Garantizar que las empresas estén debidamente preparadas para reaccionar ante un ciberataque, para asegurar los activos y con posterioridad los datos, depende totalmente de las medidas proactivas que las empresas tomen por adelantado para poder responder a un incidente de este tipo de forma rápida y eficaz.
Por ello, las compañías deben contar con un plan de respuesta a incidentes que detalle cómo deben responder a los ciberataques. Este debe contar con la participación completa no sólo de las divisiones de ciberseguridad o TI, sino de toda la empresa, desde el marketing y las ventas hasta el CEO y la junta directiva, si procede.
Esto es crucial en las empresas de todos los tamaños, para garantizar que todo el mundo está leyendo la misma hoja de ruta en caso de que ocurra lo impensable. Las reacciones precipitadas a un ciberataque, tanto a nivel interno como externo (a los clientes, socios, partes interesadas y la prensa), pueden hacer mucho más daño que un enfoque cuidadosamente considerado.
Dependiendo de su tamaño y de sus capacidades internas de ciberseguridad, las empresas deberían analizar o contratar a su proveedor de servicios de seguridad gestionados (MSSP) si están sufriendo alguno de los siguientes fallos de seguridad, que pueden indicar que un ciberataque es inminente o ya está en marcha:
- ¿Tiene la empresa puertos abiertos y de riesgo, como el protocolo de escritorio remoto (RDP), la autenticación y los puertos del almacén de datos?
- ¿Hay evidencia de tráfico saliente hacia infraestructura maliciosa conocida?
- ¿Es la empresa objetivo de IP conocidas que están asociadas con el ransomware?
Si una organización detecta que se están produciendo las anomalías mencionadas, debe seguir los seis pasos siguientes para desarrollar un plan de respuesta a incidentes.
1. Preparación
Esto comienza con la preparación completa para un potencial ciberataque. Las empresas necesitan una guía paso a paso para definir cómo los equipos de respuesta a incidentes gestionarán los mismos, incluyendo los planes de comunicación interna y externa y la documentación del incidente.
El argumento es que una empresa es tan segura como su eslabón más débil, en este caso, la empresa dentro de su cadena de suministro con las prácticas de ciberseguridad más débiles, debería estar presente. A medida que la seguridad interna se vuelve más segura, la cadena de suministro de una organización suele convertirse en el eslabón más débil.
Las cadenas de suministro son los proveedores que están conectados a la red de una organización. A medida que el tamaño de los ecosistemas de la cadena de suministro continúa aumentando, con la investigación de BlueVoyant que indica que el número de empresas que informan sobre cadenas de suministro de más de mil empresas aumentó del 8 por ciento en 2020 al 43 por ciento en 2021, un enfoque proactivo es crucial para garantizar que todos los departamentos de todas las organizaciones en una cadena de suministro estén preparados.
2. Identificación
Se trata de la detección de actividades maliciosas. Ya sea que se base en herramientas de seguridad y monitoreo, información de amenazas disponible públicamente o información interna, una parte importante de la identificación es recopilar y analizar tantos datos como sea posible sobre la actividad maliciosa. Los equipos de respuesta a incidentes también deben distinguir entre la actividad benigna y el verdadero comportamiento malicioso.
Esto requiere un esfuerzo considerable para revisar las alertas de seguridad y determinar si las alertas son “falsos positivos”, que no son incidentes de seguridad reales, o “verdaderos positivos”, que indican actividad maliciosa.
En esta fase es importante que la consultoría de inteligencia de amenazas/respuesta a incidentes de una organización se asegure de que ha obtenido cualquier prueba que pueda ser sometida a escrutinio como parte de un procedimiento legal formal.
También es crucial asegurarse de que los asesores jurídicos de la empresa han sido plenamente informados de la situación que se está desarrollando, pero las organizaciones deberían recurrir a los MSSP que pueden ayudar a los asesores jurídicos y a los abogados antes y durante el curso de los procedimientos.
3. Contención
La contención es un intento de impedir que la amenaza se extienda en el entorno y haga más daño. Hay dos tipos de contención:
- Contención a corto plazo: acción inmediata para evitar que la amenaza se extienda. Por ejemplo, poner en cuarentena una aplicación o aislar un sistema de la red.
- Contención a largo plazo: restaura los sistemas a la producción en un estado limpio, idéntico a como estaban configurados antes de que se introdujera la amenaza.
4. Erradicación
Este proceso incluye la identificación del punto de intrusión, la evaluación de la superficie de ataque y la eliminación de cualquier acceso de puerta trasera restante. En esta etapa, el equipo de respuesta a incidentes neutraliza cualquier ataque restante. Como parte de este paso, el equipo determina la raíz del incidente para entender cómo prevenir ataques similares.
5. Recuperación
En esta etapa, el equipo de respuesta a incidentes devuelve los sistemas al funcionamiento normal. Las cuentas comprometidas reciben nuevas contraseñas más seguras o se sustituyen por un método de acceso más seguro. Se corrigen las vulnerabilidades, se evalúa la funcionalidad y se reanudan las operaciones normales.
6. Recomendaciones
Hay lecciones que aprender de cualquier incidente de ciberseguridad, tanto a nivel de procesos como porque las amenazas cambian y evolucionan constantemente. Aprender de la experiencia y determinar qué fue lo que falló es un paso crucial para mejorar su plan de respuesta a incidentes en curso. Es una buena práctica llevar a cabo una reunión post-mortem con todo el equipo para proporcionar información sobre lo que funcionó y lo que no, y plantear sugerencias para la mejora del proceso.
Las primeras 72 horas después de una violación de datos son críticas. Cada decisión que toma una organización puede tener repercusiones financieras, legales, reglamentarias, de investigación y de percepción. Esto puede incluir la interrupción de las operaciones, el retroceso de los clientes, el aumento de los presupuestos de seguridad y de seguros, el robo de la propiedad intelectual, la devaluación del nombre de una empresa (lo que puede dar lugar a una caída del precio de las acciones o de la confianza de los inversores), y mucho más.
Además, el número de ciberataques, en particular los de ransomware, se ha disparado, y los ciberdelincuentes se aprovechan de una superficie de ataque enormemente ampliada. Por lo tanto, es vital que las organizaciones se preparen activamente para los ciberataques, ya sea reforzando sus propias capacidades de ciberseguridad y respuesta a incidentes, o contratando a un MSSP para que la preparación cibernética sea tanto un protector del negocio como un factor de crecimiento.