) orientada a una universidad diferente.
“Descubrimos que teníamos abundante vulnerabilidad en nuestras plataformas VMware”, comentó Louis McHugh, gerente de sistemas informáticos y profesor asociado adjunto de industria de TI y gerencia en el instituto.
“Esto fue descubierto haciendo nuestra propia investigación sobre el problema y consultando directamente con el soporte de VMware”, añadió McHugh. “En términos generales, fue un ataque de reflexión de NTP [protocolo de sincronización de la red] simple, usado para amplificar el DDoS, ya que todavía estábamos usando NTP para tomar el tiempo de nuestros servidores”.
El parche fue pasado por alto en ese momento puesto que el instituto no seguía las directrices de prácticas óptimas, comentó McHugh. “Realizamos los cambios a los servidores, que fueron recomendados por VMware respecto al parchado y fortalecimiento de estos contra futuros ataques”.
“También hemos tomado medidas para fortalecer todos los servidores de nuestro alrededor, desactivando los servicios innecesarios, estableciendo ciclos regulares de parchado para servidores Windows y Linux, y defendiendo la red con un firewall en los encaminadores de borde”, anotó McHugh.
4.- Maneje los asuntos legales de manera efectiva
Luego de que haya habido un incidente de hacking, TI, seguridad y otros altos ejecutivos deben reunirse junto con los equipos legales corporativos y externos para discutir las potenciales implicaciones.
Los abogados “también ayudarán a abordar asuntos como el de las leyes, pero también hay posibles requisitos de notificación en los contratos de proveedores, incluso con procesadores de tarjetas de crédito”, señaló Larry Kunin, presidenta de la seguridad de los datos y la práctica de incumplimiento del bufete Morris Manning y Martin LLP.
El remedio al problema puede tomar bastante tiempo, pues la raíz causante del hack puede no siempre ser aparente, y las compañías necesitan ocuparse de preservar cualquier evidencia, anotó Scott Vernick, jefe del Privacy and Data Security Practice en la firma nacional de abogados Fox Rothschild.
“Siempre se considera qué aplicación de la ley u organismo encargado de aplicarla se podría requerir, o litigio si llega el momento”, indicó Vernick. Tiene que tener cuidado al llevar a cabo investigaciones y remediaciones sin interferir con la evidencia. “Esto puede incluir, pero no se limita a la clonación de los servidores, laptops y computadoras; haciendo imágenes de los documentos, pues de esta manera se está investigando la imagen en lugar de la original”, añadió.
Los problemas legales se centran en la investigación potencial del gobierno, ya sea a nivel federal o estatal; y en asegurarse de que los activistas y socios estén informados sobre la notificación de estatutos relevantes de incumplimiento. “Y luego, por supuesto, está el litigio potencial que se deriva de eso”, señaló Vernick.
Algunas políticas y procedimientos para reportar un incidente de hacking son determinados por la notificación de la violación del Estado o por el sector industrial, agregó Vernick.
“La conclusión es que las organizaciones deben tratar de ser lo más transparente posible”, anotó Vernick. “Algunas cosas son difíciles de hacer, porque por lo general es un objetivo en movimiento en cuanto a la comprensión de lo que sucede en el desarrollo de la información. Pero sin duda, con respecto a los accionistas -especialmente a los clientes o empleados o agencias gubernamentales- mientras más pronto sea transparente, generalmente termina todo mejor”.
5.- Cubra sus bases de seguros
Luego de una violación, notifique a su agente y representante de reclamos tan pronto como sea posible.
“Debe estar seguro de que su personal de TI se reúna y de tener los documentos que rodearon el incidente”, señaló Francis. “Los registros de eventos de seguridad de la red son a menudo vitales para ayudar a verificar la fecha, hora y máquina involucrada en un incidente”.
Los datos deben ser categorizados para entender si la información de identificación personal, como números de seguro social o registros médicos, información financiera u otros datos confidenciales se vio comprometida.
“De esta manera, la organización puede centrarse en proteger y asegurar sus artículos más confidenciales”, indicó Francis. Documente el tiempo y las horas trabajadas dedicadas a tratar con el ataque, así como el costo de la remediación.
6.- Mantenga las líneas de comunicación abiertas
Es importante mantener a los empleados, clientes, socios comerciales y otras partes interesadas al tanto de lo que está pasando en relación con el ataque, su impacto y la respuesta de la organización. El silencio puede implicar incompetencia, confusión o cosas peores.
“Con demasiada frecuencia, las empresas tienen que repetir lo que saben acerca de la amplitud de una violación de la red”, señaló Darren Hayes, profesor asistente y director de seguridad cibernética en Seidenberg School of Computer Science and Information Systems en Pace University.
“Empresas como Target pueden permanecer inseguras en el número de registro de clientes robados”, añadió Hayes. “Entonces, informe a todos los clientes que necesitan estar atentos, y nunca sea conservativo con sus aproximaciones”, sobre el impacto de haber sido hackeado.
El desarrollador de aplicaciones Evernote es un buen ejemplo de empresa que fue transgredida, pero ejerció una “abundancia de cautela” con respecto a informarle a la gente sobre los riesgos.
“Obligaron a todos los usuarios a reiniciar sus contraseñas, incluyendo aquellos que no habían sido comprometidos”, señaló Hayes. “Les informaron a los clientes a través de múltiples canales de comunicación sobre lo que había sido robado y aquello que no”.
Use herramientas de análisis de opiniones para identificar y responder a los clientes que manifiestan sus preocupaciones a través de las redes sociales. “A menudo consideramos el análisis de opiniones para las campañas de marketing, pero puede ser altamente efectivo para las consecuencias de una violación”, indicó Hayes.
Junto con una comunicación efectiva, las empresas necesitan considerar el impacto psicológico de un ataque en empleados y clientes, especialmente si incluye una violación de emails e información personal identificable.
“Existe un profundo sentido de violación de nuestro espacio personal si el sistema de nuestra compañía es penetrado por personal no autorizado”, señaló Tom Keenan, profesor de informática y diseño ambiental en University of Calgary y autor del libre Technocreep.
“De manera correcta o errónea, la mayoría de la gente asume que los emails son privados”, dijo Keenan. “Las empresas deberían encontrar a los profesionales adecuados que puedan ayudar a las personas con el shock” de que información privada se vuelva pública, finalizó.
– Bob Violino, Network World EE.UU.
