Antes, durante y después: Cómo lidiar con ciberataques aplicando una gestión eficaz de incidentes

Compartir esta publicación:

En 2016, más de cuatro mil millones de registros fueron violados, superando el total acumulado de registros filtrados de los dos años anteriores, según el Intelligence Index de IBM X-Force (2017). Un reciente estudio de IBM y Ponemon Institute también encontró que 53% de los encuestados dijeron que habían sufrido al menos una violación de datos en los últimos dos años, con 74% declarando que habían enfrentado amenazas de error humano en el año anterior. Sin embargo, sólo el 25% informó tener un plan de gestión de incidentes para abordar una violación de red y 66% expresó una falta de confianza en la capacidad de su empresa para recuperarse eficazmente de un ataque.

A esto se suma la falta de preparación proactiva y el volumen de registros filtrados con el Estudio del costo de la violación de datos de Ponemon Institute, que sitúa el impacto financiero medio de una infracción de datos en $3.62 millones y deja ver que las organizaciones luchan para combatir el escenario complejo actual de las amenazas.

¿Cómo se estructura una estrategia de gestión de incidentes?

Para tener éxito en un espacio altamente disputado, las organizaciones necesitan capacidades completas, robustas y holísticas de seguridad e inteligencia de amenazas. A medida que los delincuentes se vuelven más sofisticados, organizados, persistentes y económicamente motivados, los administradores de Tecnologías de la Información (TI) deben implementar una plataforma que reúna defensas inteligentes, resilientes y orquestadas.

El centro de cualquier estrategia es un programa de gestión de incidentes planeado, comunicado, ensayado y adaptado a la organización. Debe ser una combinación de personas, procesos y tecnología. Cuando se implementa, un equipo de respuesta a incidentes totalmente funcional puede reducir el costo de una violación de datos de $141 (en promedio) a $122, lo que es muchísimo cuando se suma el total de violaciones y filtraciones que hay en un ataque.

Reuniendo información

Para defender y recuperarse de un ciberataque, una organización debe recopilar y comprender los hechos críticos con un mínimo de retraso. Funciona responder a las siguientes preguntas:

• ¿Cómo llegaron los atacantes?
• ¿Cómo continúan operando dentro del entorno?
• ¿Por qué están aquí?
• ¿Qué se puede esperar que suceda a continuación?
• ¿Qué sabemos acerca de sus herramientas y metodologías?
• ¿Qué se necesita hacer para evitar el acceso continuo?

Para muchas organizaciones, reunir esta información es una tarea abrumadora. En algunos casos, ocurre en un vacío de apoyo e inteligencia. Si las anteriores preguntas son respondidas individualmente, la empresa tendrá dificultades. Así como el cibercrimen es una mafia colaborativa, de la misma manera debe actuar la respuesta de defensa.

La preparación puede hacerse siguiendo estos pasos:

• Documentar el estado actual del plan y probarlo frecuentemente.
• Identificar los vacíos y documentar un plan para abordarlos.
• Llevar a cabo rutinariamente evaluaciones de madurez, desarrollo de programas e iniciativas de planificación.
• Evaluar la efectividad de los controles.

La comunicación es clave

Es indispensable hacer de la comunicación un componente central del plan y definir roles y responsabilidades claras para evitar ambigüedad y confusión. Cuando ocurre un ataque, desde los miembros del equipo de seguridad hasta el C-suite deben centrarse en reaccionar en lugar de responder. Confíen en las personas, el proceso y la tecnología que se estableció como parte de la fase de preparación.

Esta fase de preparación fortalece la comunicación y la experiencia del equipo reduciendo al mismo tiempo la pérdida financiera y de reputación de la organización y sus clientes. Es fundamental investigar las amenazas activas y extinguir los ataques tan pronto como sea posible. Cuando se aplica correctamente, un plan eficaz de respuesta a incidentes agregará velocidad y precisión a cualquier escenario. Para responder con rapidez y eficacia, todo el equipo necesita un plan de comunicación y ejecución bien gestionado.

No hay tiempo para descansar

Tratar con un ciberataque puede ser agotador. Desafortunadamente, no hay un buen momento para descansar, ni siquiera cuando un ataque y su impacto continuo están contenidos. Ese es el momento de mirar atrás y determinar lo que salió bien y lo que salió mal, y luego incorporar lo que se ha aprendido en la planificación para el próximo ataque. Documentar los hallazgos y vacíos, controlar las deficiencias y priorizarlas hasta el final. Esto debe ocurrir no sólo dentro del entorno, sino también dentro del propio programa de respuesta a incidentes.

Nadie está solo. De hecho, tener la capacidad de confiar en los expertos de la industria como socios beneficiará a la organización de manera exponencial. Apóyense en su experiencia, inteligencia de amenazas y capacidades para catapultar la seguridad.

En IBM contamos con los mejores expertos en seguridad, respuesta a incidentes e inteligencia del sector. Como líder de servicios de Inteligencia y Respuesta a Incidentes de IBM X-Force (IRIS), puedo ayudar a las empresas a cruzar el abismo de respuesta a incidentes, construir un programa holístico y prepararse mejor para enfrentar y frustrar los desafíos de seguridad que se enfrentan hoy y en el futuro. Un ciberataque no tiene que producir una violación de datos.