Security

Cómo actuar ante un ataque cibernético con WSO2 Identity Server

11th octubre 2019

La seguridad de los procesos y los datos es una de las principales preocupaciones de cualquier organización empresarial que esté inmersa en la digitalización. Para 2024, las incidencias en este ámbito, a nivel mundial, alcanzarán un coste de 5 billones de dólares, según la Consultora de Tecnología Digital Juniper Research. Esto supone que el incremento es del 11% con respecto al año anterior, y que en los últimos 5 años el aumento del acumulado del coste derivado de ciberataques y otras amenazas ha crecido un 70%.

A continuación,  conoceremos qué es un ataque de ciberseguridad, cómo se debe actuar ante uno y cómo se puede detectar. También expondremos cuáles son las mejores medidas preventivas y explicaremos cómo WSO2 Identity Server puede ser muy útil frente a este tipo de ataques

 

¿Qué debo de hacer ante un ataque cibernético?

Con independencia de lo grande o pequeña que sea el tamaño de una empresa, cualquiera de sus datos y documentos, así como la información de sus clientes, es susceptible de sufrir una violación de datos o un ataque cibernético. Esto no solo la dejaría expuesta, sino que puede conllevar daños con serias secuelas. Si nuestra empresa es víctima de un ataque cibernético, deben considerarse las siguientes medidas para ayudar a minimizar el daño:

  1. Detener el ataque y preservar las pruebas.

La rapidez de actuación puede ser clave en el caso de detectar una violación de datos procedente del exterior. Entre las acciones inmediatas que se pueden tomar para intentar contener una violación de datos está la desconexión de todos los servidores y equipos de Internet, la desactivación de todos los accesos remotos, la comprobación de que los cortafuegos están activos y la instalación de cualquier actualización de los sistemas, referente a la seguridad, que estuviera pendiente.

Aunque es común tratar de eliminar todos los datos después de sufrir el ciberataque, es preferible evaluar previamente qué servidores han sido comprometidos y contenerlos lo más rápido posible para asegurarse de que otros servidores o dispositivos no se infecten también. Por otra parte, conservar las evidencias del ataque servirá para comprobar cómo se produjo la violación y quién fue su responsable.

 

  1. Modificar las contraseñas.

Aquellas contraseñas que se han visto afectadas o que resulten ahora vulnerables deben ser modificadas, creando unas nuevas y seguras para cada cuenta y servicio.

  1. Evaluar el alcance del ataque cibernético.

Determinar cuál ha sido la causa de la brecha de seguridad ayuda a que el mismo tipo de ataque no vuelva a suceder. A la hora de establecer el alcance, es importante distinguir si el ataque que hemos sufrido forma parte de un ataque más amplio o somos la única víctima. Debemos preguntarnos quién tiene acceso a los servidores infectados, qué conexiones de red estaban activas cuando se produjo la infracción y cómo se inició el ataque.

Verificar los registros de datos de seguridad a través del cortafuegos puede contribuir a que conozcamos con precisión cómo se inició la infracción.  También los proveedores de correo electrónico, el programa antivirus o el sistema de detección de intrusos. Se debe valorar la opción de realizar una inversión para contratar los servicios de una empresa especializada en el análisis de ataques cibernéticos. Por otra parte, se deben identificar los daños afectados por la violación, lo que incluye a los propios empleados, a los clientes y a los proveedores externos.

  1. Gestionar las consecuencias del ataque dentro y fuera de la organización

Es imprescindible notificar a los gerentes y empleados que se ha producido esta violación de seguridad, de manera que todos sean conscientes de la gravedad del suceso y pueda establecerse una comunicación constante acerca del ataque. En el caso de contar con un seguro de responsabilidad civil específico para estos fines, se debe notificar a la compañía de seguros.

En cuanto a los clientes, puede que sea necesaria la consulta a un asesor legal para determinar la mejor manera de informarles. Se debe poner un especial énfasis en ser transparente, instaurando una línea directa de acción especial específica para responder a cuestiones que planteen los afectados.

En el futuro, realice frecuentes comprobaciones de seguridad para ayudar a reducir la probabilidad de que vuelva a ocurrir un incidente en el futuro.

 

Cómo WSO2 Identity Server puede ayudarme a salvaguardar la seguridad de mis datos

WSO2 Identity Server es un producto IAM de código abierto especializado en la gestión de acceso, lo que incluye la gestión de identidades, SSO, autenticación fuerte y adaptable, gestión de cuentas y aprovisionamiento de identidades, así como seguridad de API y microservicios y regulación de la privacidad.

La autenticación adaptativa es una forma evolucionada de MFA en la que los pasos de autenticación pueden configurarse e implementarse de tal manera que el sistema decida qué pasos evaluar durante el proceso de autenticación en función del perfil de riesgo del usuario y del comportamiento. Esto significa que si el nivel de riesgo es alto, las capas de autenticación se pueden reforzar, mientras que si es bajo, se pueden ignorar varias capas de autenticación.

De forma predeterminada, el WSO2 Identity Server se envía con autenticación basada en nombre de usuario/contraseña. La seguridad de la autenticación se puede reforzar añadiendo pasos de autenticación adicionales. WSO2 Identity Server permite configurar la autenticación de varios pasos en los que se puede definir una cadena de autenticación que contiene diferentes autenticadores en diferentes pasos. Pero es que, además, WSO2 Identity Server es compatible con la autenticación multifactorial, con autenticadores disponibles para SMSOTP, FIDO, MEPin y mucho más.