Pasos a seguir ante un ataque informático

Artículo

Pasos a seguir ante un ataque informático

Los planes de acción para prevenir y gestionar un tienen que tener cuatro fases: la prevención, la detección, la recuperación y la respuesta.

Artículo de opinión escrito por Begoña Fernández, socia de Deloitte Legal.

Los despachos de abogados son un objetivo atractivo para los ciberdelincuentes. Por ello, tienen que elaborar planes de acción ante ciberataques con el fin de proteger su información, el conocido “secreto profesional”. El plan de acción deberá dividirse en cuatro fases: prevención, detección, recuperación y respuesta.

1. PREVENCIÓN: 

Actualmente, resulta imposible crear un entorno informático inaccesible a delincuentes informáticos aunque si se puede constituir un entorno preventivo que dificulte el acceso a los hackers, incorporando medidas preventivas:

        1.    Medidas preventivas organizativas

  • Desarrollar dentro de la organización buenas prácticas para la gestión de la fuga de información.
  • Definir una política de seguridad y procedimientos para los ciclos de vida de los datos.
  • Establecer un sistema de clasificación de la información.
  • Definir roles y niveles de acceso a la información.
  • Protección del papel. Desarrollo de políticas para la destrucción del papel, conservación de documentación, políticas de clean desk.
  • Sistemas de control de acceso, físicas a las instalaciones e informáticas en los ordenadores y sistemas de comunicación (móviles y tablets)
  • Control de los dispositivos extraíbles (pendrives, discos externos,…)
  • Desarrollo de planes de formación en materia de ciberseguridad y seguridad de la información, buenas prácticas de los sistemas informáticos etc. Estos planes de formación deben tener como objetivo la sensibilización y la formación de los usuarios.
  • Contratar ciberseguros cuya finalidad es proteger a las entidades frente a los incidentes derivados de los riesgos cibernéticos, el uso inadecuado de las infraestructuras tecnológicas y las actividades que se desarrollan en dicho entorno. Así, las principales garantías ofrecidas por el mercado asegurador son las siguientes:
    • Responsabilidad civil frente a terceros perjudicados.
    • Cobertura de los gastos materiales derivados de la gestión de los incidentes.
    • Cobertura de las pérdidas pecuniarias ante la interrupción de la actividad derivada de un fallo de seguridad y/o sistemas.
    • Cobertura de los gastos de asesoramiento legal en los que se debe incurrir para hacer frente a los procedimientos administrativos.
    • Cobertura ante la denegación de acceso a otros sistemas.
    • Acompañamiento en la gestión de la crisis.

Estos seguros suelen venir acompañados de servicios adicionales tales como son:

  • El borrado de huellas e historial.
  • La reparación de sistemas y equipos.
  • La recuperación de datos.
  • La descontaminación de virus.

A este respecto, cabe llamar la atención que estas garantías no suelen estar cubiertas por las pólizas de seguros tradicionales de Daños Materiales y Responsabilidad Civil. En este sentido, las entidades más expuestas al riesgo cibernético deben revisar sus seguros el objeto de garantizar que no existen gaps en la cobertura de sus posibles siniestros.

        2.    Medidas preventivas legales:

Medidas relativas a la adecuación y cumplimiento de la legislación aplicable (LOPD y RLOPD) que incluyen, fundamentalmente, (i) el establecimiento de una circular sobre los principios generales a observar en el tratamiento de datos de carácter personal por parte de los empleados que tengan acceso a datos de carácter personal en el desempeño de sus funciones, (ii) contar con un sistema adecuado de investigación de incidencias y violaciones de seguridad de los datos.

  • Solicitud de aceptación de la política de seguridad por parte de los empleados.
  • Cláusulas contractuales con empleados en relación a la custodia, conservación y utilización de la información.
  • Cláusulas contractuales con terceros en materia de confidencialidad.
  • El establecimiento de una política de uso de medios tecnológicos, que determine el alcance del uso de los dispositivos y medios puestos a disposición del empleado por parte de la empresa y las facultades del empresario en relación con el control de la actividad de los empleados, así como las consecuencias derivadas del incumplimiento de la misma.

2.  DETECCIÓN:

El momento en el que se detecta un incidente de fuga de información es un momento crítico en cualquier entidad. Una buena gestión de la fase de detección del ataque informático puede suponer una reducción significativa del impacto del ataque.

