(81) 2474 6594

Gestión de respuesta a incidentes de ciberseguridad.

Por Gabriel Ramírez

 

Dado el aumento reciente de las amenazas a la ciberseguridad y la dificultad de defenderse de ellas, las organizaciones deben centrarse en cómo obtener el máximo rendimiento de sus inversiones en seguridad. El mayor retorno de la inversión en seguridad provendrá de priorizar sus esfuerzos y presupuesto de seguridad, ya que esto disuadirá las amenazas oportunistas y ralentizará (o idealmente detendrá) a los ciberdelincuentes.

Un incidente de seguridad es un evento que afecta la confidencialidad, integridad o disponibilidad de los recursos y activos de información en la organización. Un incidente puede variar desde un impacto bajo hasta un incidente mayor donde el acceso administrativo a los sistemas de TI de la empresa se ve comprometido.

Un incidente de seguridad con frecuencia da como resultado una violación de la información confidencial, pero a veces da como resultado la destrucción operativa/de datos. Una violación de la información personal tiene requisitos legales específicos en muchas jurisdicciones.

Estos tipos de incidentes pueden convertirse en un gran desafío para las organizaciones que no están equipadas o capacitadas para manejar una operación de crisis importante.

Las organizaciones pueden experimentar un incidente importante o deberán responder a preguntas difíciles sobre la prevención, detección y gestión exitosa de un ataque de seguridad cibernética por parte de clientes, socios y la junta directiva.

Muchas organizaciones tienen más probabilidades de enfrentarse a desastres relacionados con ataques cibernéticos que con incendios, terremotos o inundaciones.

Una buena preparación para responder a un ataque de ciberseguridad puede reducir significativamente el riesgo empresarial de un ataque y la dificultad de gestionar la respuesta y la recuperación.

 

Área de Tecnología

 

La preparación para la respuesta y la recuperación de un incidente importante de ciberseguridad debe incluir pasos para proteger, detectar y responder a un incidente.

Identificar activos de alto valor (HVA), deberan identificar los activos comerciales de importancia crítica y su composición técnica (servidores, aplicaciones, archivos de datos, etc.). Este inventario de componentes HVA es fundamental para que los planes de recuperación evalúen, contengan/aíslen y recuperen rápidamente estos activos críticos durante un incidente que se propague por el entorno de producción.

Validar la implementación de software confiable, puede ejecutar rápidamente scripts/instaladores en todos los puntos finales. Según nuestra experiencia, los sistemas de implementación de software incompletos o poco confiables pueden obstaculizar significativamente los esfuerzos de recuperación.

Verificar las capacidades de detección y monitoreo de amenazas: confirme que tiene acceso a herramientas y habilidades que le permiten detectar atacantes avanzados en su entorno.

Rastree y analice los costos de respuesta, esto permite una mejor gestión de riesgos, debe mantener un registro de los costos involucrados en la respuesta al incidente. Esto debe incluir tanto los costos directos (servicios externos, informes crediticios para los clientes, etc.) como el costo del tiempo que su equipo dedica a la investigación y la recuperación, así como el impacto negativo en el negocio y la misión de su organización.

Contar con la capacidad de una copia de seguridad y recuperación validada para datos críticos: por ejemplo, preparación para un ataque destructivo que elimina o cifra datos (como ransomware)

Procedimientos de recuperación de hosts comprometidos tanto para estaciones de trabajo como para servidores.

Generar procedimientos de segregación y aislamiento de la red.

 

Área de Operaciones

 

Gestionar un incidente de ciberseguridad es un evento desafiante lleno de complejidades técnicas, variables desconocidas y emociones elevadas. Debido al impacto potencialmente severo en sus operaciones comerciales, se puede hacer un caso comercial claro para desviar esfuerzos, recursos y tiempo para realizar la planificación y la preparación necesarias para sobrevivir como empresa durante un incidente cibernético.

Recomendamos adoptar un sistema de comando de incidentes (ICS) para la gestión de crisis: los incidentes importantes representan una crisis organizacional y requieren una estructura de comando temporal para administrarlos (si aún no tiene una función permanente para esto).

Establezca un marco: confirme que tiene un marco que define su programa de respuesta a incidentes.

Realice ejercicio periodicos al  proceso de gestión de crisis: establezca un cronograma recurrente para ejercitar equipos y procesos de crisis en escenarios relevantes en todos los niveles de responsabilidad. Este cronograma debe incluir ejercicios de componentes individuales. Así como ejercicios de simulación que incluyen a todas las partes interesadas (incluidos los líderes legales, de comunicaciones y organizacionales).

También debe validar los procedimientos técnicos no intrusivos, incluidas las herramientas de recuperación de copias de seguridad y detección de amenazas durante estos ejercicios.

Proceso de aprobación de emergencia: confirme que tiene un proceso de aprobación de emergencia simplificado para manejar cambios rápidos durante una emergencia/incidente (p. ej., contar con una autoridad para aprobar propuestas de cambio rápido y disposiciones para capturar cambios y comentarios a través del proceso posterior).

