Al día siguiente del ataque del hacker: sepa qué priorizar en la empresa

La ocurrencia de un incidente de seguridad que resulta en una invasión de piratas informáticos es sin duda una de las mayores pesadillas para cualquier empresa en la actualidad. Además del impacto inmediato en los negocios, existen implicaciones legales y reputacionales que pueden durar meses o incluso años. En Brasil, la Ley General de Protección de Datos (LGPD) establece una serie de requisitos que las empresas deben seguir después de ocurrencia de tales incidentes.

Según un reciente informe de la Federasul (Federación de Entidades Empresariales de Rio Grande do Sul -, más de 40% de empresas brasileñas ya han sido objeto de algún tipo de ciberataque. Sin embargo, muchas de estas empresas aún enfrentan dificultades para cumplir con los requisitos legales establecidos por la LGPD. Datos de la Autoridad Nacional de Protección de Datos (ANPD) revelan que sólo alrededor de 30% de las empresas invadidas han declarado oficialmente la ocurrencia del incidente. Esta discrepancia se puede atribuir a varios factores, entre ellos la falta de conciencia, la complejidad de los procesos de cumplimiento y el temor a repercusiones negativas en la reputación de la empresa.

Al día siguiente del incidente: primeros pasos

Después de la confirmación de una invasión de hackers, la primera medida es contener el incidente para evitar su propagación. Esto incluye aislar los sistemas afectados, detener el acceso no autorizado e implementar medidas de control de daños.

Paralelamente, es importante formar un equipo de respuesta a incidentes, que debería incluir especialistas en seguridad de la información, profesionales de TI, abogados y consultores de comunicación. Este equipo será responsable de una serie de procesos de toma de decisiones, en particular aquellos que impliquen continuidad del negocio en los próximos días.

En términos de cumplimiento de la LGPD, es necesario documentar todas las acciones tomadas durante la respuesta al incidente. Esta documentación servirá como prueba de que la empresa ha actuado de acuerdo con los requisitos legales y puede ser utilizada en cualquier auditoría o investigación por parte de la ANPD.

En los primeros días, el equipo de respuesta debe realizar un análisis forense detallado para identificar el origen de la intrusión, el método utilizado por los piratas informáticos y el alcance del compromiso. Este proceso es vital no sólo para comprender los aspectos técnicos del ataque, sino también para recopilar pruebas que serán necesarias para denunciar el incidente a las autoridades competentes y también a la aseguradora 'SI la empresa ha realizado un ciberseguro'.

Hay aquí un aspecto muy importante: el análisis forense también sirve para determinar si los atacantes todavía se encuentran dentro de la red de la empresa, situación que, lamentablemente, es muy común, sobre todo si después del incidente la empresa sufre algún tipo de chantaje financiero al divulgar datos que los delincuentes finalmente han robado.

Además, la LGPD, en su artículo 48, exige que el responsable del tratamiento comunique a la Autoridad Nacional de Protección de Datos (ANPD) y a los interesados afectados la ocurrencia de un incidente de seguridad que pueda conllevar un riesgo o daño relevante a los interesados. Esta comunicación deberá realizarse en un plazo razonable, de acuerdo con la normativa específica de la ANPD, y deberá incluir información sobre la naturaleza de los datos afectados, los interesados implicados, las medidas técnicas y de seguridad utilizadas para la protección de datos, los riesgos relacionados con el incidente y las medidas que se han adoptado o se adoptarán para revertir o mitigar los efectos de la lesión.

Con base en este requisito legal, es fundamental, poco después del análisis inicial, elaborar un informe detallado que incluya toda la información mencionada por la LGPD. En este, el análisis forense también ayuda a determinar si hubo extracción y robo de datos en la medida que los delincuentes finalmente reclamen.

Este informe debe ser revisado por profesionales de cumplimiento y abogados de la empresa antes de ser presentado a la ANPD. La legislación también exige que la empresa realice una comunicación clara y transparente a los interesados afectados, explicando lo sucedido, las medidas adoptadas y los siguientes pasos para garantizar la protección de los datos personales.

La transparencia y la comunicación efectiva, dicho sea de paso, son pilares clave durante la gestión de un incidente de seguridad. La dirección debe mantener una comunicación constante con los equipos internos y externos, asegurando que todas las partes involucradas estén informadas sobre el progreso de las acciones y los próximos pasos.

Es necesaria la evaluación de las políticas de seguridad

Paralelamente a la comunicación con las partes interesadas, la empresa debe iniciar un proceso de evaluación y revisión de sus políticas y prácticas de seguridad. Esto incluye reevaluar todos los controles de seguridad, acceso, credenciales con un alto nivel de acceso, así como implementar medidas adicionales para prevenir futuros incidentes.

Paralelamente a la revisión y análisis de los sistemas y procesos afectados, la empresa también debe centrarse en la recuperación de los sistemas y el restablecimiento de sus operaciones. Esto implica limpiar todos los sistemas afectados, aplicar parches de seguridad, restaurar copias de seguridad y revalidar los controles de acceso. Es fundamental garantizar que los sistemas sean completamente seguros antes de volver a ponerlos en funcionamiento.

Una vez que los sistemas vuelvan a estar operativos, se requiere una revisión posterior al incidente para identificar lecciones aprendidas y áreas de mejora. Esta revisión debe involucrar a todas las partes relevantes y dar como resultado un informe final que destaque las causas del incidente, las acciones tomadas, los impactos y las recomendaciones para mejorar la postura de seguridad de la empresa en el futuro.

Además de las acciones técnicas y organizativas, gestionar un incidente de seguridad requiere un enfoque proactivo en la gobernanza y la cultura de la seguridad. Esto incluye implementar un programa continuo de mejoras de ciberseguridad y promover una cultura corporativa que valore la seguridad y la privacidad.

La reacción ante un incidente de seguridad requiere un conjunto de acciones coordinadas y bien planificadas, alineadas con los requisitos de la LGPD. Desde la contención inicial y la comunicación con las partes interesadas hasta la recuperación del sistema y la revisión posterior al incidente, cada paso es esencial para minimizar los impactos negativos y garantizar el cumplimiento legal. Más que eso, es necesario observar los defectos de frente y corregirlos. Sobre todo, un incidente debería llevar la estrategia de ciberseguridad de la empresa a un nuevo nivel.