Si bien las empresas invierten más en ciberdefensas y se toman la ciberseguridad más en serio que nunca, las intrusiones a los sistemas y los ataques de ransomware están en aumento. Sabemos que una violación a la seguridad no es inevitable, es necesario tomar acciones para fortalecer el estado de la ciberseguridad de una empresa que permitirá minimizar los riesgos de un ciberataque y el impacto derivado de una catástrofe.
Las empresas deben enfrentar el hecho de que deben preparar, y educar a la organización con un plan de respuesta bien pensado en caso de un ataque cibernético exitoso. Obviamente, el peor momento para planificar su respuesta a un ciberataque es cuando sucede.
Planificación para lo peor
El viejo adagio «esperar lo mejor, planificar para lo peor» no es del todo exacto aquí. La mayoría de las empresas están trabajando activamente para protegerse de los ataques cibernéticos y ciertamente no solo esperan lo mejor. Aun así, planificar qué hacer después de la infracción de seguridad, es un esfuerzo que vale la pena para que la empresa pueda entrar en acción de inmediato en lugar de esperar a que se concrete el plan. Cuando se produce una infracción y los atacantes tienen acceso a la red, cada segundo cuenta.
Un buen plan documenta principalmente funciones y responsabilidades claras para el equipo de respuesta y define el proceso de alto nivel que seguirá el equipo al responder a un incidente cibernético. Nuestra empresa recomienda seguir el proceso estructurado de 6 pasos definido por el Instituto SANS en su Manual del administrador de incidentes , que por cierto, es un gran recurso de Respuesta ante incidentes.
Los seis pasos descritos son:
- Preparación : revise y codifique una política de seguridad organizacional, realice una evaluación de riesgos, identifique activos confidenciales, defina cuáles son los incidentes de seguridad críticos en los que el equipo debe enfocarse y cree un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT).
- Identificación : supervise los sistemas de TI y detecte desviaciones de las operaciones normales y vea si representan incidentes de seguridad reales. Cuando se descubra un incidente, recopile evidencia adicional, establezca su tipo y gravedad, y documente todo.
- Contención : realice una contención a corto plazo, por ejemplo, aislando el segmento de red que está bajo ataque. Luego, concéntrese en la contención a largo plazo, que implica arreglos temporales para permitir que los sistemas se utilicen en producción, mientras se reconstruyen sistemas limpios.
- Erradicación : elimine el malware de todos los sistemas afectados, identifique la causa raíz del ataque y tome medidas para evitar ataques similares en el futuro.
- Recuperación : vuelva a poner en línea los sistemas de producción afectados con cuidado para evitar ataques adicionales. Pruebe, verifique y supervise los sistemas afectados para asegurarse de que vuelvan a la actividad normal.
- Lecciones aprendidas : a más tardar dos semanas después del final del incidente, realice una retrospectiva del incidente. Prepare la documentación completa del incidente, investigue más a fondo el incidente, comprenda qué se hizo para contenerlo y si se podría mejorar algo en el proceso de respuesta al incidente.