Porqué es imprescindible dominar la gestión de la respuesta a ciber-incidentes
Toda PYME está en Riesgo
«Sin embargo, lo que quizás no sepa es que las pequeñas y medianas empresas (pymes) son blancos frecuentes de ciberataques destructivos, muchos de los que pueden ser abrumadores». (Forbes).
No hay manera de evitarlo. Tarde o temprano, su organización sufrirá un ciberataque… si ya no lo sufrió. Si cree que no es lo suficientemente importante como para que los hackers lo apunten, desafortunadamente, las estadísticas dicen lo contrario:
- Hubo un aumento del 424% en infracciones cibernéticas y violaciones de datos a pequeñas empresas nuevas el año pasado.
- El 60% de las pymes dicen que los ataques contra ellas son específicos, sofisticados y dañinos.
Aunque estas cifras son impresionantes, muchos dueños y ejecutivos de pequeñas y medianas empresas creen que sus empresas son demasiado pequeñas como para interesarles a los hackers. Y muchas no tienen planes de defensa de ciberseguridad, e incluso no tienen una protección de puntos de conexión establecida.
Para aquellos que no tienen planes ni métodos de protección, las repercusiones de negación son extremas, incluidas las pérdidas financieras y el daño a la lealtad del cliente y al valor de la marca.
El Alto Costo de la Negación
Cuando ocurre una infiltración o violación de datos, la pyme puede sufrir varias horas de inactividad, lo que conlleva a pérdidas de cientos de miles de dólares. Por ejemplo, a principios del 2020, el contratista del gobierno de los Estados Unidos, Miracly Systems, un proveedor de servicios de TI e ingeniería para las agencias federales, sufrió pérdidas de entre $500 000 y $1 millón por una vulneración del servidor interna.
No se trata solo de la pérdida financiera. Durante este período de inactividad, no hay acceso a los sistemas digitales que están inactivos tampoco. Cuando se trata de los ciberataques, se debe tener en cuenta la detección, la prevención y, sobre todo, una solución rápida.
Una Respuesta a Incidentes Sólida no es Fácil
A pesar de la importancia y relevancia que tiene la respuesta a incidentes, trae consigo algunos retos por distintos motivos. El primero se basa en el hecho de que las pymes generalmente subcontratan a terceros para que gestionen la respuesta a incidentes. Sin embargo, al hacerlo, no siempre se aseguran de que:
- Tengan soporte para todas las funciones que se incluyen en los incidentes, como legal y de RR. PP, entre otras cosas.
- El proveedor de servicios esté disponible las 24 horas del día, los 7 días de la semana, con soporte en vivo.
- Lo que se define en el plan de respuesta a incidentes de la organización está en el alcance del compromiso; por ejemplo, cuál es la jerarquía en la toma de decisiones y cómo se controlará el incidente, entre otras cosas.
Otras dificultades comunes son:
Armar el equipo de incidentes: Reunir a todas las personas correctas lo suficientemente rápido como para reducir el tiempo requerido para responder y lograr una solución. Como hemos visto, “el tiempo es dinero” (literalmente) cuando se trata de la respuesta a incidentes.
Alinear a las personas de respuesta a incidentes: Enviar actualizaciones precisas, alineadas y claras a cada miembro del equipo de incidentes de manera oportuna durante cada fase del proceso de resolución puede llevar mucho tiempo en cuanto a reunir los datos, garantizar su precisión, preparar las actualizaciones y asegurarse de que todos hayan recibido su función y sus responsabilidades y de que sepan de qué se tratan.
Controlar flujos de trabajo complejos: Estos incluyen varios accionistas (dentro y fuera de las organizaciones), observadores, ejecutores y gerentes.
Para complicar aún más las cosas, establecer un equipo de respuesta a incidentes interno puede valer mucho dinero y requiere los sueldos costosos de los empleados de tiempo completo que necesitan tener capacidades multidisciplinarias difíciles de encontrar. Independientemente de estas dificultades, ninguna organización puede darse el lujo de no hacer todo lo posible por reforzar sus capacidades en cuanto a la respuesta a incidentes.
Los primeros pasos para superar las grandes dificultades de la Respuesta a Incidentes
Estas son las tantas muchas cosas que las pymes deben considerar a la hora de prepararse para subcontratar a terceros de manera adecuada:
- Asegurarse de que haya varias copias de toda la información necesaria relacionada con la gestión de un incidente y que todas las partes importantes puedan acceder a ella.