Establezca pautas claras para la escalada: documente los umbrales para cuándo las investigaciones internas deben escalar a especialistas y equipos de investigación externos. Estos pueden basarse en el tiempo empleado, la complejidad, el malware desconocido, el adversario específico, etc.

 

Características de un programa de respuesta a incidentes robusto:

 

Debido a la complejidad de las organizaciones modernas, el programa de respuesta ideal variará de una industria a otra y de una organización a otra. Los atributos generales de un programa sólido de respuesta y recuperación ante incidentes son:

  • Prioridades comerciales y liderazgo
  • Operaciones de TI
  • Gestión de la Continuidad del Negocio y Recuperación ante Desastres
  • Contexto de fuentes internas y externas
  • Ejercicios regulares y validación del equipo rojo
  • Alto nivel de familiaridad con el marco de respuesta por parte de todas las partes interesadas
  • Instrucciones detalladas de recuperación técnica (o automatización) para profesionales de TI y seguridad
  • Acceso a competencia técnica con sistemas de seguridad y sistemas comerciales críticos
  • Acceso a experiencia en aspectos operativos, de comunicaciones y legales de incidentes de seguridad.

 

Área de Comunicaciones.

 

De los principales costos y riesgos asociados con la gestión de un incidente de seguridad, el impacto potencial en la marca y la reputación y la pérdida de confianza del cliente podrían ser los más dañinos. Según el estudio de seguridad de Edelman, el 71% de los consumidores globales dijeron que cambiarían de proveedor después de que una empresa sufriera una violación de datos. Más allá del impacto en la reputación, los incidentes de seguridad mal administrados y comunicados pueden afectar la moral de los empleados, así como generar presión regulatoria y litigios.

Las expectativas están cambiando a medida que aumentan los ciberataques. No se espera necesariamente que las organizaciones prevengan los incidentes de seguridad (aunque esto depende de la naturaleza del riesgo), pero se espera que gestionen de manera efectiva las consecuencias de un ataque cibernético. Existe un consenso cada vez mayor de que incluso las organizaciones con sistemas de ciberdefensa altamente sofisticados pueden ser víctimas de un ataque, y que las empresas deben ser juzgadas por lo bien que gestionan un incidente en lugar de si pueden evitar que ocurra en primer lugar.

La comunicación eficaz sobre incidentes de seguridad requiere una planificación cuidadosa, así como una comprensión de la dinámica única inherente a los problemas de ciberseguridad que los diferencia de otros tipos de crisis. A diferencia de los problemas de crisis tradicionales, donde la transparencia y la velocidad suelen ser el curso de acción correcto, existe un gran riesgo al comunicar los hallazgos y detalles iniciales porque la naturaleza compleja de las investigaciones forenses hace que los hechos sean fluidos. Esta dinámica conduce a un mayor potencial para revelar información al principio del proceso de respuesta que luego resulta ser incorrecta. Esto podría conducir a una pérdida de credibilidad, ciclos de noticias adicionales y una mayor cobertura negativa.

A continuación se presentan varios pasos que las organizaciones deberían considerar tomar ahora para estar preparados para manejar un posible incidente:

  • Designe un líder de comunicaciones para que forme parte del equipo central de respuesta a incidentes y confirme que comprende el proceso de respuesta y la ciberseguridad.
  • Desarrollar una parte de comunicaciones de los planes de respuesta a incidentes existentes, incluidos procesos claros de propiedad y aprobación. Muchas empresas tienen planes de respuesta a incidentes técnicos que describen cómo investigar y remediar un problema.
  • Mapear las partes interesadas que pueden necesitar recibir comunicaciones sobre un incidente, incluidos clientes, medios, socios, reguladores, empleados y proveedores. Esto incluye confirmar que la empresa comprende sus obligaciones contractuales de informar a ciertos socios o clientes. A menudo, es posible que los incidentes no requieran divulgación a los reguladores o consumidores, pero aun así deben compartirse con los clientes empresariales de manera oportuna.
  • Desarrolle borradores de comunicados de prensa y otros materiales para los principales tipos de incidentes que más preocupan a su empresa. Estas declaraciones están destinadas a ser utilizadas con la prensa durante las primeras etapas de una investigación cuando aún se desconocen muchos de los detalles del problema.
  • Organice un ejercicio de simulación con miembros de todo el equipo de respuesta a incidentes para probar cómo reaccionarían ante la atención de los medios, el cliente y el regulador debido a un incidente.

 

Área Legal

 

El área legal desempeña cada vez más un papel fundamental en el desarrollo, la implementación y la ejecución proactivos del programa de seguridad cibernética. Al igual que con cualquier área de cumplimiento, los abogados enfocados a seguridad cibernética brindan asesoramiento legal con respecto a las obligaciones legales, contractuales y reglamentarias, así como recomendaciones sobre la gestión y mitigación del riesgo legal que puede resultar de auditorías, investigaciones o litigios.

