Nínguna compañia esta exenta de una brecha de seguridad en su infraestructura y de la misma manera en que la prevención se vuelve un tema a profundizar la acciones post hackeo deben tener el mismo nivel de importancia, en esta entrada hablaremos sobre el tema.
A medida que los ataques se vuelven más complejos, perjudiciales y más frecuentes que nunca, la calidad de nuestra respuesta se vuelve crítica para disminuir el impacto. De hecho, una pronta reacción de un equipo de respuesta a incidentes (IR) ahorra un promedio de $ 400,000 en daños por fuga de datos según el Ponemon Institute en una investigación patrocinada por IBM.
Este estudio demostró que los equipos de seguridad están esforzándose por construir programas de respuesta a incidentes fortalecidos y más proactivos, pero claramente tienen algunos desafíos serios. Dos tercios de los profesionales de TI y seguridad no confían en la capacidad de recuperación de su organización. Y tres cuartas partes de ellos no tienen un plan de seguridad cibernética que se aplique de forma coherente en toda su organización.
El estudio también sugirió una guía clave para aumentar la resiliencia cibernética, en concreto mejor planificación y preparación. Resolver y mitigar con éxito un ciberataque requiere una acción rápida, inteligente y decisiva, contar con un plan es vital, aquí enumeramos tres cosas que incluir y consejos sobre cómo prepararse antes de una brecha:
1. IDENTIFICAR E INVOLUCRAR A COLABORADORES INTERNOS
Contar con una estrategia de respuesta a incidentes es una prioridad para toda organización, donde todas las unidades de negocio desempeñen un papel crítico en la resolución exitosa de un ataque. Los equipos legales, recursos humanos y finanzas deben participar para asegurar el cumplimiento de las regulaciones y entender las responsabilidades en caso de incumplimiento o cuando se enfrenta a un ataque interno. En el peor de los casos, el departamento de marketing y los ejecutivos de la organización pueden necesitar intervenir para abordar los medios de comunicación en caso de defender la reputación de la empresa.
Durante un incidente, los líderes de seguridad deben coordinar con estas partes según sea necesario, proporcionando orientación específica sobre la naturaleza del incidente, lo que se les pide y cuando necesitan actuar. Por ejemplo, en el caso de un ataque de ransomware, ¿quién toma la decisión de pagar o no el rescate o determina el valor comercial de los datos expuestos?
Antes de que ocurra un incidente, involucre a estos grupos en el proceso de planificación de respuesta a incidentes y hagales saber lo que se espera de ellos. También es recomendable incluirlos en simulaciones y ejercicios, para asegurarse de que están preparados para actuar cuando sea necesario.
2. INVESTIGAR EL ALCANCE COMPLETO DEL ATAQUE
Esto puede parecer un paso obvio, pero en el mundo actual de las amenazas persistentes avanzadas y las campañas específicas, la comprensión del alcance de un ataque puede ser difícil.
Poseer una estrategia fuerte en inteligencia de amenazas proporciona a los equipos de seguridad una arma fuerte para obtener un contexto sobre incidentes. Aprovechando los indicadores de compromiso; tácticas, técnicas, procedimientos y diversos elementos de un incidente, los analistas pueden discernir si un ataque es un incidente aislado o parte de una campaña más grande contra de la organización. La inteligencia de amenazas también ayuda a entender la identidad del adversario y su objetivo: ¿Es el adversario un solo atacante, parte de un grupo de delincuencia organizada? ¿Que información es el objetivo; propiedad intelectual, la información de cliente o empleados? Al comprender estos aspectos en un ataque puede determinar con mayor precisión el alcance de su desafío y a quién involucrar.
3. MEDIR EL IMPACTO REGULATORIO
El impacto regulatorio de una violación puede ser uno de los aspectos más costosos de un ataque exitoso. No es ninguna sorpresa, pero el estudio anteriormente mencionado mostró que las industrias más reguladas, incluyendo del sector salud y financiero, incurrieron en mayores costos de violación de datos.
El desafío se reduce a dos factores: regulaciones complejas e inconsistentes y plazos límite ajustados. Para cualquier incidente, es importante que su equipo legal participe en una etapa temprana y proporcione a los miembros del equipo los detalles que necesitan para tomar decisiones rápidas y precisas. Estar preparado para esto va a ser aún más crítico en el futuro conforme a regulaciones locales e internacionales que sancionaran fuertemente a las compañias que expongan información sensible. Muchas empresas inteligentemente están preparando, planificando y evaluando su capacidad para cumplir hoy.
La respuesta al incidente es la función de seguridad más centrada en el ser humano, más que la prevención y la detección. Reunir procesos, gente y tecnología como un todo coherente es todo un reto de nível crítico.
Al tomar medidas hoy para desarrollar, practicar y refinar los procesos de respuesta a incidentes, los equipos estarán mucho más capacitados para manejar y mitigar con éxito el daño cuando inevitablemente se produzca.
CONOCE MAS SOBRE EL FACTOR HUMANO EN SEGURIDAD DE LA INFORMACIÓN
DESCARGA DANDO CLICK A LA IMAGEN
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*John Bruce/DarkReading/2017