En el contexto de las actuales tensiones internacionales, Francia es objeto de numerosos ciberataques. Sus consecuencias pueden ser desastrosas para las empresas, desde la paralización de actividades hasta el robo de datos sensibles. Fuentes de estrés, los ciberataques complican la toma de decisiones de los responsables de TI y limitan su impacto. La anticipación se convierte entonces en una necesidad. ¿Cómo prepararse para afrontar una crisis? ¿Cómo reaccionar adecuadamente una vez que ella esté allí?
" Hay dos tipos de organizaciones: las que ya han sido víctimas de un ciberataque y las que próximamente lo serán. ", afirma Guillaume Poupard, Director General de la Agencia Nacional Francesa de Seguridad de los Sistemas de Información (ANSSI).
Una crisis cibernética puede afrontarse de dos maneras: o se hace frente a ella, con todos los riesgos de las medidas de emergencia, o se anticipa. Por desgracia, el organismo de control de la ciberseguridad pone de relieve la falta de previsión de las empresas. Por eso la ANSSI les insta a poner en marcha medidas preventivas. La agencia ha identificado cinco medidas prioritarias que deben aplicarse a corto plazo para prepararse ante cualquier eventualidad.
1. Fortalecer los procedimientos de autenticación
Las cuentas más sensibles, las de los administradores de los sistemas de información (SI) de la empresa y las de las personas más expuestas (directivos, altos ejecutivos, etc.) deben reforzarse. La ANSSI recomienda la implantación de una autenticación fuerte mediante dos factores de identificación (2FA).
Por ejemplo, para acceder a la red, será necesario combinar una contraseña segura con un dispositivo de hardware (tarjeta inteligente, token USB, tarjeta magnética, etc.). Como mínimo, se puede utilizar un código recibido por SMS como segundo medio de identificación.
Este sistema de autenticación de dos factores ya está disponible para los bancos desde 2019.
2. Aumentar el monitoreo de la red
En caso de ciberataque, el tiempo de reacción es crucial. Por lo tanto, la preparación es esencial para poder reaccionar lo más rápidamente posible llegado el momento. Por ello, la ANSSI recomienda establecer una vigilancia global y permanente de la red. De este modo, se podrá identificar y tratar cualquier compromiso lo antes posible. A falta de vigilancia global, la ANSSI recomienda " Centralizar registros de los puntos más sensibles del sistema de información. » como puntos de entrada VPN, escritorios virtuales, controladores de dominio o hipervisores.
Los administradores de seguridad de TI deberán investigar cualquier anomalía que normalmente podría ignorarse, como conexiones anormales a los controladores de dominio y cualquier alerta de antivirus y soluciones EDR (detección y respuesta de endpoints).
3. Realizar copias de seguridad de datos y aplicaciones sin conexión
Realizar "copias de seguridad periódicas de todos los datos de la empresa, incluidos los de los servidores de archivos, servidores de infraestructura y aplicaciones empresariales", insiste la ANSSI.
Para evitar el ransomware, las copias de seguridad deben desconectarse de la red para evitar el cifrado. Se debe dar prioridad al uso de soluciones de almacenamiento en frío (discos duros y cintas magnéticas).
Las copias de seguridad deben restaurarse periódicamente para garantizar su integridad y evitar errores durante la restauración.
4. Identificar servicios críticos
En caso de ataque se deben priorizar las acciones de seguridad. Para ello, primero se debe haber establecido un inventario de los servicios digitales de la empresa y priorizarlos según su carácter crítico para la continuidad del negocio de la empresa.
La ANSSI también pide que se tengan en cuenta las dependencias de los proveedores de servicios.
5. Preparar la gestión de crisis para los ciberataques
Un ciberataque puede desestabilizar el funcionamiento de la empresa. Las funciones de soporte como la telefonía, la mensajería, pero también las aplicaciones empresariales, suelen ser las primeras en quedar fuera de servicio. La empresa tendrá que funcionar entonces en modo degradado, a veces a riesgo de volver al papel y al lápiz.
Dependiendo de su gravedad, un ciberataque provoca una interrupción parcial de la actividad que, en los casos más graves, llega a una interrupción total.
La empresa tendrá que crear una célula de crisis y definir un plan de respuesta destinado a aplicar un plan de continuidad de la actividad (PCN) o un plan de recuperación en caso de catástrofe (PRC). Esto permitirá a la empresa operar en modo degradado y restaurar los sistemas y datos lo antes posible para volver a una situación normal.
