Todas las empresas deben tener planes de respuesta a incidentes, que consideren una variedad de situaciones.

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

El panorama de amenazas es complejo y las tácticas utilizadas por los cibercriminales están en constante evolución. En este juego interminable, parece que sin importar los avances en ciberseguridad que los buenos hagan, siempre están en un estado perpetuo de seguimiento. A medida que las tácticas evolucionan, también deberían evolucionar los planes de preparación.

Todas las empresas, independientemente de su tamaño, deberían tener un conjunto de planes de respuesta a incidentes que consideren una variedad de situaciones. Por ejemplo, la acción que se tome ante un ataque de ransomware contra descubrir que un empleado está haciendo algo malicioso es muy diferente. Tener un manual que considere muchos escenarios asegura que no se omita nada. Después de todo, lo último que cualquier empresa quiere hacer durante una crisis es tener una respuesta improvisada ante el incidente.

La respuesta a incidentes requiere una planificación meticulosa; esto es algo con lo que las empresas más pequeñas a menudo tienen dificultades. Aunque no todas las organizaciones tienen los recursos para planificar para cada escenario potencial, el objetivo es llegar a un punto de satisfacción.

Las siguientes consideraciones harán que el proceso sea menos complejo:

Conozca sus activos. Identifique los activos críticos y establezca pasos para reactivarlos en caso de un fallo. Por ejemplo, cree una lista de los sistemas internos que son esenciales para la función del negocio diario. No tiene que ser un ciberataque lo que los desactive. Las fallas de hardware, los desastres naturales y las actualizaciones defectuosas pueden causar interrupciones. Independientemente de la causa, tener un plan en marcha acelera el proceso de recuperación.

Dado que incluso los planes de backup y recuperación cuidadosamente construidos pueden ser comprometidos en un ataque, son importantes las medidas de protección adicionales para la resiliencia cibernética. Por ejemplo, en previsión de un ataque de ransomware, mantenga varias copias de respaldo en diferentes dominios (por ejemplo, local y en la nube). De igual manera, considere soluciones de backup que no permitan que un atacante reescriba, cifre o modifique copias de seguridad anteriores.

Igualmente importante, mantenga un historial de puntos de restauración y copias de seguridad que no puedan ser comprometidos; esto permitirá restaurar una copia buena de una instantánea anterior. Aunque no todos los ataques de malware son ransomware, la capacidad de recuperar datos rápidamente después de un incidente es esencial para minimizar el tiempo de inactividad y reanudar las operaciones comerciales normales.

Tómese el tiempo para aprender. La ciberseguridad es desafiante porque incluso con los pasos correctos y todas las casillas correctas marcadas, una empresa todavía puede ser víctima de un ataque. Sin embargo, cada encuentro con un incidente de seguridad es también una oportunidad para aprender.

Para aquellos que profundizan, se pueden obtener valiosos conocimientos sobre cómo un usuario encontró inicialmente una amenaza. Puede haber algo anterior a sus acciones que se pueda mejorar. Tal vez hicieron clic en un correo electrónico que pasó el filtro de spam. Existen oportunidades adicionales cuando los usuarios informan sobre un correo electrónico sospechoso; aproveche la oportunidad para aprender cómo llegó a su bandeja de entrada. Aquí es donde un equipo de TI o de centro de operaciones de seguridad (SOC) realmente puede ayudar; también es donde la experiencia puede marcar una gran diferencia.

Planifique y practique. No hay un plan de respuesta a incidentes universal. Tenga planes para una variedad de incidentes de seguridad que puedas anticipar. Un empleado haciendo algo malintencionado que requiere que sea despedido de inmediato requiere un curso de acción diferente que el descubrimiento de una violación de terceros. Para cada escenario, cree un manual para asegurarse de que no falta nada.

No espere a que ocurra un incidente para probar la efectividad de los planes. Para identificar brechas y lograr un nivel deseado de confianza, es importante realizar un simulacro de vez en cuando. Reflexione sobre cómo fueron las cosas y busque áreas de mejora.

Configure una dirección de correo electrónico de respuesta rápida para asegurar que se incluyan todos los interesados; esto permite una alerta rápida en caso de incidente, por lo que se dedica menos tiempo a delegar y más tiempo a la recuperación. Involucre a este equipo desde el principio, durante la creación de planes de respuesta y la asignación de responsabilidades en caso de que ocurra un ataque. Un simulacro mostrará lo que se ha pasado por alto y lo que se podría hacer mejor.

Practique y luego revise los planes anualmente. Una vez que se logra un nivel de comodidad, esto no significa que nunca vuelva a practicar. La confianza simplemente disminuye la frecuencia de revisión de los planes. A medida que cambian las tácticas, también deben hacerlo los planes de respuesta. Una buena regla general es que, una vez que tiene confianza en sus planes, los revise anualmente.

Los planes de respuesta a incidentes son imprescindibles para empresas de todos los tamaños. Debido a que no es cuestión de si una organización experimentará un incidente, sino cuándo; tener un plan documentado para detectar, contener y responder es crítico.

La planificación y la práctica pueden minimizar en gran medida el tiempo necesario para recuperar datos críticos, de modo que las empresas puedan reducir el tiempo de inactividad e incluso mantener las operaciones durante un incidente.

Para más información, visite: https://www.silikn.com/