En teoría, responder a una brecha de datos debe ser sencillo. Alerte a todos los afectados, comunique los pasos siguientes y luego haga planes para que no vuelva a ocurrir. Pero no siempre funciona de esa manera.
En septiembre de 2016, Yahoo anunció que los datos asociados con 500 millones de cuentas de usuario fueron robados dos años antes. En diciembre, la compañía reveló que otros 1.000 millones de cuentas fueron hackeadas en 2013.
Yahoo fue criticado por el Congreso por tomar demasiado tiempo para informar la brecha. Luego, como es conocido, Marissa Mayer (CEO) renunció, la adquisición de Verizon por $ 4,83 mil millones de Yahoo se retrasó y finalmente el precio se redujo en $ 350 millones.
Aquí se ofrecen cinco consejos para ayudar a que las compañías estén listas para responder cuando se produzca el próximo ataque. Debido a que la respuesta efectiva de incidentes es difícil, y la mayoría de las organizaciones fallan cuando llega el momento de ponerla en acción.
1. Construye un Playbook.
Un manual de respuesta a incidentes (IR) incluye procesos paso a paso para todo lo que haces en una respuesta de incidente, desglosado por área de tarea. El manual de instrucciones de IR debe incluir instrucciones específicas para realizar la respuesta a incidentes en su entorno con sus herramientas.
2. Obtener bases de datos del sistema.
Durante un incidente, las líneas de base del sistema valen su peso en oro. Ayudan a los que responden a incidentes a entender lo que parece ser normal para que puedan concentrarse sólo en los nuevos procesos, controladores y claves de registro de un sistema. A menudo analogizamos un incidente a la iluminación de un sótano oscuro por primera vez. Para un extraño, puede haber muchas vistas potencialmente aterradoras cuando se encienden las luces, pero para alguien que conoce bien este sótano, no hay nada que temer. Más acertadamente, porque saben lo que se supone para mirar como, pueden centrarse solamente en las cosas que aparecen fuera de lugar.
3. Incorporar personal no tradicional.
Algunos roles de miembros del equipo, como «experto en forensics de red» son inclusiones evidentes en un equipo de respuesta a incidentes. Sin embargo, algunos roles de equipo son menos evidentes, para incluir a abogados, PR y líderes de la unidad de negocio. PR y legal tendrán que estar involucrados si el incidente se hace público, así que comprométales desde el principio. Y el liderazgo de la unidad de negocio es fundamental – después de todo, usted está aquí para apoyar el negocio (no al revés). Lleve a cabo el liderazgo de la unidad de negocio temprano para entender cómo las actividades de respuesta a incidentes propuestas afectarán sus operaciones.
4. Realice los ejercicios de simulación periódicamente.
Realice simulaciones en las que un líder de ejercicios guía al equipo de IR a través de escenarios utilizando una serie de inyecciones. El propósito de esto es asegurar que el personal esté listo para situaciones que tal vez no hayan pasado previamente. A diferencia de una respuesta de incidente tradicional, el personal no realizará todas las acciones de la respuesta a incidentes, sino que asignará recursos para manejar problemas y verbalizar tareas. Un personal de IR bien entrenado puede caminar a través de uno o dos incidentes completos en un solo día. La mayoría de los equipos de IR deben realizar por lo menos una simulación por trimestre, e idealmente una vez al mes.
5. Aprenda a hablar de negocios.
Cada negocio tiene su propio idioma, y los respondedores de incidentes necesitan aprender el idioma del negocio. No hay duda de que quien responde debe saber más acerca de la respuesta al incidente que el negocio, pero que a menudo no es la percepción cuando la jerga técnica oscura se utiliza para «comunicarse». IR debe escuchar cómo los líderes empresariales se comunican entre sí y usan el mismo lenguaje para asegurar el éxito.
Fuente: http://my.socialtoaster.com/splash/6s88z/