Colaboración, contextualización, control: los tres pilares de la respuesta ante incidentes

Más vale prevenir que curar. Esta frase, que tanto utilizamos en nuestra vida diaria, debería ser la clave de toda estrategia de seguridad en cualquier empresa. Sin embargo, hay algunas personas que desprecian este viejo refrán y, a pesar de todas las nefastas noticias que a menudo muestran la cantidad de ciberataques perpetrados por los cibercriminales, muchos gerentes de seguridad de TI se encuentran entre ellos. No están completamente equivocados porque, en el campo de la ciberseguridad, la prevención por sí sola ya no es suficiente. Las herramientas desarrolladas por los estados-nación están ahora en manos de ciberdelincuentes con recursos colosales. Llevar a cabo un ciberataque es cada vez más sencillo: kit de ransomware, ataques masivos, herramientas de IA capaces de marcar los pasos… hoy en día se pueden lanzar ciberataques siguiendo un libro de instrucciones y, sin embargo, la concienciación de gran parte de la población y numerosas cúpulas directivas sigue sin ser la adecuada.

Estamos presenciando la publicación, a un ritmo alarmante, de informes de ataques exitosos. Sin embargo, pocas empresas siguen concediendo importancia a la aplicación de medidas eficaces de respuesta posterior al incidente. El 44% de los profesionales encuestados dicen que gastan menos en la respuesta posterior al incidente que en predecir, prevenir o detectar ataques. Un grave error dado que se ha demostrado que ninguna empresa está 100% protegida y es muy probable que, antes o después, se vea afectada por un ciberataque.

En el campo de la respuesta ante incidentes, es mejor adoptar un enfoque correcto que tirar dinero por la ventana para solucionar rápidamente el problema. Mayor colaboración entre los miembros del equipo, visibilidad óptima de la infraestructura y los eventos de TI, respuesta rápida a las amenazas... Estos son aspectos clave de la protección que no deben pasarse por alto si se desea tener una estrategia clara con la que poder defenderse de un ciberataque.

Contar con las herramientas y técnicas para detectar, contener y responder rápidamente a los ataques cibernéticos es vital para poder responder de forma efectiva. Así, será capaz de identificar debilidades en su infraestructura de TI que podrían ser utilizadas por los piratas informáticos para moverse por su red y bloquear los problemas antes de que lleguen realmente a afectar a los sistemas de la empresa. Eso sí, no vale con invertir en tecnología, hoy en día son muchas las noticias que hablan del aumento de la inversión en ciberseguridad, de cómo el sector está adquiriendo importancia, pero no basta con invertir en tecnología. También hay que saber implementarla y aprovechar sus capacidades al máximo para mejorar la protección y para ello se necesitan profesionales capaces de entender la tecnología y su funcionamiento.

En definitiva, si quieres que estas herramientas funcionen, tienes que ponerlas en manos de los expertos adecuados. Pero no vamos a entrar ahora a hablar ahora de la escasez de perfiles técnicos y las dificultades que tienen las empresas de tecnología y ciberseguridad para retener el talento, es un tema que hemos tratado en diversas ocasiones y que, por desgracia, va a acompañarnos en el medio-largo plazo.

Vamos a centrarnos en cómo crear una estrategia de respuesta continua capaz de marcar la hoja de ruta en caso de ciberataque. Una táctica de protección ante amenazas debe basarse en tres pilares: colaboración, contextualización y control.

En la práctica, la aplicación de estas tres "c" se puede traducir de varias maneras: mayor participación del personal de seguridad en las decisiones comerciales, desarrollo de procesos estandarizados, mejor comunicación entre las partes, visibilidad optimizada del entorno de TI para el equipo de seguridad, transición fluida entre detección y respuesta y un largo etcétera.

Es posible que las empresas no gasten tanto en la respuesta posterior al incidente como lo hacen en otros aspectos de su seguridad cibernética pues siempre tendemos a pensar que “nunca nos va a pasar” por eso es necesario, al menos, contar con los expertos, procesos y servicios adecuados capaces de poner remedio en una situación compleja.

Algunas recomendaciones a considerar para desarrollar un plan de respuesta ante amenazas serían:

- Entrenar a los empleados: Cuando un empleado descubre una intrusión, ¿qué es lo que tiene que hacer y a quien debe dar aviso? Los empleados deben ser entrenados para reconocer si algo raro está ocurriendo y saber qué decisiones tomar en caso de alarma.

- Contar con un equipo especializado de respuesta inmediata: una vez dada la señal de alarma, un equipo debe estar listo para tomar acción inmediata para la implementación de acciones específicas y una acción coordinada que intente, en caso de tener al cibercriminal dentro de los sistemas, minimizar su ámbito de acción. Considere incluir a su equipo de relaciones públicas, recursos humanos, gerencia de instalaciones y representantes de otros departamentos. Y recuerde que la Junta de administración deberá asistirlos en la coordinación e implementación de una solución y respuesta común.

- Preparar una guía en caso de ciberataque: Tener un plan de notificación y establecer relaciones y directrices antes de que se produzca una violación es una de las claves para que paliarla de forma eficiente. ¿A quién deben llamar los empleados exactamente? ¿Qué información deben dar y qué deben hacer? Todo esto es importante a lo hora de responder incidentes ya que la posterior investigación policial necesitará conocer los procesos y acceder a los datos para inculpar al posible atacante.

- Hacer una lista de servicios de mitigación de incidentes: El mejor momento para negociar tarifas competitivas con proveedores de terceros que proporcionan servicios de mitigación de incidentes de seguridad cibernética no es mientras la información de la empresa está en manos de un cibercriminal que pide rescate por ella. Se necesita tiempo para desarrollar estas relaciones y poner en práctica acuerdos legales y procesos de adquisición relacionados con estos servicios. Después de que una organización haya sido hackeada no es el mejor momento para ejecutar un RFP. Prevenir antes que curar es el lema a tener en cuenta en este punto.

- Ejecutar pruebas de forma constante: El entrenamiento para la preparación y la ejecución de escenarios de práctica con el equipo de respuesta a incidentes ayudarán a identificar las posibles brechas y la postura general de seguridad de la organización.