- Asegurarse de que todos los datos necesarios para la investigación de un incidente estén disponibles y sean accesibles.
- Hacer simulacros de continuidad comercial y respuesta a incidentes para identificar las debilidades del proceso que requieren optimización.
- Definir las políticas de comunicación ante incidentes para que todos sepan con quién deben comunicarse y en qué horario, independientemente de las zonas horarias o de la hora del día.
- Establecer directrices con los proveedores sobre quién se encarga de los incidentes y en qué condiciones y circunstancias específicas.
- Definir prioridades, los datos que se relacionan con esas prioridades y de dónde provienen para tomar decisiones basadas en los datos que optimicen la respuesta a incidentes.
Más ideas sobre la Respuesta a Incidentes de la ITIL
Para obtener más ideas, la ITIL, la Biblioteca de Infraestructura de Tecnologías de Información (Information Technology Infrastructure Library), ofrece prácticas detalladas para la gestión de servicios de TI, incluida la gestión de incidentes. Y estas pueden ser muy informativas para aquellos que dirigen la respuesta a incidentes y la ejecutan.
El flujo de proceso que recomienda la ITIL para diagnosticar y gestionar incidentes incluye los siguientes pasos:
- Registro y categorización del incidente.
- Derivar el incidente a un miembro de soporte del segundo nivel.
- Notificación al gestor de incidentes.
- Informar al equipo de incidentes principal sobre quiénes trabajarán juntos para resolver el incidente.
- Una vez que se descubra una solución alternativa, se debe informar sobre el incidente a Gestión de Problemas para futuras investigaciones y para desarrollar una solución permanente.
- Recopilar datos de los sistemas relevantes y usarlos para lograr una mejora continua en todas las prácticas de gestión de incidentes de la organización.
Además, para preparar el informe de incidentes que impulsa el aprendizaje y la optimización, la ITIL recomienda que dicho informe debe incluir una explicación sobre lo siguiente:
- ¿En qué consistió el incidente?
- ¿Cuándo ocurrió?
- ¿Dónde ocurrió?
- ¿En cuánto tiempo se resolvió?
- ¿Quién lo resolvió?
- ¿Quién participó en la gestión del incidente?
- ¿Qué medidas de resolución de problemas se tomaron?
Las Capacidades Requeridas para Cumplir la Orden de Respuesta a Incidentes
Aunque las ideas de la ITIL pueden ser muy valiosas, “ser capaz de ejecutar” significa que debe tener determinadas herramientas y capacidades fundamentales, como las siguientes:
- La capacidad para comprender qué registros deben conservarse y revisarse.
- La capacidad para ejecutar correlaciones avanzadas entre todos los archivos de registro de seguridad de cada sistema.
- Acceder rápidamente a un tablero intuitivo con visibilidad completa de los incidentes más importantes de todas las operaciones comerciales y soluciones de seguridad.
- Acceder a ideas en tiempo real sobre qué amenazas afectan a qué recursos, su nivel de gravedad y su causa principal.
- Claridad total en todas las investigaciones en cuanto a tipo, gravedad y estado.
- Notificación de la derivación del incidente a Gestión de Casos Complejos.
- Un estudio detallado en tiempo real para obtener una visión completa de cualquier caso para comprender qué ocurrió, qué cosas se vieron afectadas, el riesgo inmediato, las acciones recomendadas y el estado.
- La capacidad para generar y compartir informes de manera inmediata.
La Clave para ser un Maestro en la Gestión de la Respuesta a Incidentes
Como hemos visto, la orden de respuesta a incidentes es una que ninguna pyme puede ignorar. Para evitar el daño a las finanzas, a la confianza del cliente y al valor de la marca, es obligatorio tener capacidades sólidas.
Estas capacidades incluyen tener preparados el plan y los flujos de trabajo correctos, la presentación de informes correcta, para el aprendizaje y la optimización continuos, además de una visibilidad completa de todo el panorama de amenazas, junto con las ideas y la experiencia impulsada por la tecnología para comprender los incidentes, decidir sobre ellos y actuar ante ellos con velocidad y precisión.
Para obtener más información sobre cómo CYREBRO puede ayudar a su organización a adquirir estas capacidades y a mejorar la resolución de incidentes de seguridad, lo invitamos a que visite nuestro sitio web: www.cyrebro.io.