Quan es produeix un ciberatac, el temps és el factor més crític. Cada minut d’indecisió pot significar més dades xifrades, més sistemes compromesos o més temps sense operar. La diferència entre una empresa que supera un incident i una que tanca sovint no és la sofisticació de les seves defenses, sinó tenir un pla clar de què fer quan alguna cosa falla.
Un Pla de Resposta davant Incidents (PRI) és un document que defineix, abans que es produeixi cap incident, qui fa què, com i quan. No has de ser una gran corporació per tenir-ne un: de fet, les PIMEs són les que més el necessiten, precisament perquè no tenen equips dedicats que improvisen sobre la marxa.
Segons l’INCIBE, les empreses que tenen un pla de resposta documentat redueixen l’impacte econòmic d’un incident en un 60-70% respecte a les que improvisen.
Què és un incident de ciberseguretat
Un incident de ciberseguretat és qualsevol esdeveniment que comprometi o amenaci la confidencialitat, integritat o disponibilitat dels sistemes o dades de la teva empresa. L’error humà és responsable del 88% dels incidents, segons el Verizon DBIR.
Exemples d’incidents comuns en PIMEs:
- Infecció per malware o ransomware
- Phishing exitós: un empleat revela credencials
- Accés no autoritzat a sistemes o dades (inclòs per ex-empleats)
- Pèrdua o robatori d’un dispositiu amb dades
- Bretxa de dades: exposició accidental de dades de clients
- Frau del CEO: transferència bancària a un compte fraudulent
Les cinc fases de la resposta a incidents
L’estàndard internacional en gestió d’incidents (NIST SP 800-61) defineix cinc fases:
Fase 1: Preparació
Tot el que fas ABANS que es produeixi l’incident per estar a punt. És la fase més important i la més descuidada:
- Documentar el pla de resposta
- Definir rols i responsabilitats
- Establir canals de comunicació d’emergència
- Tenir els contactes clau a mà (INCIBE, proveïdors de IT, asseguradora, assessor legal)
- Mantenir còpies de seguretat verificades
- Formar l’equip en el pla
Fase 2: Detecció i identificació
Reconèixer que s’ha produït un incident i determinar la seva naturalesa i abast. El temps de detecció mitjà d’un atac sofisticat és de 197 dies (IBM Security).
Senyals d’alerta:
- Rendiment inusualment lent de sistemes o xarxa
- Fitxers que no es poden obrir o tenen extensions estranyes
- Usuaris que no poden accedir als seus comptes
- Missatges de rescat a la pantalla
- Alertes de l’antivirus o EDR
Fase 3: Contenció
Aturar la propagació del dany.
Fase 4: Eradicació i recuperació
Eliminar la causa arrel de l’incident i restaurar els sistemes.
Fase 5: Lliçons apreses
Analitzar què va passar, per què i com evitar que torni a passar.
