6.9 min to readDigital Workplace

Crea un plan de incidentes que te permita ser efectivo y ahorrar gastos a tu compañía

Ravi Bindra
Ravi BindraCISO
$name

Es un hecho, en la actualidad, la información y los datos cobran cada vez más relevancia para las organizaciones y sus operaciones. Debido a lo anterior, las empresas son cada vez con más consientes de la necesidad de prepararse para evitar vulneraciones e incidentes de seguridad, pues saben que si un actor malicioso consigue acceder a datos confidenciales, la organización se verá expuesta a riesgos financieros y de reputación incalculables.

Muchos artículos y blogs se centran en cómo garantizar que nunca se produzca un ataque mediante una serie de tácticas proactivas de mitigación de riesgos. Sin embargo, hay una advertencia tácita en todos estos consejos: Incluso si tu organización cuenta con las medidas de seguridad más sólidas, no existe una protección total contra los incidentes de seguridad.

En caso de un incidente de seguridad, tu empresa necesita contar con un plan de respuesta concreto, y ese plan no puede hacerse sobre la marcha. Establecer un plan de respuesta a incidentes le permite a tu organización asignar responsabilidades e iniciar procesos antes de que se produzca un incidente o una vulneración, lo que te permite combatir y minimizar el impacto de los eventos de inmediato.

En el mundo de la ciberseguridad, lo mejor es prepararse para lo peor. Examinemos algunas de las mejores prácticas para crear un plan de respuesta a incidentes eficaz que reduzca los riesgos y permita tener resiliencia cibernética.

El estado actual de los incidentes de datos y las vulneraciones de seguridad

Las vulneraciones e incidentes de seguridad son, desafortunadamente, habituales en entorno empresarial que depende de la tecnología. De hecho, Risk Based Security informa de que más de 36. 000 millones de registros quedaron expuestos en todo el mundo en el 2020 debido a vulneraciones de datos. Suele ser difícil comprender realmente la profundidad y la amplitud del panorama actual de las amenazas, sobre todo porque las vulneraciones de datos a gran escala están pasando de moda.

Sin embargo, no todos los incidentes de datos son vulneraciones. Exploremos las diferencias con más detalle:

  • Incidente: Un evento de seguridad que compromete la integridad, la confidencialidad o la disponibilidad de un recurso de información. Esto podría incluir ataques de ingeniería social, ataques a aplicaciones web o cualquier variedad de amenazas potenciales que no han causado daños tangibles, todavía.
  • Vulneración: Un incidente que tiene como resultado la divulgación confirmada de datos a una parte no autorizada, no solo la posible exposición. Algunos ejemplos son los ataques de ingeniería social, los ataques a aplicaciones web básicas, las intrusiones en sistemas, el uso indebido de privilegios y los errores de los usuarios.

En otras palabras, es posible que los ciberdelincuentes no siempre roben información, pero aún así pueden tener un impacto negativo en su organización. Además, el hecho de no responder a un incidente a tiempo puede hacer que se convierta rápidamente en una vulneración. Por ejemplo, si notas una vulnerabilidad en la API de tu sitio web, un actor malicioso puede estar preparándose para lanzar un ataque y es momento de actuar rápidamente para evitar ramificaciones graves.

El costo de una vulneración de datos

Los costos directos de una vulneración de datos pueden ser difíciles de calcular. Si bien tu organización puede incurrir en costos directos, como el pago de un rescate para recuperar el acceso a los datos, también debes considerar los gastos indirectos, como los costos laborales asociados a la gestión de la crisis.

Según el Informe de costos de una vulneración de datos del 2020:

  • El costo promedio total de una vulneración de datos es de 3,86 millones de dólares.
  • El costo promedio de las vulneraciones derivadas de una configuración incorrecta de la nube es de 4.41 millones de dólares.
  • Las empresas que establecieron y probaron equipos de respuesta a incidentes solo sufrieron, en promedio, pérdidas de 2 millones de dólares.

En otras palabras, esto valida el valor financiero de crear y probar un programa y un equipo de respuesta a incidentes.

Creación de un plan de respuesta a incidentes

La creación de un plan de respuesta a incidentes puede ahorrarle dinero a tu organización al crear un conjunto de procesos bien definidos para que tu equipo de ciberseguridad los siga tan pronto como se descubra un incidente. Estos procesos reducen el tiempo que tarda el equipo en identificar, investigar, contener y extraer a un actor de la amenaza de los sistemas, redes y aplicaciones. Definir y ensayar un plan de respuesta permite identificar deficiencias que pueden remediarse antes de un incidente real.

Cuanto más rápido puedas afrontar y neutralizar un incidente de seguridad, mejor podrás gestionar una posible vulneración en el futuro. Por lo tanto, es fundamental crear proactivamente un plan de respuesta integral. Te presentamos seis pasos que deberías incluir al trabajar en un plan de respuesta propio:

1. Preparación

La etapa de preparación de la respuesta a incidentes implica identificar y categorizar los datos, aplicaciones, usuarios, redes, sistemas y dispositivos de alto riesgo. Además, tu organización debe revisar la inteligencia de amenazas y el riesgo empresarial contextual actual para crear los escenarios de vulneración de datos más probables.

