5 errores comunes en la respuesta a incidentes cibernéticos Tecnologia por Jefferson Gutiérrez - agosto 31, 20210 Cuando la integridad de una red informática o de un sistema de información se ve comprometida, responder adecuadamente y a tiempo minimiza las interrupciones en el negocio y reduce el impacto en las operaciones. En este sentido, existen once errores importantes que pueden obstaculizar la respuesta de las empresas a las violaciones de datos, ciberataques y otros eventos graves de seguridad informática de acuerdo con el documento Once errores comunes en la respuesta a incidentes cibernéticos. En este artículo abordaremos cinco de esos errores, los cuales se hace preciso atender, pues de acuerdo con el estudio Perspectivas de la Alta Dirección en México 2021, el tercer riesgo más importante para las organizaciones mexicanas en 2021 son los ciberataques. Planes que se activan únicamente cuando ocurre un incidente Las empresas generan planes completos de respuesta ante incidentes que no son puestos a prueba sino hasta que se produce un evento real y, para entonces, se descubre que fallan desde el primer paso. Además, numerosas organizaciones ven la creación de un plan de respuesta como un evento único, no como un proceso continuo. En consecuencia, los planes contienen información incorrecta sobre las personas que deben ser contactadas o las herramientas a utilizar, con pasos detallados que no funcionan o están fuera de lugar. Las organizaciones deben probar sus planes con cierta regularidad, antes de que ocurra un incidente real. Si carece de la realización de pruebas, el plan de respuesta a incidentes puede requerir un mayor tiempo de acción, generar confusión y, en el peor de los casos, permitir que un ataque sea exitoso, con un gran impacto negativo. Comunicación inadecuada entre equipos y responsables En ciertas áreas se suele trabajar en silos, y esto puede ser un desafío importante para identificar, coordinar y establecer comunicación con las partes clave involucradas en el proceso de respuesta a un incidente. Adicionalmente, dado que en este tipo de eventos el tiempo juega un papel crítico, los canales incorrectos o la falta de disponibilidad de información puede afectar de manera considerable la efectividad de la contención. Sin duda, un repositorio centralizado de datos en el cual el equipo de respuesta pueda publicar detalles sobre la investigación en curso y, a la vez, extraer información según sea necesario, ayuda a limitar el impacto negativo de la comunicación inadecuada. Destrucción de evidencia crítica Comportamientos anómalos de equipos de cómputo, que podrían indicar un ciberataque, son reportados primero a la mesa de ayuda (help desk), incluyendo desde el bloqueo de cuentas del usuario hasta alertas de virus. Si los miembros de dicha área no conocen los requerimientos de respuesta ante ciberataques, pueden destruir evidencia clave al tratar de solucionar los problemas del usuario. En estos casos, identificar la cadena de eventos de un incidente puede tornarse imposible, especialmente si las acciones iniciales no se documentaron. Por ello, las organizaciones deben asegurarse de que su personal de soporte técnico esté al tanto de los indicadores que necesitan la participación del equipo de respuesta a incidentes Información no disponible Cuando la información que contiene los detalles relevantes de un ataque no existe o no está disponible fácilmente, hay un efecto en cascada durante el proceso de respuesta a incidentes. En última instancia, el equipo responsable tiene dificultades para evaluar el impacto, contener el daño y comunicar avances o resultados a la Dirección. Abordar este problema implica comprender qué fuentes de datos se tienen, qué datos generan y cómo los pueden gestionar. El equipo de respuesta debe identificar eventos que proporcionen información acerca de un incidente y establecer procesos para la salvaguarda, agregación, almacenamiento y análisis de datos. Dichos eventos podrían incluir registros de autenticación fallida, eliminación de bitácoras, alertas antivirus, entre otros. Colaboradores que desconocen su papel en la seguridad Aprovecharse de los usuarios finales es una de las formas más comunes y fáciles que utilizan los ciberdelincuentes para comprometer la seguridad de las organizaciones. Crear un mensaje de correo electrónico que convenza a un usuario de abrir el archivo o ingresar a una página maliciosa es mucho más sencillo y redituable. Los responsables de la seguridad de la información deben sensibilizar a los usuarios, no solo sobre las prácticas comunes utilizadas por ciberdelincuentes, sino también sobre su función como protectores de la información en la empresa. Lo anterior permite al personal participar activamente en temas de seguridad, saber a quién dirigirse y confiar en los procesos, en lugar de intentar resolver los problemas por su cuenta, incluso mediante la instalación de herramientas poco confiables, causando potencialmente mayores daños. La implementación de ejercicios periódicos que pongan a prueba el conocimiento, madurez y conciencia de los usuarios son un excelente medio para lograr estos propósitos. El valor de un apoyo personalizado Con frecuencia, las compañías requieren apoyo especializado para la respuesta a incidentes cibernéticos y, en ciertos casos, que este actúe como extensión de los equipos internos. Desafortunadamente, no siempre se contempla esta posibilidad o se considera una vez que los problemas se han agravado. Dado el riesgo de cibercrimen y las regulaciones en torno al tratamiento de datos personales, las organizaciones necesitan una visión oportuna de los problemas emergentes, así como asesoría práctica que ayude a proteger la información y asegurar el cumplimiento. En este sentido, es necesario evaluar opciones que aporten un apoyo personalizado con base en una amplia experiencia en el sector donde opera la empresa, así como considerar el tamaño de la organización, los alcances y la complejidad del proyecto. Todo lo anterior, favorece una opinión objetiva y una propuesta de solución adecuada a las características de cada compañía. Con un enfoque pragmático y neutral, es posible incrementar la capacidad de la empresa para actuar ante incidentes informáticos de forma proactiva, asegurando la estabilidad del negocio. Compartir en Facebook Compartir Compartir en TwitterTweet Compartir en Pinterest Compartir Compartir en Linkedin Compartir Compartir en Digg Compartir