Trabajo Secuestro de Información

Trabajo: Nos hemos dado cuenta de que un usuario informa que ha sido coaccionado para entregar las claves del citrix (sino va a matar a su familia), han extraído y borrado el archivo de finanzas y se han llevado los ficheros de clientes, además un usuario de adentro sigue coaxionando al afectado.

Nombres:
Tomeu Pons
Manuel Alejandro Asenjo
Fecha: 
17 de junio de 2014



Objetivo: identificar los ficheros afectados, colaborar con las autoridades pertinentes, restaurar la funcionalidad de la organización.

Alcance: área de clientes y finanzas, usuarios con nivel de acceso a citrix, verificación de la información por Open Source Intelligence.

Herramientas: cámaras de vigilancia, monitorización de hardware, software, canales y usuarios, recursos otorgados por las autoridades competentes.

Realizar un informe que tenemos un problema de fuga de información al comité de dirección de la organización y las autoridades que competen.

El usuario coaccionado nos informa que ha entregado las claves citrix por teléfono, procedemos a buscar más usuarios comprometidos a través de las herramientas disponibles que poseemos, se avisa a las autoridades cual fue el medio utilizado para transmitir la información para que realicen el peritaje.

Si las autoridades lo creen oportuno establecer una caja negra para que el/los infiltrados siguieran extrayendo la información para su rastreo.

Monitorizar los accesos a través de la plataforma citrix y verificar los logs (usuario, fecha, hora y ubicación de acceso). Realizar una comparativa de los últimos meses para detectar un uso inadecuado.

Controlar la integridad de las copias de seguridad, establecer un plazo de tiempo de acuerdo al proceso de las autoridades para realizar una auditoría en las áreas afectadas y restablecer las copias de seguridad.

Realizar una búsqueda OSINT para controlar que no sea afectado el carácter personal de los clientes, ni la imagen de la organización.

Recomendación: esperar la resolución de las autoridades pertinentes en el caso y del comité de dirección, posteriormente realizar todas las acciones pertinentes para la continuidad del negocio (política de acceso, mejorar el acceso a citrix a través de un método combinado de acceso; implantar una formación al personal de cómo actuar bajo esta situación; Política de Contrato de Personal, que afecta al área de personal; Política de uso de ficheros, área de finanzas, que se requiera una doble comprobación para el eliminado de ficheros críticos, etc.).

Fdo: Tomeu Pons y Manuel Alejandro Asenjo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*