Protocolo para reaccionar frente a un ciberataque
15 de Septiembre de 2023
Pamela Alarcón Arias
Socia de Derecho Penal y Compliance
Philippi Prietocarrizosa Ferrero DU & Uría (PPU)
pamela.alarcon@ppulegal.com
Estefanía López González
Asociada nivel 1
Philippi Prietocarrizosa Ferrero DU & Uría (PPU)
estefania.lopez.g@ppulegal.com
Con el auge de las tecnologías de la información y la comunicación (TIC) y su uso cotidiano en el marco del relacionamiento empresarial, principalmente como herramienta para el desarrollo de los negocios, cada vez son más las compañías que son víctimas de ataques a sus sistemas informáticos.
Tanto es así que ayer distintos sistemas de diferentes entidades estatales sufrieron un ataque de ciberseguridad tipo ransomware, impidiendo su acceso con normalidad, según dio a conocer IFX Networks, empresa que almacena los datos de algunas de estas entidades, el Consejo Superior de la Judicatura y la Fiscalía General de la Nación, a través de sus redes sociales. Lea Atención se presentan fallas en servicios digitales de la Rama Judicial.
De acuerdo con el reporte realizado por el Centro Cibernético de la Policía Nacional, de enero a octubre del año 2022, en Colombia se presentaron alrededor de 54.121 denuncias por delitos informáticos, superando en 11.223 casos la cifra del 2021. Esto demuestra que, con el auge de las TIC, también aumentan los riesgos asociados al uso de las mismas.
Entre ellos se encuentran los riesgos de que terceros accedan al sistema informático de la compañía o intercepten comunicaciones al interior de este, al identificar una brecha de seguridad que les permite obtener los datos que necesitan.
Siendo así, para prevenir y responder ante un ciberataque, se puede seguir el siguiente protocolo:
1. Identificación del contexto: consiste en reconocer el entorno del ataque, entender qué ocurrió, bajo qué circunstancias, para poder, posteriormente, establecer las posibles causas de la amenaza.
2. Control del riesgo: este paso consiste en el control de la situación que representa una amenaza a partir de la identificación y activación de las políticas, pólizas y herramientas internas para reducir los daños.
3. Apoyo forense: en esta fase lo que se busca es que, con la colaboración de expertos, logremos recolectar las huellas del ataque, que nos van a servir, posteriormente, tanto en el marco de una investigación penal, como en el fortalecimiento de las brechas de seguridad para mejorar la seguridad a través de la identificación de vulnerabilidades.
4. Seguimiento: a través de este paso lo que se busca es supervisar el entorno, el contexto y las condiciones después del ataque, con el fin de prevenir que el atacante vuelva a sentirse cómodo y capaz de desplegar otro ataque similar o de otra naturaleza.
5. Prevención: por último, una vez reestablecido el orden y funcionamiento normal de la compañía y sus respectivos sistemas, es importante adoptar las medidas de prevención a futuro para detectar ataques rápidamente y poder desplegar una respuesta oportuna encaminada a evitar el sufrimiento de daños irreparables o la pérdida de información.
Ahora bien, para mitigar los riesgos asociados a los ciberataques no basta con contar con un área de tecnología, dado que los atacantes suelen ser personas altamente calificadas para burlar los sistemas de seguridad existentes. Sin embargo, la materialización de estos puede reducirse considerablemente si se involucra un equipo de compliance.
Si consideramos que los sistemas de compliance que conocemos tienen como objetivo la gestión y prevención de riesgos legales, operacionales y reputacionales, resulta lógico que, para elaborar una estrategia fuerte de ciberseguridad, se implemente un sistema de administración de riesgos de tecnología informática o de delitos informáticos, basado en las etapas de identificación, segmentación, control y monitoreo del riesgo.
Para lo anterior, es indispensable contar con un equipo especializado en gestión de riesgos que, además, conozca las técnicas que emplean estas personas y los delitos asociados a estos eventos.
En consecuencia, un equipo de compliance aportará la identificación y segmentación de factores de riesgos en términos de brechas de seguridad informática, desde su experiencia, considerando: (i) los cargos al interior de la compañía y sus funciones; (ii) contrapartes con las cuales se tiene relacionamiento; (iii) procesos internos por áreas; (iv) las jurisdicciones en las cuales se tiene presencia, se opera o se ubican las contrapartes, y (v) el sector económico en el que se enmarcan las actividades empresariales.
De este modo, una vez identificados los factores de riesgos, se podrá medir la posibilidad de que se materialice un evento en la compañía y, al evaluarlos con los controles de ciberseguridad que se encuentran implementados, se conocerán los niveles de riesgo resultantes.
Lo anterior, permitirá la elaboración de una estrategia de ciberseguridad conjunta con el área de tecnología para implementar controles suficientes que funcionen de manera oportuna, efectiva y eficiente frente a cada brecha de seguridad y factor de riesgo identificado, de manera que el aporte del equipo de compliance se traduce en una disminución de la probabilidad de materialización de los riesgos.
Finalmente, para que esta disminución se vea realmente reflejada, es importante desarrollar capacitaciones guiadas por el equipo de compliance con el fin de que los funcionarios de la compañía reconozcan un ciberataque, principales formas en las cuales se presenta, cómo informar alguna situación sospechosa, los controles con los que cuenta la compañía y cómo se puede mitigar la ocurrencia de estos eventos a través de la implementación de protocolos de ciberseguridad.
Opina, Comenta