OpiniónSeguridad

¿Estamos preparados para el día después de un ciberataque durante una campaña electoral?

Eran Brown, CTO de Infinidat EMEA.

Eran Brown, CTO, INFINIDAT EMEA
Eran Brown, CTO, INFINIDAT EMEA

Estos días, en España todo está en ebullición, todos estamos pendientes de un proceso electoral más incierto que nunca, y además de enorme trascendencia, ya que los resultados determinarán no solo el alcance del cambio que se ha de producir, sino que también mostrarán de qué color son los pensamientos de los españoles en la actualidad.

Pero, además de la voluntad popular, hay factores que pueden afectar seriamente los resultados y, ante un panorama de tal igualdad, pueden condicionar decisivamente el futuro de todo un país. Tanto partidos políticos como cualquier otra organización o entidad pública que esté involucrada en procesos de este tipo pueden sufrir un ciberataque o una brecha de seguridad en el marco de la campaña electoral e incluso durante los comicios. Por tanto, es necesario estar preparados para reaccionar, minimizar su impacto y recuperar la normalidad. En pocas palabras, es necesaria una planificación exhaustiva y en profundidad para prepararse ante un posible "día después".

Desde luego, se puede aprender del mundo del mundo empresarial, porque es innegable que hacer frente a un escenario horrible como el que estamos comentando (en el que elementos hostiles manipulan los resultados de unas elecciones para servir a oscuros intereses) es un caso similar al de una corporación que es atacada, y sus actividades suspendidas. En ambos casos, el daño a la reputación puede ser irreversible, e imposible la capacidad de recuperación. La clave está en el manejo de los datos.

En lo que respecta al manejo de la información, la estrategia para el "día después" estará basada en cualquier caso en tres objetivos principales: saber qué ha pasado (insights), realizar una rápida recuperación y estar preparados ante un posible nuevo ataque. Para conseguirlo hay dos mecanismos clave:

  • -              En primer lugar, recopilar pruebas sobre la información a documentar sobre el proceso y definir el método de recopilación, de forma que esa información (quién accedió al sistema, cuál es la fuente de acceso, qué métodos de identificación se utilizaron...) pueda analizarse para investigar retrospectivamente cómo se produjo la brecha. Es importante localizar todas las pruebas, ya que, en los últimos años, los hackers utilizan malware que corrompe proactivamente la información que los rodea “autodestruyendo” los datos que permitirían detectarlos.
  • -              El segundo mecanismo es el análisis de información, la investigación y la respuesta ante el incidente. Esto se suele realizar en los centros de operaciones de seguridad (SOC), donde se responderán las preguntas críticas: ¿Cómo y cuándo tuvo lugar la brecha? ¿Pueden aún los hackers acceder a la información o a los sistemas? ¿Qué podemos saber de ellos? ¿Cómo neutralizar su actividad? ¿Ha participado alguien desde dentro?

Lo que une a estos dos mecanismos es que ambos dependen de la información, y de la capacidad de recuperarla fácil y rápidamente. Y, si estamos en un proceso electoral, la sociedad no puede esperar meses a que la información se recupere y se analice hasta conocer los resultados.

Al planificar la seguridad será necesario garantizar un nivel de rendimiento que permita producir los datos y análisis precisos en el momento en que se necesitan

En otras palabras, al planificar la seguridad será necesario garantizar un nivel de rendimiento que permita producir los datos y análisis precisos en el momento en que se necesitan. Sin embargo, la información a menudo se guarda en medios que no están disponibles para su recuperación inmediata (por ejemplo, en cinta, un medio barato pero que dificulta la recuperación).

En el mundo de las infraestructuras modernas, hay opciones que utilizan tecnologías avanzadas para localizar, identificar y recuperar información, con mecanismos que permiten monitorizar de forma precisa las ciberamenazas y detectar ataques activos. Estas soluciones, además, incluyen nuevos modelos como la gestión inteligente de snapshots, que permite una recuperación rápida y efectiva sin necesidad de transferir terabytes de información desde los destinos de backup. Un aspecto por lo demás esencial durante un proceso electoral, ya que, en caso de brecha, será necesario recuperar un gran volumen de información en muy poco tiempo.

En resumen, una organización, ya sea un estado o una empresa, debe examinar y aprovechar las herramientas de infraestructura que están a su disposición para llevar a cabo una planificación completa y exhaustiva de los mecanismos que dan soporte al análisis de las cuestiones críticas el “día después” de un ciberataque. Las nuevas tecnologías ofrecen una solución efectiva, y, además, implican una estrecha cooperación entre el personal de infraestructura, el personal de seguridad y el personal de desarrollo, para una implementación efectiva, una rápida recuperación y, en definitiva, para convertir un escenario de desastre en la sociedad en un escenario positivo que permita retornar cuanto antes a una rutina saludable.

Computing 780