Esta fase es muy importante, ya que muchas veces se tiene conocimiento de la irrupción una vez la información sustraída se revela al público o a la red, o el ciberdelinuente se pone en contacto con el despacho de abogados correspondiente, para revenderles la información, extorsionarles o amenazarles.

Las principales medidas en esta fase de detección son técnicas, pues resulta imprescindible contar con una continua monitorización de los sistemas que permita detectar cualquier entrada sospechosa. Sin embargo también podemos encontrar medidas legales y organizativas:

        1.    Medias de detección organizativas:

Diseñar un protocolo interno de gestión del incidente en el que se identifique un gabinete de crisis u órgano decisorio de las medidas a adoptar. Este órgano debe estar compuesto por personas con capacidad de decisión, que puedan decidir, gestionar y coordinar la situación con calma, evitando consecuencias adicionales negativas.

        2.    Medidas de detección legales:

Sin perjuicio de las obligaciones previstas por el nuevo Reglamento Europeo de Protección de Datos, se deberán registrar las incidencias o brechas de seguridad en el Documento de Seguridad que la empresa u organización debe desarrollar y mantener actualizado, de tal forma que quede constancia de (i) el tipo de incidencia, (ii) el momento en que se ha producido o detectado, (iii) la persona que realiza la notificación, (iii) la persona o personas a quien se realiza la notificación, (iv) los efectos que se derivan de la incidencia, (v) las medidas correctoras que se han aplicado.

Además, si la empresa realizase un tratamiento de datos de nivel medio o nivel alto, se deberán registrar, además de los extremos ya mencionados, (i) los procedimientos de recuperación realizados, (ii) la persona o personas que realizó el proceso de recuperación, (iii) los datos que han sido restaurados.

3. RECUPERACIÓN

Una vez que se detecta una entrada ilegal en los sistemas informáticos del despacho es necesario llevar a cabo un plan organizado de recuperación, cuyo objetivo no es otro que recuperar el sistema y dejarlo tal y como estaba antes del incidente. Para ello se deben implantar medidas técnicas de recuperación de la información: backups de los sistemas, copias de seguridad etc.

Entre las medidas organizativas que se pueden desarrollar para la recuperación se encuentra la elaboración de planes de continuidad del negocio que contemplen situaciones excepcionales que puedan producirse por ataques informáticos y que abarquen situaciones tanto de robo de información, como de bloqueo del sistema e incluso de borrado de datos.  Además, se recomienda realizar un informe por un perito externo de cara a la presentación de una denuncia ante las autoridades, que permita recoger todas las pruebas que faciliten una posterior investigación.

4. RESPUESTA

En el momento que un despacho de abogados sufre un ataque informático se ve en la necesidad de dar respuesta al hecho acontecido. Ya no sólo dar respuesta e información a sus clientes, sino que también debe informar a los trabajadores, a terceros y encontrarse en predisposición de denunciar el hecho acontecido. Para ello se debe poner en marcha una estrategia de comunicación integral que abarque cada una de estas áreas. Y es que un paso fundamental ante un ataque informático, es minimizar la difusión de la información sustraída.

        1.    Respuestas a clientes:

Ante un ataque informático, es necesario poner en conocimiento de nuestros clientes el incidente ocurrido. En este sentido, el nuevo Reglamento General de Protección de Datos establece en su artículo 34 que se deberá comunicar a los interesados sin dilación debida toda violación de la seguridad que afecte a sus datos personales, siempre que entrañe un alto riesgo para los derechos y libertades de las personas físicas titulares de los datos objeto de la vulneración. La norma no define qué debe entenderse por “alto riesgo”, por lo que ante la duda, lo aconsejable será informar a los interesados. Sin perjuicio de lo anterior, no será precisa la notificación, si (1) se han implementado medidas de seguridad apropiadas (p.ej., encriptación); o (2) si se han adoptado medidas que impiden que el riesgo elevado se llegue a materializar; o (3) la comunicación supone un esfuerzo desproporcionado.

