Incidente de seguridad, ciberseguridad y privacidad de la información
Entre quienes integren el grupo, se deben identificar incidentes de seguridad de la
información que hayan conocido o experimentado. Seleccionar uno de ellos y describirlo de acuerdo al documento anexo.
Grupo Integrantes N°
Nombre del incidente
El incidente tuvo lugar en un medio de comunicación local a
través de un ataque de ransomware, comprometiendo los sistemas de información de la organización, incluyendo archivos Breve descripción del históricos y copias de seguridad. Como consecuencia, la incidente organización se vio privada del acceso a datos críticos y enfrentó la amenaza de extorsión por parte de los atacantes.
- Pérdida de datos críticos: El ataque de ransomware
ocasionó la pérdida de datos fundamentales para la empresa, impactando la disponibilidad de: * Sistema ERP * Otros aplicativos * Servicios web * Archivo histórico multimedia
- Encriptación de archivos esenciales: Los atacantes
Consecuencias o impacto del encriptaron archivos esenciales, dificultando el acceso incidente a información vital.
- Afectación en la operatividad empresarial: La operación
normal de la empresa sufrió graves interrupciones debido a la falla en los sistemas y servicios.
- Compromiso de la información contable: La información
contable crítica se vio comprometida, lo que puede tener repercusiones a largo plazo en la gestión financiera de la empresa. Documentos - N/A. físicos - Bases de datos ERP Documentos - Archivos aplicativos locales digitales - Copias de seguridad - Archivos históricos - ERP Software - Aplicativos locales Activos de Hardware - Servidor principal Información involucrado Equipo auxiliar - Discos duros externos de copias de seguridad s Instalaciones - Datacenter on premise - ERP Servicios - Aplicativos complementarios - Intranet (Histórico multimedia) - Personal TIC Personas - Personal administrativo Otros Solución dada Para la solución del incidente, se llevaron a cabo las siguientes actividades: Reinstalación del sistema operativo del servidor: Se llevó a cabo una reinstalación completa del sistema operativo en el servidor afectado para asegurar un entorno limpio y seguro. Depuración de archivos y desinfección de archivos con antivirus: Se realizó una depuración exhaustiva de archivos en busca de malware y se desinfectaron los archivos identificados como amenazas. Desencriptación de algunas copias de seguridad: Se logró desencriptar algunas de las copias de seguridad al descubrir vulnerabilidades en el algoritmo de encriptación utilizado por los atacantes. Implementación de un sistema de virtualización: Se implementó un sistema de virtualización para mejorar la seguridad y la separación de servicios dentro de la infraestructura. Separación de servicios aprovechando el sistema de virtualización: Se reorganizaron y separaron los servicios aprovechando la tecnología de virtualización, lo que contribuyó a reducir el riesgo de propagación de futuros ataques. Definición de un protocolo de copias de seguridad más eficiente: Se estableció un protocolo de copias de seguridad más eficiente y seguro para garantizar la disponibilidad y la integridad de los datos en el futuro. La prevención de este tipo de incidentes, como un ataque de ransomware, requiere una combinación de medidas de seguridad y buenas prácticas. Aquí hay algunas formas en las que se podría haber evitado:
1. Control de configuración de infraestructura: Mantener un
control riguroso sobre la configuración de la infraestructura, incluyendo servidores y sistemas de red, para asegurarse de que estén actualizados, correctamente configurados y que cuenten con las últimas actualizaciones de seguridad.
2. Política de seguridad de la información: Establecer y hacer
cumplir una sólida política de seguridad de la información que aborde cuestiones como la gestión de contraseñas, la autenticación de usuarios, la limitación de acceso privilegiado y la concienciación de los empleados sobre las amenazas de seguridad.
3. Control de accesos: Implementar controles de acceso robustos
para limitar quién tiene acceso a los sistemas y datos críticos. Esto incluye autenticación multifactorial, políticas de contraseñas fuertes y revocación rápida de accesos no autorizados.
4. Plan de contingencia: Desarrollar planes de contingencia que
¿Cómo pudo evitarse? incluyan escenarios de ataques de ransomware. Estos planes deben incluir procedimientos claros para la detección temprana, la respuesta rápida y la recuperación de datos en caso de un ataque.
5. Copia de seguridad y recuperación de datos: Realizar copias de
seguridad regulares y almacenarlas de forma segura fuera del alcance de posibles ataques. Además, probar regularmente la capacidad de recuperación de datos para asegurarse de que las copias de seguridad sean efectivas.
6. Educación y concienciación de los empleados: Capacitar a los
empleados en la detección de amenazas de seguridad, como correos electrónicos de phishing, y fomentar una cultura de seguridad en toda la organización.
7. Actualización y parcheo: Mantener todos los sistemas y
software actualizados con las últimas correcciones y parches de seguridad para cerrar posibles vulnerabilidades.
8. Monitoreo y detección de amenazas: Implementar herramientas
de monitoreo y detección de amenazas para identificar y responder rápidamente a cualquier actividad inusual en la red.