Cinco pasos para defenderse y recuperarse de un ataque cibernético.
Dado lo comunes que se han vuelto los ataques cibernéticos a nivel mundial, el tema de la seguridad cibernética se está moviendo cada vez más en la agenda de la junta, y con razón. El 72% de las grandes empresas del Reino Unido dijeron que habían identificado al menos una infracción de ciberseguridad en 12 meses y el 40% experimentó una infracción o un ataque al menos una vez al mes. Claramente, las empresas son conscientes de la prevalencia y el daño potencial que pueden causar los ataques. Pero, ¿cómo pueden estar seguros de que su estrategia de defensa está a la altura?
¿Cuánto tiempo le tomaría identificar una brecha de seguridad dentro de su organización? ¿Horas? ¿Dias? ¿Meses? El promedio es de 101 días, es decir, tres meses que los ciberdelincuentes tienen para explotar los datos confidenciales que han adquirido debido a una falla en los sistemas o procesos de seguridad de una empresa. Claramente, las medidas de seguridad simples no son suficientes. Las organizaciones deben estar equipadas y preparadas para responder a los ataques, controlar las posibles consecuencias y recuperarse de la forma más rápida y sencilla posible. Alan Calder, director ejecutivo de GRC International plc, empresa matriz de IT Governance, explica que siguiendo cinco pasos clave, las organizaciones pueden implementar una estrategia integral de ciberresiliencia.
Identifique las amenazas potenciales:
El primer paso debe ser realizar una evaluación de riesgos exhaustiva para resaltar cualquier amenaza que la organización enfrenta actualmente a sus activos de información. Cualquier dato que una empresa valore, ya sean activos digitales, contenido fuera de línea y conocimiento de los empleados, también será valioso para un ciberdelincuente; todos requieren protección.
Existe una serie de riesgos que podrían afectar a una organización y sus activos de información, desde ciberataques hasta errores humanos, robos o pérdidas accidentales e incluso desastres naturales. Aquí es donde las pruebas de penetración pueden ayudar a identificar las debilidades en la infraestructura y las redes de una organización al resaltar las vulnerabilidades antes de que los ciberatacantes puedan explotarlas. Luego, estos riesgos deben evaluarse por completo para determinar qué tan importante es la amenaza: ¿qué probabilidades hay de que ocurra? ¿Cuál podría ser el impacto resultante?
Protéjase contra el ataque:
El siguiente paso es implementar herramientas para prevenir los ataques, o al menos reducir su probabilidad o impacto. Estos deben tomar la forma de controles técnicos, como cortafuegos, así como controles de proceso, incluidos los cambios de política. Los controles de detectives también se pueden utilizar para observar el entorno y detectar el riesgo antes de que cause daño. Esto podría incluir cámaras de circuito cerrado de televisión o sistemas de detección de intrusos que monitorean la red. Se pueden implementar controles reactivos para tomar medidas en respuesta a un evento, como bloquear un área en particular o encriptar datos después de una cierta cantidad de intentos fallidos de inicio de sesión.
Si bien las funciones técnicas son esenciales para mantener la información segura, es crucial garantizar que no se pasen por alto los riesgos relacionados con errores humanos y fallas en los procesos y se implemente un enfoque holístico para mantener la seguridad de la organización. Los marcos de seguridad de la información como ISO 27001 consideran los aspectos de las personas y los procesos para mantener la seguridad de los datos, como la conciencia del personal, la capacitación regular y una cultura de mejora continua. Un sistema de gestión de seguridad de la información que cumple con la norma ISO-27001 también es un enfoque de gestión de riesgos, lo que significa que las medidas de seguridad que una organización debe implementar se adaptan a las amenazas específicas que podría enfrentar, así como a su apetito por el riesgo. Al utilizar este enfoque, las organizaciones pueden confiar en el hecho de que están abordando amenazas reales para el negocio y no están desperdiciando tiempo o recursos protegiéndose contra amenazas que es poco probable que sucedan.
Detectar infracciones:
Es cierto que no todos los ataques se pueden prevenir, razón por la cual es esencial contar con mecanismos de detección sólidos, como la revisión de registros y la supervisión constante de la red para detectar actividades inusuales. De esta manera, las organizaciones pueden tener el control de sus defensas y estar en condiciones de identificar amenazas y mitigar las brechas antes de que causen daños.
Responder a incidentes:
La formación es un factor importante en la estrategia de ciberresiliencia de una organización, por lo que, en caso de una infracción, se puede seguir la respuesta correcta para limitar las posibles consecuencias. Las investigaciones sugieren que más de la mitad de las organizaciones no cuentan con procesos para capacitar adecuadamente al personal en esta área. En el entorno de cumplimiento actual, donde la legislación como GDPR requiere que todo el personal que maneja datos personales reciba la capacitación adecuada e impone fuertes sanciones para las organizaciones que no lo hacen, esta es una estadística preocupante.
Una estrategia de gestión de la continuidad del negocio (BCMS) incluirá un plan integral que detallará a quién contactar en caso de incumplimiento, los procesos para contener el incidente y cómo mantener estable la situación. Con un enfoque paso a paso, las consecuencias de una infracción se pueden minimizar tanto como sea posible para mantener los activos protegidos y la organización funcionando a un nivel óptimo.
También es importante registrar toda la evidencia disponible y mantener un registro de los procedimientos de respuesta para revisarlos en una fecha posterior. Esto no solo es necesario para informar legalmente a los sujetos que pueden haber sido afectados por la infracción, sino también como una pista de auditoría para mejorar el proceso de respuesta para futuros incidentes.
Recuperarse del ataque:
Una vez que la situación es estable después de una infracción, se deben tomar medidas para evitar que vuelvan a ocurrir incidentes similares, o al menos garantizar que el incidente tenga un impacto menor en el futuro. Por supuesto, la forma en que una organización se recupera de un ataque variará según la naturaleza del incidente y la empresa. Por ejemplo, el Reglamento de Seguridad de Redes y Sistemas de Información (NIS) dicta procesos específicos de continuidad comercial para ciertos servicios esenciales, como transporte, energía, salud y computación en la nube, para garantizar la continuidad de estos sistemas en un esfuerzo por mantener a las empresas, a los ciudadanos y servicios públicos protegidos.
El BCMS debe ser lo suficientemente completo como para permitir que una organización opere lo más cerca posible de la normalidad, mientras continúa recuperándose completamente del incidente. Con una estrategia de resiliencia cibernética establecida y siguiendo estos cinco pasos, una organización podrá detectar y sobrevivir a cualquier incidente, y volver rápidamente a la normalidad.
– Alan Calder, director ejecutivo de GRC International plc, empresa matriz de IT Governance