Cifras de la Organización de los Estados Americanos (OEA) y la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) revelan que actualmente México se ubica como el tercer lugar en ciberataques y un 77% de las organizaciones no tiene plan de respuesta ante estos.
Por ello, recomienda que las compañías deben contar con un plan de respuesta a incidentes que detalle cómo deben responder a los ciberataques. En particular, considera que éste debe contar con la participación completa no solo de las divisiones de ciberseguridad o TI, sino de toda la empresa, desde el marketing y las ventas hasta el CEO y la junta directiva, si procede.
Todo ello es decisivo en las empresas de todos los tamaños, para garantizar que todo el mundo siga la misma ruta en caso de que ocurra lo impensable y evitar reacciones precipitadas a un ciberataque, que puede hacer mucho más daño que un enfoque cuidadosamente considerado.
Seis pasos para asegurar su empresa en caso de un ataque
Si una organización detecta que se están produciendo las anomalías mencionadas, debe seguir los seis pasos siguientes para desarrollar un plan de respuesta a incidentes:
- Preparación
Las empresas necesitan una guía paso a paso para definir cómo los equipos de respuesta a incidentes gestionarán los mismos, incluyendo los planes de comunicación interna y externa y la documentación del incidente. El argumento es que una empresa es tan segura como su eslabón más débil, en este caso, la empresa dentro de su cadena de suministro con las prácticas de ciberseguridad más débiles. A medida que la seguridad interna se vuelve más segura, la cadena de suministro de una organización suele convertirse en el eslabón más débil.
- Identificación
Ya sea que se base en herramientas de seguridad y monitoreo, información de amenazas disponible públicamente o información interna, una parte importante de la identificación es recopilar y analizar tantos datos como sea posible sobre la actividad maliciosa. Los equipos de respuesta a incidentes también deben distinguir entre la actividad benigna y el verdadero comportamiento malicioso. Esto requiere un esfuerzo considerable para revisar las alertas de seguridad y determinar si las alertas son "falsos positivos", que no son incidentes de seguridad reales, o "verdaderos positivos", que indican actividad maliciosa.
- Contención
La contención es un intento de impedir que la amenaza se extienda en el entorno y haga más daño. Hay dos tipos de contención:
-Contención a corto plazo, que es la acción inmediata para evitar que la amenaza se extienda. Por ejemplo, poner en cuarentena una aplicación o aislar un sistema de la red.
-Contención a largo plazo, que restaura los sistemas a la producción en un estado limpio, idéntico a como estaban configurados antes de que se introdujera la amenaza.
- Erradicación
Este proceso incluye la identificación del punto de intrusión, la evaluación de la superficie de ataque y la eliminación de cualquier acceso de puerta trasera restante. En esta etapa, el equipo de respuesta a incidentes neutraliza cualquier ataque restante. Como parte de este paso, el equipo determina la raíz del incidente para entender cómo prevenir ataques similares.
- Recuperación
En esta etapa, el equipo de respuesta a incidentes devuelve los sistemas al funcionamiento normal. Las cuentas comprometidas reciben nuevas contraseñas más seguras o se sustituyen por un método de acceso más seguro. Se corrigen las vulnerabilidades, se evalúa la funcionalidad y se reanudan las operaciones normales.
- Recomendaciones
Es una buena práctica llevar a cabo una reunión post-mortem con todo el equipo para proporcionar información sobre lo que funcionó y lo que no, y plantear sugerencias para la mejora del proceso, pues los especialistas indican que las primeras 72 horas después de una violación de datos son críticas.
Además, es vital que las organizaciones se preparen activamente para los ciberataques, ya sea reforzando sus propias capacidades de ciberseguridad y respuesta a incidentes, o contratando a un MSSP para que la preparación cibernética sea tanto un protector del negocio como un factor de crecimiento.