Vivimos y hacemos negocios en un mundo cargado de riesgos cibernéticos. Todos los días, las empresas y los consumidores son atacados por ataques de diversa sofisticación, y cada vez es más evidente que todos son considerados un juego justo. Las organizaciones de todos los tamaños e industrias están cayendo víctimas, y el riesgo cibernético se está convirtiendo rápidamente en una de las amenazas más frecuentes.

Cuando ocurren interrupciones por ataques cibernéticos u otros incidentes de datos, no solo tienen un impacto financiero directo, sino un efecto continuo en la reputación. Por ejemplo, Carphone Warehouse fue víctima de un ataque cibernético en 2015, lo que resultó en el compromiso de los datos que pertenecen a más de tres millones de clientes y 1,000 empleados. Si bien sufrió pérdidas financieras debido a los costos correctivos, que incluyeron una multa de £ 400,000 de la Oficina del Comisionado de Información (ICO), también llevó a los consumidores a cuestionar si sus datos estaban realmente seguros con el minorista y si era simplemente más seguro comprar en otro lugar. Esa pérdida en la confianza del consumidor es increíblemente difícil de recuperar, especialmente en un momento en que las quejas se pueden transmitir en las redes sociales y se pueden compartir cientos o miles de veces.

Para acumular un mayor escrutinio, en junio de 2018, su empresa matriz, Dixons Carphone, reveló que había sido víctima de un ataque cibernético que había comenzado en julio de 2017. Los hackers accedieron a 5,9 millones de tarjetas bancarias y 1,2 millones de registros de datos personales, con el ataque Se considera lo suficientemente grave como para instigar una investigación de GCHQ. Si bien Dixons Carphone declaró que el incidente no tenía relación con el de 2015, las marcas están tan alineadas que Carphone Warehouse se asoció una vez más con una brecha enorme..

Las empresas son juzgadas por su respuesta a incidentes

Prevenir los ataques cibernéticos es más difícil debido a la evolución de la sofisticación de los ataques que superan a la tecnología utilizada para defenderse de ellos. Además, los consumidores y los reguladores ahora están juzgando a las empresas por la forma en que responden. La rapidez con la que notifican a las partes interesadas relevantes, la información y los consejos proporcionados, así como la eficiencia con que pueden cubrir la brecha, tienen un efecto en el nivel de las consecuencias financieras y la reacción adversa. Estos factores apuntan a la necesidad imperiosa de que las empresas cuenten con un Equipo proactivo de respuesta a incidentes de seguridad cibernética (CSIRT)..

Organizado por expertos de toda la empresa, estará bien perforado a través de pruebas y planificación extensas y regulares, lo que le permitirá actuar de inmediato la respuesta adecuada a los incidentes de creciente complejidad y sofisticación..

Otro beneficio de dicho equipo es que las pruebas regulares proactivas permiten a las empresas identificar las vulnerabilidades existentes para que puedan ser conectadas antes de ser explotadas de manera maliciosa. A medida que las empresas crecen y evolucionan, las redes y los procesos cambian, por lo que las pruebas deben ser un esfuerzo continuo para garantizar que la resistencia cibernética siga siendo alta.

Poner en marcha el CSIRT

Hay algunas consideraciones importantes que deben hacerse antes de comenzar un programa. Estos incluyen problemas operativos y técnicos, como asegurar el equipo necesario, así como la determinación de los recursos y fondos necesarios para los equipos recién formados. Las firmas también deben asegurarse de que los equipos existentes no se queden con poca ayuda y que aún puedan cumplir con sus responsabilidades.

Al igual que con cualquier equipo, la efectividad del CSIRT aumenta considerablemente cuando tiene un objetivo definido. Cuando todos los miembros del equipo tienen claro su rol, es más fácil para ellos orientarse en la misma dirección. Los equipos deben estar estructurados de manera que otorguen a cada miembro la responsabilidad y la responsabilidad, pero también definen quién tiene la última palabra..

Durante las fases de planificación también es esencial eliminar cualquier área de duplicación. La repetición de actividades y procesos es un desperdicio de recursos y simplemente retrasa el tiempo necesario para alcanzar el resultado deseado. Las empresas pueden identificar dónde existen superposiciones y brechas mediante la realización de análisis en sus programas actuales de respuesta cibernética. Esto también traerá a la luz las capacidades actuales de respuesta a incidentes de la empresa, la efectividad de las fuentes de alerta existentes, así como la determinación de cualquier restricción..

Seleccionando el equipo más efectivo.

Idealmente, el CSIRT debería estar compuesto por personal de toda la empresa para garantizar que exista una buena experiencia y que se puedan cumplir los requisitos de todas las partes interesadas relevantes.

Un componente vital debe ser un gerente de negocios. Operan en la primera línea del negocio y son responsables de administrar las actividades y los empleados de una empresa. En caso de que un incidente sea tan grave que los sistemas críticos deban cerrarse para mitigar daños adicionales, contar con un gerente comercial a bordo ayudará a la compañía a determinar el impacto del tiempo de inactividad.

El conocimiento técnico debe ser proporcionado por un representante del equipo de TI. Es importante que se establezcan pautas claras sobre cómo deben interactuar el personal de TI y el CSIRT, y las acciones que deben tomar cada uno durante las operaciones de respuesta. Si el CSIRT requiere acceso a los registros de la red y los sistemas para fines de análisis, se debe aclarar el nivel de acceso y visibilidad..

Las consecuencias de cualquier incidente de pérdida de datos pueden resultar en procedimientos legales, por lo tanto, es vital que un miembro del equipo legal esté presente para determinar la responsabilidad. Con su experiencia, también serán esenciales para asegurar la empresa mediante la revisión de los acuerdos de no divulgación y el desarrollo de la redacción adecuada para ponerse en contacto con otros sitios y organizaciones..

Otros miembros deben estar conformados por especialistas en auditoría y gestión de riesgos, ya que las métricas de amenazas y las evaluaciones de vulnerabilidad desempeñarán un papel clave en la planificación de la estrategia, así como un representante de recursos humanos y relaciones públicas. Lo primero ayudará a desarrollar descripciones de trabajo para contratar personal de CSIRT y redactar políticas y procedimientos para eliminar empleados internos que se hayan involucrado en actividades informáticas no autorizadas o ilegales. Este último será responsable de abordar las comunicaciones externas, manejar cualquier consulta de los medios y ayudar a desarrollar comunicados de prensa y pautas para la divulgación de información..

En última instancia, en una época en la que las empresas que son víctimas de ataques cibernéticos ocurren a diario, es esencial que las empresas cuenten con equipos de respuesta proactiva a los incidentes que puedan ayudar a disminuir la amenaza para la reputación. Las repercusiones de las infracciones son continuas y, si las empresas no pueden moverse rápidamente para gestionarlas, pueden salirse de control. Un CSIRT bien preparado y lleno de experiencia de toda la empresa es una herramienta poderosa que aumenta dramáticamente la resiliencia cibernética. Cuando la respuesta a incidentes es ágil y bien planificada, los reguladores verán a la compañía en cuestión de manera más favorable y, lo que es más importante, mitigará la severa caída en la confianza del consumidor que puede ser fatal para otras firmas menos preparadas.

Caldwell francés, evangelista jefe, en MetricStream

  • También puedes ver nuestro resumen de las mejores suites de seguridad de Internet.