En caso de que no aplique ninguna de las anteriores excepciones, la comunicación deberá incluir, como mínimo, (i) el nombre y los datos de contacto del delegado de protección de datos de la entidad o de otro punto de contacto en el que pueda obtenerse más información, (ii) las posibles consecuencias de la violación de la seguridad de los datos personales, y (iii) una descripción en un lenguaje sencillo las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Para ello se debe elaborar unas comunicaciones adecuadas a la situación concreta, atendiendo al número de clientes afectados, a la información sustraída y al daño ocasionado. Además de mostrar la disponibilidad y accesibilidad necesaria a todos nuestros clientes, como por ejemplo, poniendo un teléfono de asistencia específico o designando a una persona concreta para dar respuesta a las susceptibles dudas y cuestiones que puedan surgir.

        2.    Respuestas dentro de la organización:

Igualmente, se debe hacer una comunicaicón a los empleados. En primer lugar, para que tengan capacidad de dar respuesta a clientes que puedan preguntar directamente a sus abogados de contacto, elaborando un discurso común y ordenado para toda la organización; y en segundo lugar, para crear un sentimiento de concienciación de los empleados, que les permita sentirse parte del proceso y a la vez, permita al despacho localizar puntos por los que los ciberdelincuentes han podido tener acceso al sistema informático. Y es que no podemos olvidar, que un gran número de ataques informáticos se producen a través de dispositivos móviles de empleados, por conexiones a redes wifi inseguras o por el uso de contraseñas fáciles de descifrar.

        3.    Respuestas a terceros:

Dentro del plan de comunicación ante este tipo de incidentes, un punto fundamental es las comunicaciones con terceros, y estas pueden ser de varios tipos:

- Respuestas a medios de comunicación que se han hecho eco del hecho acontecido: mostrando tranquilidad e informando del control de la situación, así como anunciando las medidas legales que se tomaran al efecto y dando respuesta a las preguntas que pudiesen suscitarse.

- Comunicación con los sitios (medios, web, canales de noticias,…) que puedan haber publicado parte de información sustraída: anunciando que se trata de una información confidencial que ha sido sustraída de manera ilícita, solicitando su retirada a la mayor brevedad posible y pidiendo la colaboración del medio para la posible detección e identificación de los ciberdelincuentes.

        4. Denuncias:

            1. Comunicaciones a la AEPD

En relación con la notificación a la Agencia de Protección de Datos de una brecha de seguridad, con carácter previo a la aprobación del nuevo Reglamento General de Protección de Datos Europeo, tan sólo estaban obligados a acometerla los operadores de telecomunicaciones.

No obstante, con la aplicación del nuevo Reglamento General de Protección de Datos todas las empresas que hayan sufrido una brecha de seguridad, independientemente del sector al que pertenezcan, se encuentran obligadas a realizar una notificación expresa a la Agencia Española de Protección de Datos sin demora, en un plazo máximo de72 horas siempre que sea posible. La notificación dirigida a la Agencia deberá incluir: (i) naturaleza del incidente; (ii) identidad y datos de contacto del delegado de protección de datos;(iii) consecuencias del incidente; y (iv) medidas correctoras propuestas o adoptadas.

Una vez transcurrido este plazo, y en caso de que no hubiera realizado la notificación, se deberá notificar asimismo a la Agencia Española de Protección de Datos las causas de la dilación o retraso.

        2.    Denuncias ante la Policía, la Guardia Civil o el Juzgado

Actualmente tanto la Guardia Civil con el Grupo de Delitos Telemáticos y la Policía con la Brigada de Investigación Tecnológica perteneciente a la UDEF, disponen de equipos de trabajo, especialmente formados para la investigación de estos ciberdelitos, es más, incluso disponen de grupos de trabajo que investigan y focalizan su trabajo, únicamente a delitos informáticos cometidos en el seno de empresas. Además, es absolutamente necesario que ante el descubrimiento de un ataque informático se proceda a la denuncia del hecho ante las autoridades competentes.

        4. OTRAS MEDIDAS ACCESORIAS

Por último debemos atender a otras medidas accesorias que se pueden implementar dentro de nuestro despacho de abogados y que van a contribuir a crear un entorno de seguridad y concienciación en materia de prevención, detección, recuperación y respuesta ante ataques informáticos como:

  • Atender a las buenas prácticas de la ISO 19600 en materia de Compliance.
  • Atender a las buenas prácticas de la ISO 27001 en materia de seguridad de la información.
  • Apoyarse en terceros expertos independientes que puedan ayudarnos tanto en el desarrollo de todo el proceso, desde el desarrollo de políticas internas, como en la custodia de información, como a la hora de actuar ante alguno de los incidentes expuestos.
Did you find this useful?