El plan preventivo que toda empresa debería tener en caso de ataques cibernéticos

Tener un orden dentro de las organizaciones respecto a documentos y datos que se manejan, es algo fundamental y trae diferentes beneficios. Hoy, el uso de la nube digital está reemplazando al papeleo, lo que permite una mejor gestión, disponibilidad e incluso menores costos. Sin embargo, hay que tener en cuenta los riesgos cuando se trabaja en esta modalidad.

Durante septiembre, en Chile se conoció que el Estado Mayor Conjunto de las Fuerzas Armadas sufrió un hackeo masivo, el que expuso miles de documentos de áreas sensibles de la defensa. Por esos días, el Poder Judicial sufrió también un ciberataque que afectó a parte de su red informática. 

Un error común, en relación a ciberseguridad, es que empresas e instituciones no cuenten con un programa de contingencia para enfrentar este tipo de casos y evitar la pérdida de datos y costos económicos.  “Se debe tener un plan tipo ‘Operación Deyse’, como en los colegios, para saber qué hacer. Por ejemplo, si los datos de toda la vida de la empresa están en un solo computador y lo roban, es necesario contar con una copia de todos esos datos en otro dispositivo para poder seguir trabajando”, comenta Paula Pinto, gerente de Ciberseguridad Regional de Orión.

Plan de Emergencia

Según explica la experta, un plan preventivo integral para ciberataques no solo se debe tener claridad respecto de los datos a proteger, sino también, al igual que los proyectos de contingencia, definir los puntos críticos que no deben faltar. Ello permitirá mitigar el problema y, además, tener claridad de los hechos ocurridos y cómo mejorar las medidas preventivas. 

Ver más: Cuidado con los engaños que aprovechan la Copa del Mundo

Paula Pinto aseguró que “existen diferentes opciones, desde generar un BCP o Business Continuity Plan, a constituir internamente un Comité de Crisis, identificando los riesgos y responsables”. Agregó que un buen plan es seguir esquemas de trabajo o frameworks reconocidos en el mercado de la Ciberseguridad, como los Controles de Seguridad Críticos (CIS), que contienen un conjunto de recomendaciones que toda institución o empresa debería tener en cuenta respecto a defensa informática. En este caso es importante tener como base el inventario activo de hardware y software, monitoreo continuo y gestión de las vulnerabilidades encontradas.

Cada organización es diferente y tiene distintos riesgos. Lo importante es que “este plan debe estar publicado, ser específico y lo más importante es que se practique cada cierto tiempo”, señala la experta de Orión.

Por otra parte, muchas veces se tiene conciencia de las falencias que existen con respecto a seguridad digital y, aun así, no se toman medidas para parchar ciertas “puertas” que podrían dejarse abiertas para el robo de datos. “Es importante saber dónde está el riesgo, hay que tener en cuenta que esto siempre va variando, cada minuto cambia. Por esto siempre hay que estar viendo qué pasa con la seguridad de la empresa”, dijo. 

También es importante considerar que la Ley N° 19.628 o Ley de Protección de la Vida Privada, regula el trato de los datos de carácter personal, en registros o bancos de datos, por organismos públicos o privados. Pero aunque esta existe y obliga al resguardo de esos datos, muchas organizaciones tienen problemas de ciberseguridad respecto de ellos.