En el actual clima de tensión internacional, Francia se está viendo afectada por un gran número de ciberataques. Las consecuencias de estos ataques pueden ser desastrosas para las empresas, desde la paralización de las operaciones hasta la pérdida de datos. robo de datos sensible. Los ciberataques son una fuente de estrés, complican el proceso de toma de decisiones de los responsables informáticos y limitan su impacto. La anticipación se convierte en una necesidad. ¿Cómo prepararse para una crisis? ¿Y cómo reaccionar una vez que se produce?
“ Existen dos tipos de organizaciones: las que ya han sido víctimas de un ciberataque y las que pronto lo serán. " Guillaume Poupard, Director General de la Agencia Nacional Francesa de Seguridad de los Sistemas de Información (Anssi).
Una crisis cibernética puede afrontarse de dos maneras: o se hace frente a ella, con todos los riesgos de las medidas de emergencia, o se anticipa. Por desgracia, el organismo de control de la ciberseguridad pone de relieve la falta de previsión de las empresas. Por eso Anssi les insta a poner en marcha medidas preventivas. La agencia ha identificado cinco medidas prioritarias que deben aplicarse a corto plazo para prepararse ante cualquier eventualidad.
1. Refuerzo de los procedimientos de autenticación
Las cuentas más sensibles, las de los administradores de los sistemas de información (SI) de la empresa y las de las personas más expuestas (directivos, altos ejecutivos, etc.) deben reforzarse. Anssi recomienda implantar una autenticación fuerte de dos factores.
Por ejemplo, para acceder a la red, será necesario combinar una contraseña segura con un dispositivo de hardware (tarjeta inteligente, token USB, tarjeta magnética, etc.). Como mínimo, se puede utilizar un código recibido por SMS como segundo medio de identificación.
Este sistema de autenticación de dos factores ya existe desde 2019 para los bancos.
2. Aumentar la supervisión de la red
En caso de ciberataque, el tiempo de reacción es crucial. Por tanto, la preparación es esencial para poder reaccionar lo más rápidamente posible llegado el momento. Por ello, Anssi recomienda establecer una vigilancia global permanente de la red. De este modo, se podrá identificar y tratar cualquier compromiso lo antes posible. A falta de vigilancia global, Anssi recomienda " centralizar los registros de los puntos más sensibles del sistema de información "Estos incluyen puntos de entrada VPN, escritorios virtuales, controladores de dominio e hipervisores.
Los responsables de seguridad de SI tendrán que investigar cualquier anomalía que pudiera ignorarse en circunstancias normales, como conexiones anómalas a controladores de dominio y cualquier alerta de software y soluciones antivirus. EDR (Detección y respuesta de puntos finales).
3. Copia de seguridad de datos y aplicaciones sin conexión
Realice "copias de seguridad periódicas de todos los datos de la empresa, incluidos los de los servidores de archivos, servidores de infraestructura y aplicaciones empresariales", insiste Anssi.
Para evitar ransomwareLas copias de seguridad deben desconectarse de la red para evitar el cifrado. Hay que dar preferencia a las soluciones de almacenamiento en frío (discos duros y cintas magnéticas).
Las copias de seguridad deben restaurarse periódicamente para garantizar su integridad y evitar errores durante la restauración.
4. Identificar servicios críticos
En caso de ataque, hay que priorizar las medidas de seguridad. Para ello, primero hay que hacer un inventario de los servicios digitales de la empresa y priorizarlos en función de lo críticos que sean para la continuidad de la actividad de la empresa.
Anssi también pide que se tengan en cuenta las dependencias de los proveedores de servicios.
5. Preparar la gestión de crisis en caso de ciberataque
Un ciberataque puede desestabilizar las operaciones de una empresa. Las funciones de apoyo, como la telefonía y la mensajería, así como las aplicaciones empresariales, suelen ser las primeras en quedar fuera de servicio. La empresa tendrá entonces que operar en modo degradado, a veces con el riesgo de volver al lápiz y el papel.
Dependiendo de la gravedad del ataque, un ciberataque puede causar la interrupción parcial o, en los casos más graves, total de la actividad empresarial.
La empresa tendrá que crear una célula de crisis y definir un plan de respuesta destinado a aplicar un plan de continuidad de la actividad (PCA) o un plan de recuperación de TI (PRI). Esto permite a la empresa operar en modo degradado y restaurar sistemas y datos lo más rápidamente posible para volver a una situación normal.
