Los fallos, incidentes y ataques de ciberseguridad son, por desgracia, habituales en nuestro entorno empresarial basado en la tecnología. A menudo es difícil comprender realmente toda la profundidad y amplitud del panorama actual de las amenazas, especialmente con las violaciones de datos a gran escala que están pasando de moda.

Sin embargo, no todos los incidentes de datos son violaciones de datos. Exploremos las diferencias con más detalle:

• Incidente: Un evento de seguridad que compromete la integridad, confidencialidad o disponibilidad de un activo de información. Esto puede incluir ataques de ingeniería social, ataques a aplicaciones web, o cualquier variedad de amenazas potenciales que no han causado daños tangibles – todavía.
• Brecha: Un incidente que resulta en la divulgación confirmada – no sólo la exposición potencial – de datos a una parte no autorizada. Entre ellos se encuentran los ataques de ingeniería social, los ataques a aplicaciones web básicas, las instrucciones del sistema, el uso indebido de privilegios y los errores del usuario.

En otras palabras, puede que los ciberdelincuentes no siempre roben información, pero sí pueden tener un impacto negativo en su organización. Además, no responder a un incidente a tiempo puede convertirse rápidamente en una infracción. Por ejemplo, si se detecta una vulnerabilidad en la API de su sitio web, es posible que un actor malicioso se esté preparando para lanzar un ataque, y es el momento de actuar rápidamente para evitar graves ramificaciones.

La creación de un plan de respuesta a incidentes puede ahorrarle dinero a su organización al crear un conjunto de procesos bien definidos para que su equipo de ciberseguridad siga una vez que descubra un incidente. Estos procesos reducen el tiempo que tarda el equipo en identificar, investigar, contener y extraer a un actor de la amenaza de los sistemas, redes y aplicaciones. Definir y ensayar un plan de respuesta permitirá identificar las lagunas que pueden remediarse antes de que se produzca un incidente real.

Cuanto más rápido pueda su organización afrontar y neutralizar un incidente de seguridad, mejor podrá hacer frente a una posible brecha a largo plazo y facilitará el plan de respuesta a ciberataques. Por lo tanto, es crucial formar proactivamente un plan de respuesta integral. Cuando trabaje en su propio plan de respuesta, hay seis pasos que deben incluirse:

1. Preparación

La etapa de preparación de la respuesta a incidentes implica la identificación y categorización de los datos, aplicaciones, usuarios, redes, sistemas y dispositivos de alto riesgo. Además, su organización debe revisar el conocimiento actual de las amenazas y el riesgo empresarial contextual actual para crear los escenarios más probables de violación de datos.

2. Identificar

Este paso se centra en comprender el comportamiento normal dentro de un entorno en lugar de establecer alertas cuando se produce un comportamiento anormal. Por ejemplo, una alerta de ataque de robo de credenciales podría basarse en el número de veces que alguien intenta iniciar sesión en una cuenta pero falla.

Una de las partes más difíciles del proceso de identificación es establecer correctamente las alertas. Si el comportamiento anormal se define de forma demasiado general, su equipo de seguridad puede dedicar demasiado tiempo a las falsas alertas, o empezar a ignorarlas por completo. Por otro lado, establecer alertas demasiado específicas puede hacer que se pierdan actividades sospechosas o de riesgo.

3. Contención

Este paso es el proceso de aislar la amenaza y evitar que el actor de la amenaza se introduzca en sus redes y sistemas. A corto plazo, esto podría significar el aislamiento de un segmento de la red o la desactivación de un sistema. A largo plazo, podría significar la eliminación de cuentas o la aplicación de un parche de seguridad.

4. Erradicación

La erradicación consiste en eliminar todo lo que el actor malicioso utilizó como parte del ataque. Por ejemplo, esto podría significar eliminar de forma segura el malware o los archivos infectados que formaban parte del ataque.

5. Recuperación

Durante esta etapa, el equipo de respuesta a incidentes devuelve las redes, sistemas, cuentas y aplicaciones afectadas a su estado «previo al ataque». Esto puede significar recuperarlas a un punto de copia de seguridad anterior, así como validar los sistemas para asegurarse de que la vulnerabilidad que utilizaron los atacantes está parcheada.

6. Lecciones aprendidas

Posiblemente, la parte más importante del proceso de respuesta a incidentes, la etapa de lecciones aprendidas, es la discusión posterior a la recuperación que ayuda a determinar lo que funcionó, lo que no funcionó y lo que se puede mejorar para el futuro. Este paso crucial le ayudará a crear un plan de respuesta cada vez más potente y duradero.

Ver Ciberseguridad Durante una Guerra

La creación de un plan de respuesta a ciberataques puede parecer difícil. Sin embargo, seguir algunas prácticas para crear un plan sólido le ayudará a empezar con buen pie. Veámoslo más de cerca.

No reinventes la rueda

Al igual que las violaciones de datos no son nuevas, tampoco lo son los planes de respuesta a incidentes. Algunas organizaciones de tecnología proporcionan algunas prácticas de prueba básicas para establecer un plan de respuesta a incidentes y ciberataques. O bien, visitar los foros en línea en los que se reúnen los equipos de seguridad puede ayudarle a aprender buenas prácticas interesantes y específicas. Esto le ayudará a crear una base sólida para su propio plan único.

Identificar los datos más importantes

No todos los datos son iguales: su plan de respuesta a ciberataques debe dar prioridad a los datos sensibles. Comience por consultar a varios equipos de su organización sobre sus activos de datos más importantes. Por ejemplo, los documentos que contienen propiedad intelectual o datos de clientes altamente sensibles deben ser una prioridad absoluta. Una vez que haya acordado lo que constituye datos sensibles, aplique una evaluación de riesgos para todos los tipos de datos. Esto le ayudará a priorizar los bienes a proteger en caso de emergencia.

Hacer que el plan sea fácil de aplicar

Cada uno debe conocer su propia función y responsabilidades en el plan de respuesta y tener las habilidades y herramientas necesarias para cumplirlas. Si sus empleados no están totalmente preparados para la nueva responsabilidad, considere la posibilidad de consultar a un tercero para mantener sus datos lo más seguros posible.

Garantizar que su organización cuenta con procesos de ciberseguridad de vanguardia puede ser una carrera de resistencia interminable. Las amenazas evolucionan constantemente y mantener el ritmo requiere mucho tiempo, energía y dinero, y esto es doblemente cierto si su organización se ve afectada por un incidente o una infracción.

Muchas organizaciones preferirían que sus equipos de TI se centraran en innovar su enfoque de la ciberseguridad en lugar de dedicar tiempo y recursos a las actividades de investigación y respuesta. Actualmente, es el momento de fomentar la formación en ciberseguridad en las empresas.

Ver Protección contra Ciberataques: ¿Cómo Protegerse?