2. Identificación

Este paso se centra en comprender el comportamiento normal dentro de un entorno en lugar de establecer alertas cuando se produce un comportamiento anormal. Por ejemplo, una alerta de ataque de robo de credenciales podría basarse en la cantidad de veces que alguien intenta iniciar sesión en una cuenta sin éxito.

Una de las partes más difíciles del proceso de identificación es establecer las alertas correctamente. Si el comportamiento anormal se define de forma demasiado amplia, tu equipo de seguridad puede dedicar demasiado tiempo a alertas falsas, o empezar a ignorar las alertas por completo. Por otro lado, definir las alertas de forma demasiado limitada puede llevar a que pasen por alto actividades sospechosas o de riesgo.

3. Contención

Este paso es el proceso de aislar la amenaza y evitar que el actor de la amenaza se mueva dentro de sus redes y sistemas. A corto plazo, puede significar aislar un segmento de la red o cerrar un sistema. A largo plazo, puede implicar la eliminación de cuentas o la aplicación de un parche de seguridad.

4. Erradicación

La erradicación consiste en eliminar cualquier cosa que el actor malicioso haya utilizado como parte del ataque. Por ejemplo, puede implicar eliminar de forma segura el malware o los archivos infectados que formaron parte del ataque.

5. Recuperación

Durante esta etapa, el equipo de respuesta a incidentes devuelve las redes, los sistemas, las cuentas y las aplicaciones afectadas a su estado "previo al ataque". Esto puede significar recuperarlos a un punto de una copia de seguridad anterior, así como validar los sistemas para asegurarse de que la vulnerabilidad que utilizaron los atacantes esté solucionada.

6. Lecciones aprendidas

Este punto es posiblemente la parte más importante del proceso de respuesta a incidentes, es la discusión posterior a la recuperación que ayuda a determinar lo que funcionó, lo que no funcionó y lo que se puede mejorar para el futuro. Este paso crucial te ayudará a crear un plan de respuesta cada vez más potente y duradero.

Prácticas recomendadas para su plan de respuesta a incidentes

Crear un plan de respuesta a incidentes puede parecer difícil. Sin embargo, seguir algunas de las prácticas recomendadas para crear un plan sólido te ayudará a empezar con el pie derecho. Analicémoslo con mayor profundidad.

No pretendas reinventar la rueda

Al igual que las vulneraciones de datos no son nada nuevo, tampoco lo son los planes de respuesta a incidentes. Organizaciones como el Instituto Nacional de Estándares y Tecnología proporcionan algunas de las mejores prácticas básicas para establecer un plan de respuesta a incidentes. Visitar foros en línea en los que se reúnen los equipos de seguridad también puede ayudarte a conocer prácticas recomendadas, interesantes y específicas. 

No todos los datos son iguales: en primer lugar, el plan de respuesta a incidentes debe priorizar los datos confidenciales. Comienza por consultar con varios equipos de la organización sobre sus recursos de datos más cruciales. Por ejemplo, los documentos que contienen propiedad intelectual o datos de clientes sumamente confidenciales deben ser una prioridad absoluta. Una vez que hayas acordado lo que constituye datos confidenciales, aplica una calificación de riesgo a todos los tipos de datos. Esto le ayudará a priorizar los recursos que debe proteger en caso de emergencia.

Facilita la aplicación del plan

Todos deben conocer tu función y sus responsabilidades en el plan de respuesta y tener las habilidades y las herramientas necesarias para cumplirlas. Si tus colaboradores no están del todo preparados para la responsabilidad nueva, considera la posibilidad de consultar a un tercero para mantener sus datos lo más seguros posible.

Reflexiones finales

Garantizar que tu organización cuente con procesos de ciberseguridad de primera categoría puede ser una carrera de resistencia interminable. Las amenazas evolucionan constantemente y mantener el ritmo requiere mucho tiempo, energía y dinero. 

Muchas organizaciones preferirían que su equipo de TI pudiera centrarse en innovar su enfoque de la ciberseguridad en lugar de dedicar tiempo y recursos a actividades de investigación y respuesta. Afortunadamente, hay una nueva solución entre los Servicios de seguridad gestionados de SoftwareOne que puede ayudarte: el servicio de respuesta a incidentes cibernéticos.

blue digital waves

Seguridad en el puesto de trabajo

Protege tu puesto de trabajo digital con asistencia especializada 24/7 enfocada seguridad y supervisión de amenazas.

Seguridad en el puesto de trabajo

Protege tu puesto de trabajo digital con asistencia especializada 24/7 enfocada seguridad y supervisión de amenazas.

Author

Ravi Bindra

Ravi Bindra
CISO

Ravi holds over 20 years’ experience as a cyber security evangelist, holding multiple leadership roles in the Swiss pharmaceutical industry, such as Global Head of Risk Management, Global Head of Architecture and Global Head of Security Operations.