Un incidente de ciberseguridad se define como uno o un conjunto de eventos que ocurren de forma inesperada o no deseada, con alta probabilidad de afectar el normal funcionamiento de una empresa, debido a la pérdida o uso indebido de información.
Los incidentes de seguridad informática cada vez afectan a más personas y empresas, y aunque constantemente se desarrollan mejores herramientas de seguridad estos no dejan de aumentar.
En el presente post ahondaremos sobre las amenazas a la seguridad, explicando qué es un incidente de ciberseguridad y cómo se clasifican, con el propósito de conocer a ciencia cierta cuáles son los principales riesgos a los que están expuestas las empresas.
Tipos de incidentes de ciberseguridad
Los incidentes de ciberseguridad son más comunes de lo que las personas creen y sus efectos son muy variados. Especialmente los gobiernos destinan cantidades considerables de recursos a fin de proteger su información, sin embargo, las empresas son las más atacadas, comprometiéndose su funcionamiento y continuidad en el futuro.
A groso modo los incidentes de ciberseguridad los podemos dividir en dos:
- Incidentes de ciberseguridad vinculados a la información: este tipo de incidentes incurren en la pérdida o uso indebido de información sensible para el funcionamiento de una empresa, así como espionaje y robo de identidad.
- Incidentes de ciberseguridad vinculados a la infraestructura computacional: en esta ocasión se ve comprometida la operatividad de la empresa por la intrusión de malware, alteraciones en la red, fallas de servidores, secuestro de datos y equipos, entre otros.
Esta clasificación general permite comprender qué es un incidente de ciberseguridad así como dividirlos en dos grandes grupos, lo que ayuda a activar los protocolos de respuesta de forma inmediata ante un incidente, mientras se identifica exactamente cuál es el problema.
Incidentes de ciberseguridad según su contenido
La clasificación de los incidentes según su contenido permite tener un idea clara que cuál fue el problema, de hecho los profesionales del área los reportan de acuerdo a esta clasificación y conocerla es de ayuda para comprender dichos reportes.
- Contenido abusivo: son los que conocemos como spam, ya que tienen información ofensiva o no deseada que se torna molestosa.
- Contenido malicioso: básicamente son malware creados para infiltrarse en los sistemas operativos sin que los usuarios se den cuenta, dañándolos o comprometiendo la información que estos manejan. Dentro de estos tenemos virus, gusanos, troyanos, spyware y ransomware.
- Obtención de información: en esta categoría tenemos los escaneos y el phishing, este último se vale de técnicas de ingeniería social para persuadir a los usuarios y obtener datos confidenciales.
- Acceso no autorizado o intrusión: este tipo de incidentes se basan en el acceso a cuentas que manejan información crítica o ejecución de códigos maliciosos como los ataques de día cero.
- Disponibilidad: son los ataques que bloquean el acceso a los servicios por parte de los usuarios, como ejemplo tenemos los ataques DoS que encargan de saturar sitios web.
- Seguridad/confidencialidad de la información: modalidad de ataque que compromete el acceso y modificación a la información.
- Fraude: problemas vinculados al uso no autorizado de información, Phishing y robo de credenciales.
- Vulnerabilidad: ataques llevados a cabo aprovechando puntos débiles en los sistemas.
- Otros: incidentes en los que no se demuestra con claridad la naturaleza de los mismos.
¿Cómo responder ante un incidente de ciberseguridad?
Las predicciones en materia de seguridad informática no se han equivocado, los incidentes de seguridad cada vez crecen más en número y frecuencia, de modo que es vital que todas las empresas cuenten con un plan de acción ante estas situaciones.
El protocolo a seguir en caso de un incidente de ciberseguridad es el siguiente:
- Evaluación inicial: este paso debe hacerse cuando se sospeche de un incidente o incluso de forma periódica en condiciones normales. Consiste en la revisión de los sistemas encargados de detectar fallos de seguridad como cortafuegos, logs y antivirus. Además, se debe tratar de identificar a groso modo el tipo y gravedad del incidente y documentarlo para su posterior investigación a fondo.
- Comunicación: la información del incidente solo debe ofrecerse al personal capaz de brindar solución y a las entidades de seguridad del Estado en caso de robo de datos personales. Mientras menos personas sepan del incidente mejor, ya que se puede comprometer la reputación de la empresa.
- Limitación del daño y reducción de riesgos: para reducir el impacto negativo del incidente se debe hacer una desconexión de los equipos de la red y reiniciar los sistemas, sin embargo, hay empresas donde no se puede suspender completamente la operatividad, de modo que se puede hacer por partes. También, se deben clasificar los datos y reforzar la seguridad de la información sensible, a fin de reducir riesgos de un daño mayor.
- Recuperar el control de los sistemas: una vez reiniciados los equipos se procede a la instalación de las copias de seguridad para restablecer el funcionamiento. Es importante determinar cuándo se produjo el incidente para instalar la copia de seguridad previa a este, ya que las otras pueden estar dañadas.
- Corregir los fallos de seguridad y vulnerabilidades que permitieron el incidente.
Saber qué es un incidente de ciberseguridad y cómo responder ante ellos es deber de toda empresa. Los daños que pueden causar estos incidentes comprometen la reputación y continuidad de las empresas, además, los clientes también pueden sufrir los efectos.
A medida que se desarrollan nuevas herramientas para reforzar la seguridad de la información, los ciberdelincuentes buscan nuevos medios y canales por donde introducirse en los sistemas. Entender que todos somos vulnerables es el primer paso para poder tomar acciones, lo importante es tener consciencia de ello y buscar profesionales para que nos asesoren.
Comentarios