viernes, 14 de octubre de 2011

Qué debe hacer después de un ataque informático


[BREACH]Elwood Smith








Es la pesadilla de todas las empresas. Imagine que su departamento técnico ha detectado actividad sospechosa en la red corporativa. Sus clientes y empleados caen presas de fraudes de tarjetas de crédito y robo de identidad. Su empresa ha sido hackeada y cunde el pánico. Entonces, ¿qué hacer?
En primer lugar, respire profundo y recuerde que no está solo. El año pasado, 662 organizaciones dieron a conocer violaciones de datos, de acuerdo con Identity Theft Resource Center, una entidad sin fines del lucro. La cifra incluye tanto robos y accidentes en el mundo real como ciberataques.
Recuerde que un ataque no tiene por qué ser una experiencia paralizante para la empresa. Aunque es probable que los negocios sufran un revés financiero, el impacto será pasajero si es manejado de manera adecuada.
Hay una serie de pasos importantes que las empresas deben dar cuando se descubre la violación. A continuación, lo que puede hacer:
No se desconecte: el instinto natural, cuando alguien descubre que ha sido hackeado es apagar la computadora. Esa es una mala idea. Desconectarla de Internet y de la red corporativa puede ayudar a prevenir que la infección se propague. Pero apagar la máquina puede también borrar evidencia valiosa que podría ayudar a los investigadores a determinar qué ha sido robado y su nuevo destino. Una gran cantidad de contenido malicioso reside en la memoria de la computadora y no en el disco duro. Al apagar el equipo se borra la memoria y con ello muchos rastros de la intrusión.
Llame a profesionales: hay muchas empresas especializadas en la investigación forense posterior a los ataques; póngase en contacto con ellas. Además debe denunciar el ataque. En general, la policía local no tiene los recursos necesarios para investigar un caso de piratería informática, pero hacer una denuncia es a menudo necesaria para cobrar el seguro.
Mantenga una cadena de custodia: de aquí en adelante, no sólo debe tratar de detener la intromisión, sino también prepararse para las inevitables consecuencias legales. Puede que no resulte demandado, pero en ese caso tendrá que demostrar que respondió de manera apropiada a la invasión. Mantenga registro de cada persona que toque una computadora o servidor involucrado y todos sus movimientos.
Averigüe si la violación sigue activa: no asuma que porque una computadora afectada ya ha sido limpiada o eliminada se acabó el peligro. El hacker pudo haber tomado el control de varias computadoras. En esta etapa, su trabajo es dejar que los profesionales hagan una búsqueda exhaustiva en sus sistemas. Sea paciente; la investigación puede tomar varios días.
Detenga la hemorragia: luego de que los profesionales evalúen el problema, desconecte de Internet las PC infectadas. Los investigadores tomarán una imagen digital de la información en ellas, por lo que usted podrá borrar sus contenidos. Además, bloquee todo el acceso desde y hacia cualquiera de las direcciones de Internet involucradas. También averigüe cómo se coló el hacker, para tapar ese agujero.
Descubra qué le robaron: esto puede ser lento y frustrante, pero es importante hacerlo bien, así que no tome atajos y resista la tentación de suspender la caza antes de tiempo.
Averigüe a quién debe informar: en esta etapa trabaje con los abogados. Existen leyes que especifican cuándo una empresa tiene que informar a la gente cuyos datos personales fueron expuestos a una filtración.
Pida disculpas: una carta de notificación sobre el ataque dejará claro que usted ha llegado hasta el fondo del asunto. Recalque que ha tomado medidas para evitar otra invasión.

No hay comentarios:

Publicar un comentario