Com crear un Pla de Resposta per a la teva PIME
Pas 1: Defineix els rols i responsabilitats
| Rol | Responsabilitats | Qui a la teva empresa |
|---|---|---|
| Responsable d’Incidents | Coordina la resposta, pren decisions, comunica a l’exterior | Gerent o director d’operacions |
| Responsable Tècnic | Aïlla sistemes, investiga la causa, recupera dades | Tècnic IT intern o proveïdor extern |
| Responsable de Comunicació | Comunica amb clients, mitjans, empleats | Gerent o responsable de màrqueting |
| Responsable Legal | Gestiona obligacions legals (AEPD, autoritats) | Assessor jurídic extern |
Pas 2: Defineix els nivells de criticitat
| Nivell | Descripció | Exemple | Temps de resposta |
|---|---|---|---|
| Crític | Impacte directe en l’operació del negoci | Ransomware, bretxa massiva de dades | Immediat (minuts) |
| Alt | Impacte significatiu però negoci parcialment operatiu | Infecció d’un servidor, compte compromès | 1-2 hores |
| Mitjà | Impacte limitat, negoci operatiu | Spam massiu des del teu domini | 4-8 hores |
| Baix | Incident menor sense impacte operatiu immediat | Intent de phishing detectat | 24-48 hores |
Pas 3: Documenta el procediment de resposta
Procediment per a ransomware
Contenció immediata (primers 15 minuts):
- Desconnectar de la xarxa (cable i WiFi) els equips afectats
- No apagar els equips (pot destruir evidències)
- Alertar tots els empleats perquè desconnectin els seus equips si tenen símptomes
- Desconnectar físicament els dispositius de backup connectats a la xarxa
Avaluació (15-60 minuts):
- Identificar quins equips estan afectats
- Determinar quines dades han estat xifrades
- Verificar l’estat de les còpies de seguretat
- Identificar la família de ransomware (cerca a nomoreransom.org)
Notificació:
- Trucar a l’INCIBE (017)
- Notificar a l’AEPD si hi ha dades personals afectades (72 hores màxim)
- Contactar amb l’asseguradora de ciberrisc si en tens
Recuperació:
- Reinstal·lar sistemes operatius des de zero
- Restaurar dades des de còpies de seguretat netes i verificades
- Reconectar gradualment a la xarxa amb monitorització intensiva
Pas 4: Llista de contactes d’emergència
| Contacte | Dades |
|---|---|
| INCIBE (línia d’ajuda 24/7) | 017 |
| Policia Nacional (delictes informàtics) | 091 |
| Guàrdia Civil (delictes telemàtics) | 062 |
| AEPD (notificació de bretxes) | aepd.es |
| Proveïdor IT de guàrdia | [el teu proveïdor] |
| Asseguradora ciberrisc | [la teva asseguradora] |
| Assessor legal | [el teu advocat] |
Pas 5: Comunicació durant l’incident
Comunicació interna:
- Informa els empleats del que ha passat i del que han de fer.
- Estableix un canal de comunicació alternatiu si el correu està compromès.
Comunicació externa (si és necessària):
- Si hi ha clients afectats, comunica-ho de forma proactiva, clara i honesta.
- Evita prometre terminis de recuperació que no pots garantir.
Comunicació amb les autoritats:
- Notifica a l’AEPD si hi ha dades personals afectades (obligatori en 72 hores).
- Denuncia davant les Forces de Seguretat.
Exercicis de simulació: posar el pla a prova
Un pla que no s’ha provat és un pla que fallarà en el pitjor moment. Realitza almenys una vegada a l’any un exercici de simulació:
Tabletop exercise: Reuneix l’equip de resposta i simula un escenari d’incident. Recorre el pla pas a pas, identificant què funciona i què no.
Simulació tècnica: Realitza una restauració de backup completa, simula l’aïllament d’un equip infectat o prova el procés de notificació a l’AEPD amb un escenari fictici.
Continuïtat de negoci: més enllà de la ciberseguretat
El Pla de Resposta davant Incidents és una part d’un concepte més ampli: el Pla de Continuïtat de Negoci (PCN). Per a una PIME, un PCN bàsic ha de respondre a:
- Com continuem atenent els clients si els sistemes estan caiguts?
- Quins processos crítics s’han de restaurar primer?
- Quin nivell d’interrupció podem tolerar i durant quant de temps?
L’INCIBE ofereix una guia gratuïta sobre continuïtat de negoci per a PIMEs disponible a la seva web.
Conclusió
El Pla de Resposta davant Incidents no és un document que només necessiten les grans empreses. És, potser, l’eina de ciberseguretat més important que pot tenir una PIME, perquè no requereix grans inversions tecnològiques: requereix temps, planificació i documentació.
Tenir clar què fer abans que es produeixi un incident és la diferència entre la supervivència i el tancament. Dedica unes hores a crear el teu pla avui, abans de necessitar-lo.
Recorda: si pateixes un incident, l’INCIBE (017) està disponible les 24 hores de forma gratuïta per ajudar-te.
Aquest article és de caràcter educatiu i no constitueix un servei professional de ciberseguretat. Consulteu un especialista certificat per a solucions específiques a la vostra empresa.