En el contexto de las actuales tensiones internacionales, Francia es objeto de numerosos ciberataques. Sus consecuencias pueden ser desastrosas para las empresas, desde la paralización de actividades hasta el robo de datos sensibles. Fuentes de estrés, los ciberataques complican la toma de decisiones de los responsables de TI y limitan su impacto. La anticipación se convierte entonces en una necesidad. ¿Cómo prepararse para afrontar una crisis? ¿Cómo reaccionar adecuadamente una vez que ella esté allí?
" Hay dos tipos de organizaciones: las que ya han sido víctimas de un ciberataque y las que próximamente lo serán. » afirma, un poco provocativamente, Guillaume Poupard, director general de la Agencia Nacional de Seguridad de los Sistemas de Información (Anssi).
Una crisis cibernética se puede abordar de dos maneras: o la soportamos, con todos los peligros de las medidas de emergencia adoptadas, o la anticipamos. Lamentablemente, el policía de ciberseguridad destaca la falta de anticipación por parte de las empresas. Por este motivo, Anssi les anima encarecidamente a adoptar medidas preventivas. La agencia identifica cinco medidas prioritarias a implementar en el corto plazo para prepararse ante cualquier eventualidad.
1. Fortalecer los procedimientos de autenticación
Es necesario fortalecer las cuentas más sensibles, las de los administradores de los sistemas de información (SI) de la empresa y las de las personas más expuestas (directivos, altos ejecutivos, etc.). Anssi recomienda la implementación de una autenticación de identificación sólida de dos factores.
Por lo tanto, para acceder a la red, por ejemplo, será necesario combinar una contraseña segura y soporte de hardware (tarjeta inteligente, token USB, tarjeta magnética, etc.). Como mínimo, un código recibido por SMS puede servir como segundo medio de identificación.
Este sistema de autenticación de dos factores ya existe desde 2019 para los establecimientos bancarios.
2. Aumentar el monitoreo de la red
En caso de ciberataque, el tiempo de reacción se vuelve fundamental. Por tanto, la preparación es fundamental para poder reaccionar lo más rápido posible cuando llegue el momento. Es por esto que Anssi recomienda la implementación de un monitoreo global y permanente de la red. Esto permitirá identificar un posible compromiso lo antes posible y abordarlo lo antes posible. En caso de falta de supervisión general, Anssi aconseja “ Centralizar registros de los puntos más sensibles del sistema de información. » como puntos de entrada VPN, escritorios virtuales, controladores de dominio o hipervisores.
Los administradores de seguridad de TI deberán investigar cualquier anomalía que normalmente podría ignorarse, como conexiones anormales a los controladores de dominio y cualquier alerta de antivirus y soluciones EDR (detección y respuesta de endpoints).
3. Realizar copias de seguridad de datos y aplicaciones sin conexión
Realizar “copias de seguridad periódicas de todos los datos de la empresa, incluidos los presentes en los servidores de archivos, la infraestructura y las aplicaciones comerciales”, insiste Anssi.
Para evitar el ransomware, las copias de seguridad deben desconectarse de la red para evitar el cifrado. Se debe dar prioridad al uso de soluciones de almacenamiento en frío (discos duros y cintas magnéticas).
Las copias de seguridad deben restaurarse periódicamente para garantizar su integridad y evitar errores durante la restauración.
4. Identificar servicios críticos
En caso de ataque se deben priorizar las acciones de seguridad. Para ello, primero se debe haber establecido un inventario de los servicios digitales de la empresa y priorizarlos según su carácter crítico para la continuidad del negocio de la empresa.
Anssi también pide que se tengan en cuenta las dependencias de los proveedores de servicios.
5. Preparar una gestión de crisis adaptada a un ciberataque
Un ciberataque puede desestabilizar el funcionamiento de la empresa. Las funciones de soporte como la telefonía, la mensajería, pero también las aplicaciones empresariales, suelen ser las primeras en quedar fuera de servicio. La empresa tendrá que funcionar entonces en modo degradado, a veces a riesgo de volver al papel y al lápiz.
Dependiendo de su gravedad, un ciberataque provoca una interrupción parcial de la actividad que, en los casos más graves, llega a una interrupción total.
La empresa debe crear una unidad de crisis y definir un plan de respuesta destinado a implementar un plan de continuidad del negocio (PCA) o un plan de recuperación de TI (PRI). Suficiente para permitir que la empresa opere en modo degradado y restaurar los sistemas y datos lo más rápido posible para volver a una situación normal.
