Los 5 pasos necesarios tras sufrir una brecha de seguridad

El robo de datos e información es uno de los factores más sensibles en el mundo de la seguridad informática. Independientemente de sus mecanismos de protección, así como de las precauciones tomadas, las empresas siguen siendo vulnerables a las amenazas que cada vez se vuelven más sofisticadas. Es por ello que muchas empresas, independientemente de su tamaño, no deben tomarse a la ligera la protección de los datos y la información asociada a sus clientes. Con esta premisa, ofrecemos a continuación, cinco pasos que toda empresa debe llevar a cabo tras sufrir un robo de datos en su infraestructura de red.

Paso 1: aislamiento

Ya se trate de ordenadores, servidores o aplicaciones, así como bases de datos, todos y cada uno de los elementos mencionados que hayan podido verse afectados, deben ser aislados del entorno principal con el fin de evitar males mayores. Si el componente de la infraestructura afectada se conecta directamente a la red de área local, éste debe ser desconectado de la red de manera inmediata. En el caso de que lo haga a través de una red WAN, también debemos proceder con la desconexión y utilizar una ubicación alternativa que nos permita llevar a cabo una posible copia de seguridad.

Paso 2: investigación

Resulta de vital importancia contar con un conjunto de procedimientos operativos en el caso de que se produzca una fuga de datos. Debemos ser capaces de detectar el lugar o escena del crimen para aislarla del resto de la infraestructura de red. Con las infraestructuras actuales de las grandes compañías utilizando soluciones Cloud, también existe la posibilidad de que dicha máquina o servicios se encuentre fuera del lugar de trabajo, por lo que se debe hacer frente de igual manera para poder intervenir en la máquina donde se produjo la infracción.

Paso 3: interrogación

Dentro de los procedimientos de trabajo debemos incluir un cuestionario que contemple la recopilación de datos cruciales sobre el incidente a modo de seguimiento. Cuando se barajan varios escenarios, el equipo encargado de cada área debe contar con un conjunto de instrucciones claras para dar respuesta a cada situación. Cabe la posibilidad de que el trabajador no tenga conocimientos técnicos avanzados para gestionar la brecha, con lo que se hace necesario proporcionar indicaciones claras sobre cada procedimiento para gestionar la brecha. Resulta vital contar con los cuestionarios e instrucciones de todos y cada uno de los componentes durante estas primeras etapas.

Paso 4: reunir pruebas

Hay que ser capaz de recoger todos los datos o elementos relacionados con el incidente. Muchos trabajadores tienen contraseñas personales o traen las unidades USB personales para trabajar. Además, los archivos de registro deben estar debidamente indicados y catalogados de las actividades relacionadas con los sistemas. Resulta primordial grabar en un registro formal lo que hizo el equipo, contemplando fechas y horas de cada suceso o anomalía detectada para poder extraer conclusiones.

Paso 5: acudir a un experto forense

Contar con la ayuda de un experto forense puede permitir que la investigación sobre el incidente de violación de datos llegue a buen puerto. El análisis forense digital es una especialización que incluye el análisis del robo de datos y la intrusión, habilidades que rara vez se ven en los equipos de TI.

A la espera de que llegue la ayuda de los expertos, ficha y etiqueta todos los equipos y conexiones que formen parte de la escena del crimen, así como el equipo conectado. Tome nota de los números de serie / activos y modelos. Reunir la información de todos los elementos que han formado parte de la escena del crimen es algo primordial, incluyendo soportes físicos como CDs, teléfonos móviles, ordenadores portátiles, dispositivos de almacenamiento, así como el papeleo.

Los forenses digitales: el CSI de la seguridad TI

El análisis forense digital incluye la investigación y recuperación de los datos encontrados en los dispositivos digitales que a menudo están relacionados con los ataques cibernéticos. Con las investigaciones forenses digitales es posible descubrir y analizar los datos recogidos durante un ataque cibernético o una violación de los datos, para entender los motivos y las identidades de las personas implicadas en el delito.

Esta es la razón que da sentido a la elaboración de las auditorías de TI periódicas en las organizaciones, ya que garantiza que la infraestructura de TI, las operaciones y políticas de la empresa pueden proteger los datos y activos corporativos de la empresa. El proceso de auditoría debe preservar las pruebas como parte del plan de continuidad de negocio de cada empresa.

Los forenses pueden proporcionar información y datos para ayudar a resolver crímenes como el terrorismo, la evasión de impuestos, la extorsión, el robo, el contrabando de drogas, e inclus el asesinato.

A medida que los sistemas informáticos se han convertido en parte de la vida diaria de las personas, estos dispositivos pueden almacenar una gran cantidad de información. Aparte de correos electrónicos, listas de contactos, números de teléfono, los archivos de registro y acceso a históricos, también se tiene acceso a fotos, información financiera, y videos-datos, que la ciencia forense digital podrá utilizar para aprender acerca de los hábitos de las personas.