Los siguientes pasos son algunos de los aspectos clave de los flujos de trabajo en el área  legal:

 

  • Designe un líder cibernético de Legal. Gran parte de la preparación de la respuesta a incidentes de ciberseguridad implica evaluar y gestionar el riesgo legal. Sin una ley general de seguridad cibernética, el abogado debe basarse en un mosaico de estatutos (p. ej., estatutos de notificación estatal), reglamentos, procedimientos de cumplimiento del gobierno, acuerdos y orientación, y tendencias de litigios para evaluar el riesgo.
  • Revisar Políticas y Declaraciones Públicas. Si dices que lo haces,mejor hazlo Eso se aplica no solo a las representaciones públicas (por ejemplo, declaraciones de privacidad, representaciones de servicios), sino también a las políticas de seguridad interna.
  • Desarrollar un Plan de Respuesta a Incidentes. El Plan de Respuesta a Incidentes es el documento operativo clave que reúne diferentes aspectos de la respuesta de una empresa a un compromiso de seguridad o violación de datos. Los reguladores y demandantes se enfocan no solo en las medidas técnicas de seguridad implementadas, sino también en la rapidez, eficiencia y eficacia de la respuesta de la empresa ante un ciberataque.
  • Realizar Evaluaciones y Pruebas de Ciberseguridad bajo la Dirección Legal.

Los resultados de estas evaluaciones se encuentran entre las primeras solicitudes de reguladores y demandantes. Debido a que las organizaciones a menudo no pueden implementar todas las recomendaciones que surgen de estas evaluaciones, los equipos deben hacer juicios basados en el riesgo en torno a los esfuerzos de remediación y mitigación.

 

  • Llevar a cabo sesiones informativas periódicas de la Junta. Los directores no pueden cumplir con sus responsabilidades fiduciarias si no son conscientes de los riesgos. En consecuencia, las juntas deben recibir información periódica sobre los riesgos de seguridad cibernética y recibir suficiente información y asistencia de expertos para comprender y evaluar el riesgo de seguridad cibernética, de modo que puedan gestionar el riesgo de seguridad cibernética de manera efectiva.
  • Administrar proveedores externos. Los terceros con acceso a la red corporativa o datos personales sobre clientes/empleados amplían la superficie de ataque y, a menudo, representan el “eslabón más débil”. Durante la fase de diligencia, los proveedores deben ser evaluados en función de los riesgos que presenten.

 

El objetivo que se persigue con la comunicación de los eventos que se presenten relacionados con la seguridad de la información, es el de garantizar que que las causas, los tratamientos y la solución de dichos eventos sirvan para la implementación de acciones correctivas y preventivas oportunas en casos similares que pudieran presentarse en un futuro. Para lograrlo se deben implementar los canales apropiados que garanticen la agilidad en la comunicación de los eventos de seguridad que pudieran presentarse y permitir que los usuarios reporten las debilidades encontradas o que crean que pueden utilizarse para poner en riesgo la seguridad de la información.

 

Además de contar con un procedimiento para la gestión de incidentes es necesario establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes en la seguridad de información. Estos procesos deben contribuir al logro de la mejora continua en la evaluación y monitoreo de los incidentes en la seguridad de información. Quizá uno de los aspectos más complejos en la gestión de incidentes, pero que puede aportar mayor información para el negocio, es cuantificar el impacto los incidentes de seguridad, para lo cual es recomendable tener un modelo que en función del volumen, los costos asociados y el tipo de incidente permita aproximar a valores en dinero las consecuencias de su ocurrencia.

 

Información obtenida:

Microsoft Enteprise Cybersecurity Group (ECG)

http://aka.ms/IREY Contact Information/Instructions

http://www.ey.com/gl/en/services/advisory/ey-cybersecurity

Edelman Contact Information/Instructions

http://www.edelman.com/expertise/data-security-privacy/

Computer Security Incident Handling Guide (nist.gov)

Importancia de la gestión de incidentes para la seguridad de la información | WeLiveSecurity

 

Noticias y Novedades

Artículos Relacionados

Llena el formulario y uno de nuestros asesores te responderá a la brevedad para aclarar todas tus dudas y/o responder tus comentarios.

This field is for validation purposes and should be left unchanged.

Contáctanos

Ubicación

Torre Cibeles Calle Planificadores N°2802, Fraccionamiento Empleados S.F.E.O. Monterrey, Nuevo León, CP:64909, Piso 9, Oficina 94.

Whatsapp

(81) 3469 7349

Teléfono

(81) 2474 6594

2023 HKMX | Política de Privacidad

| Desarrollado por WHY MARKETING DIGITALWHY AGENCIA DE MARKETING DIGITAL Y PÁGINAS WEB EN MONTERREY
Whatsapp Phone-alt Envelope