Menos de un mes después del último incidente de seguridad y fuga de datos confidenciales del que fuera víctima SONY, nos encontramos con que la empresa japonesa publicó en su página de la red social LinkedIn una oferta laboral en la cual abría una vacante para contratar un nuevo gerente para encargarse de la respuesta a incidentes en seguridad.
Sin dudas, quien asuma el cargo se enfrentará a un desafío. Por si alguien está interesado en postularse o incluso si trabaja en esta área, queremos presentar 7 aspectos que como mínimo deberían tenerse en cuenta al momento de establecer un plan de respuesta a incidentes para buscar proteger de forma efectiva la seguridad de su información:
1. Prevenir todos los incidentes tal vez no sea posible, pero saber cómo responder cuando ocurren sí se puede
Como parte de una adecuada gestión de la seguridad de la información, la gestión de riesgos nos arroja que hay ciertos incidentes a los cuales nuestra empresa es más vulnerable y que por más controles preventivos que se implementen el riesgo puede seguir siendo una amenaza importante.
En estos casos, dado que por la naturaleza del riesgo no es posible estar seguros de que lo vamos a eliminar por completo, lo más razonable es estar preparados para saber cómo reaccionar ante los diferentes escenarios a los cuales podría estar expuesta la organización si uno de estos riesgos se materializa.
Por supuesto que hay ciertas prácticas y consejos a seguir para mejorar el Plan de Respuesta a Incidentes.
2. La gestión de incidentes debe ser un balance entre lo técnico y lo administrativo
Cuando se habla de gestionar de forma efectiva los incidentes que puedan afectar la seguridad de la información es muy importante que la persona encargada de este trabajo tenga los conocimientos técnicos para entender lo que está pasando y poder tomar las decisiones correctas para garantizar la continuidad del negocio.
Pero si bien los conocimientos técnicos son la base indispensable para una exitosa gestión de los riesgos, también es muy importante contar con habilidades administrativas. No hay que olvidar que la recuperación de un incidente debe ir más allá de solucionar el problema, debe estar ligado a un proceso de mejora continua en el que se incluye la comunicación del incidente, la valoración de los daños y la implementación de las mejoras para evitar que vuelvan a ocurrir eventos de riesgo similares.
3. Identificar los activos de información más crítica
Dado que dentro de la empresa pueden convivir una gran variedad de tecnologías puede resultar muy costoso garantizar el máximo nivel de seguridad a toda la información. Para esto es necesario conocer cuál es realmente la información crítica del negocio y su nivel de vulnerabilidad.
En la medida que esta identificación sea la adecuada, la respuesta a incidentes va a ser eficiente para focalizar los esfuerzos donde es más importante para cumplir con los objetivos de la organización.
4. La respuesta a incidentes no es solamente detener un ataque
El plan de respuesta a incidentes sirve para garantizar la continuidad en la operación del negocio y prevenir que los incidentes de seguridad sean reiterativos. Por lo tanto, además de ser la guía para identificar y contener un incidente, debe contener los pasos recuperar los sistemas además de permitir recolectar la información necesaria que permita hacer una evaluación de lo ocurrido.
Como resultado, se deben obtener los planes de mejora para responder ante los incidentes e incluso corregir las fallas que permitieron que se materializara el riesgo.
5. Documentar y establecer equipos de respuesta
El plan de respuesta a incidentes debe estar formalizado para que sea conocido por todos aquellos que deberían intervenir en la recuperación de un incidente de seguridad.
Si se tiene claramente definido quiénes son las personas y cuáles son los pasos que deben seguirse para atender un incidente de seguridad, se puede ahorrar tiempo valioso que permita reducir el impacto del incidente e incluso evitar daños mayores sobre la información de la empresa.
6. Considerar los dispositivos móviles dentro de la gestión de riesgos
Si bien los móviles se han incorporado dentro de las actividades diarias en las empresas, aún persisten aspectos de seguridad que deben ser considerados para garantizar que la información que se maneja en estos se mantenga a salvo.
Dado que en estos dispositivos se maneja información cada vez más sensible y dado que ya van más de 10 años de amenazas para móviles, se deben considerar escenarios que van desde la pérdida o daño del dispositivo hasta la infección con algún código malicioso que pueda comprometer la confidencialidad o integridad de la información que se maneja en el dispositivo móvil.
7. Conocer la mente del atacante
Anticiparse a la ocurrencia de un incidente puede no ser posible debido a la amplia superficie de ataque que tienen los atacantes. Pero conocer como pueden operar los atacantes, las técnicas que pueden utilizar y en general la forma en que podría pensar puede ser una ayuda extra para atender más rápidamente un incidente.
Existen metodologías como por ejemplo Cyber Kill Chain, que consiste en una serie de pasos que describen cómo se lleva a cabo un ataque y por lo tanto nos da la visión de donde deberíamos enfocarnos para proteger nuestra información.
8. Capacitación constante en manejo de riesgos de seguridad
Si bien deben quedar definidos los equipos que van a actuar en caso que se presente un incidente de seguridad, todos los empleados de la empresa deben tener la información necesaria para identificar situaciones que pudieran poner en riesgo la seguridad de la información.
Muchos ataques no afectan directamente la infraestructura tecnológica sino que tratan de vulnerar el factor humano utilizando Ingeniería Social.
9. Establecer un plan de comunicación
Tan importante como poder responder a un incidente que afecte la seguridad de la información, es primordial comunicar sobre la brecha de seguridad tanto al público interno como externo, además de informar sobre las acciones realizadas y las medidas correctivas que se van a implementar.
Si bien puede que divulgar toda la información no resulte relevante, sí es muy importante brindar los datos necesarios para que tanto clientes, empleados y directivos tengan el conocimiento de que fue lo que ocurrió para evitar especulaciones que afecten de manera importante la reputación de la empresa.
10. Realizar pruebas de los planes de respuesta a incidentes
Tener definidos los pasos a seguir ante un incidente, los equipos que deben intervenir y los planes de comunicación adecuados es una parte fundamental de la respuesta a incidentes y a menos que sean probados de forma rigurosa no va a ser posible estar seguros que realmente funciona como se espera.
Las pruebas periódicas sobre los procedimientos establecidos en el plan son la mejor alternativa para garantizar que un plan funciona, además de permitir establecer las acciones de mejora que lo conviertan en un plan más efectivo.
Como ya lo hemos mencionado, la gestión de la seguridad de la información debe ir más allá del tamaño de la empresa. Gestionar la seguridad no es garantía de que los incidentes no vayan a ocurrir, pero si se hace de forma adecuada, sí podemos estar seguros que podremos responder de la forma más adecuada y minimizar los impactos negativos que estos puedan tener sobre el negocio.
Para aprender más, pueden acceder al Curso de Gestión y Respuesta a Incidentes de la Plataforma Educativa ESET.