Según un estudio realizado por Radware, cuarenta por ciento de los encuestados globales todavía carecen de un plan formal de respuesta a incidentes. Es un defecto peligroso. ¿Cómo se puede planificar qué hacer sin saber qué recursos estarán disponibles en el momento del ataque?
Por supuesto, no todos los ataques son iguales. Para muchas organizaciones, ocuparse de cierto umbral de ataques de bajo nivel se ha convertido en un lugar común. Pero algunos realmente causan serias interrupciones que representan una amenaza potencial para el negocio y deben ser manejados de inmediato. ¿Cómo puede saber cuál es cuál?
Paso 1 – Muestre sus riesgos
Es posible que esté gastando significativamente en las pruebas de penetración y en la última tecnología para la protección de endpoints hasta los teléfonos móviles BYOD. Aun así, es posible que esté pasando por alto las brechas críticas. Piensa en todo. Utilice un proceso bidireccional en el que dibuje su organización desde adentro hacia afuera, comprenda su arquitectura actual de seguridad de la información y busque vulnerabilidades. Considere quién podría querer hacerle daño, por qué y qué significa que tal vez tenga que hacerlo. Estos actores pueden incluir hacktivistas, ransomers, competidores o incluso miembros insatisfechos o clientes.
Paso 2 – Comprender el Impacto
Algunos costos se pueden agregar fácilmente a la ecuación: ¿Cuál es el costo de un minuto de tiempo de inactividad? ¿Una hora? ¿Hay cargos legales o multas que le enfrentarían si se comprometieran? ¿Cuál sería el costo diario de investigar un ataque (factor de mano de obra interna, así como los costos de atención de los ejecutivos y servicios de socios tecnológicos)?
Otros impactos financieros son más difíciles de determinar. Un buen ejemplo es el impacto de la reputación, que puede variar dependiendo de la gravedad del ataque y cuánto tiempo pasa su organización en los titulares.
Paso 3 – Priorizar las misiones críticas
Después de estimar los diferentes impactos, se hace más fácil determinar qué es esencial para que la organización continúe funcionando. Dar prioridad a los procedimientos y procesos empresariales, involucrando a la dirección ejecutiva tanto para su aporte como para su endoso y asignación de recursos. En la medida de lo posible, utilice indicadores clave de desempeño para ayudar a medir la eficiencia del plan de respuesta a incidentes.
Paso 4 – Elija su equipo
Una vez que haya definido los procesos críticos, identifique al personal dedicado para ejecutarlos. El plan de respuesta a incidentes no puede ser competencia exclusiva del equipo de seguridad cibernética; Otros actores clave de la organización también deben saber orquestar las misiones críticas cuando se enredan en una crisis. Para los aspectos de seguridad de la información de la infracción, su equipo debe incluir a los mejores expertos en seguridad de la organización. No sólo deben saber la mejor manera de configurar el producto, sino también saber cómo pensar como un hacker.
El equipo ideal de respuesta a incidentes tiene administradores de sistemas que están muy familiarizados con los recursos de TI y cómo hacer copias de seguridad de los datos; Administradores de red que conocen los protocolos de red y pueden redirigir dinámicamente el tráfico; Y personal de seguridad de la información que sabe cómo rastrear y rastrear los problemas de seguridad, así como realizar análisis post-mortem de los sistemas comprometidos.
La encuesta industrial de Radware revela que un tercio de las organizaciones tienen un equipo de respuesta a incidentes con talentos tecnológicos probados. Otro quinto dicen que su equipo tiene expertos con una largo trayectoria en seguridad de TI. Mientras que otros indicaron que tienen una mezcla de hackers, expertos y talento tecnológico. Alarmantemente, un porcentaje similar informa que no hay ningún equipo de respuesta a incidentes.
Aquellos con una combinación de conocimientos técnicos, de seguridad y de hackers, tenían más probabilidades de reportar haber experimentado y con éxito mitigado los ataques. Aquellos que son sólo hackers de sombrero blanco indicaron que experimentaron estos ataques pero no los mitigaron.
Aunque no siempre sea posible, busque la redundancia de personal dentro de su equipo de respuesta a incidentes. Si la profundidad en las áreas centrales no es aplicable a su organización, haga un tren cruzado siempre que sea posible. Para cualquier organización, confiar la seguridad e integridad de datos a un solo individuo pone a toda la empresa en extremo riesgo.
Paso 5 – Pruebe, revise, adapte
Un plan de respuesta a incidentes nunca está «completo». Después de todo, el panorama de la amenaza es dinámico. Lo mismo ocurre con cada negocio y su red, información y recolección de proveedores en los que se apoya para soportar las operaciones. Cuando ocurre una crisis, no hay lugar para el error; Su respuesta debe ser rápida y decisiva. Para cumplir con ese alto estándar, simule habitualmente «situaciones de emergencia» y la practique responder a ellas. Al hacerlo, su organización desarrollará una metodología que fomente la velocidad y la exactitud mientras minimiza el impacto de los recursos no disponibles y el daño potencial en caso de que ocurra una crisis real. Estas simulaciones deben incluir no sólo el equipo de respuesta de ciberseguridad sino también los responsables del plan de comunicaciones, junto con sus socios tecnológicos, proveedores de servicios y líderes ejecutivos relevantes.
Si confía únicamente en recursos internos para la respuesta a incidentes, la práctica es aún más crucial. La encuesta de este año encontró que la mayoría de los encuestados recurren a los equipos internos de respuesta a emergencias cuando necesitan mitigar un ataque cibernético. Las empresas de APAC tienen más probabilidades que las de Norteamérica y Europa de confiar en proveedores de seguridad (50% frente a 30% y 24%, respectivamente).
En cuanto a seguridad, generalmente es aconsejable invertir en prevención y detección. Con los ataques cibernéticos es probable que afecten a todos los negocios en cierta capacidad, la preparación es un paso importante para mitigar con éxito y minimizar el estrago financiero, reputacional y legal que un ataque puede causar.
Fuente: Global application & network Security Report 2016-17 – Radware