Según las estadísticas, cuantas más empresas trasladen sus operaciones a la realidad digital, más riesgos de ciberseguridad aparecen. Según una encuesta de seguridad de datos de GetApp 2020 , el 35% de las empresas que respondieron enfrentaron una violación de datos en el 2020 saliente, y el 28% se enfrentó a un ataque de ransomware.
¿Qué harías? ¿Tiene usted y su organización un plan de respuesta?
Creemos que sabemos la respuesta, según el informe de IBM, solo el 26% de las empresas tienen un plan de respuesta de seguridad bien definido para las violaciones de datos y otros tipos de ciberataques. En esta publicación, discutiremos qué es un plan de respuesta a incidentes de ciberseguridad y cómo lo beneficiará. Y destacaremos cinco pasos para crear un plan de respuesta a incidentes y brindaremos una variedad de recursos para ayudarlo a comenzar.
¿Qué es un incidente de seguridad cibernética?
Un incidente de ciberseguridad es cualquier evento que viola la política de seguridad de TI de una organización y pone en riesgo datos confidenciales, como los datos financieros de los clientes. Infección de malware, ataques DDoS, ataques de ransomware, acceso no autorizado a la red, ataques internos y phishing son solo algunos de los tipos comunes de incidentes de ciberseguridad.
¿Qué es un plan de respuesta a incidentes de ciberseguridad?
Un plan de respuesta a incidentes de ciberseguridad es un conjunto de instrucciones para ayudar a sus empleados a identificar , responder y recuperarse de incidentes de ciberseguridad .
Dicho plan incluye medidas a seguir para prevenir ciberataques, pasos a seguir cuando una empresa ya se enfrenta a un ataque y acciones posteriores al ataque, como informar a las partes interesadas o denunciar el incidente a las agencias gubernamentales.
Por qué necesita un plan de respuesta a incidentes de ciberseguridad
Estas son las principales razones por las que toda organización necesita un plan de respuesta a incidentes de ciberseguridad bien documentado y actualizado periódicamente.
Preparado para hacer frente a los ciberataques
Con un plan de respuesta, usted y su equipo sabrán exactamente qué hacer. Al hacerlo, todos tendrán un papel documentado y su propia responsabilidad. No necesitará dar instrucciones adicionales a su equipo para que no haya pérdidas de tiempo o interrupciones en la comunicación.
Seguirás las reglas
En caso de una violación de seguridad, debe cumplir con muchos requisitos, como informar a las partes interesadas y reportar el incidente a las autoridades. Un plan de respuesta lo ayudará a realizar un seguimiento y cumplir con estos requisitos. Por ejemplo, la ley de protección de datos del consumidor de GDPR requiere que informe un evento de seguridad dentro de las 72 horas posteriores a su ocurrencia, y el estándar de seguridad de la información financiera PCI DSS requiere que tenga un plan de respuesta a incidentes y lo revise al menos una vez al año.
No tiene que depender de la respuesta a incidentes ad hoc
Un plan de respuesta a incidentes de seguridad cibernética es un documento escrito que establece claramente los pasos que usted y sus empleados deben tomar cuando se detecta una brecha de seguridad. Está aprobado por la dirección de la empresa, lo que significa que no tienes que improvisar. De acuerdo, una respuesta preparada es más efectiva que una espontánea y caótica.
5 pasos para crear un plan de respuesta a incidentes de ciberseguridad
1. Documente los tipos comunes de incidentes de seguridad.
Para comenzar, cree un documento que enumere las amenazas potenciales para su negocio; lo ayudará a preparar diferentes estrategias para responder a diferentes tipos de incidentes cibernéticos.
2. Priorice los incidentes de seguridad según su gravedad.
Los incidentes de seguridad varían en magnitud y gravedad. Un archivo dañado en la computadora portátil de un empleado puede considerarse de menor prioridad que un ataque DDoS, que puede deshabilitar todo el sitio. Determine la gravedad de cada incidente de seguridad para decidir si resolverlo primero.
Por lo tanto, evalúe si el incidente afecta sus datos (los hace inaccesibles, los roba o da como resultado su pérdida) o su capacidad para atender a los clientes o realizar operaciones. Cualquier incidente que afecte tanto a la seguridad de los datos como a la seguridad operativa debe tratarse con prioridad.
Utilice nuestra herramienta de priorización de incidentes de seguridadpara evaluar los riesgos de varios incidentes de seguridad.
Indica el impacto del incidente en tus operaciones y datos (no, bajo, medio o alto), y el servicio mostrará automáticamente si realmente es una prioridad, o si su resolución puede esperar un poco.
No olvide establecer un marco de tiempo para resolver cualquier incidente identificado. Idealmente, los incidentes de alta prioridad deben resolverse dentro de las 2 a 6 horas posteriores a la detección, mientras que los incidentes de baja prioridad deben resolverse dentro de las 24 horas.
3. Cree un diagrama de flujo de respuesta a incidentes que indique las acciones necesarias
El plan de respuesta a incidentes determinará los pasos que debe seguir para contener el ataque. Cree su plan en un diagrama de flujo para que su equipo pueda comprender rápidamente qué ruta de mitigación de amenazas utilizar.
Un ejemplo de circuito.
Indique quién es responsable de completar cada paso mencionado en su diagrama de flujo. Distribuya responsabilidades claras y sin conflictos entre sus empleados para que no haya conflictos o disputas innecesarias.
Utilice la matriz Responsable, Responsable, Consultado e Informado (RACI) para indicar quién debe ser responsable, responsable, consultado o solo informado sobre los diversos pasos en la respuesta a incidentes. Esta podría ser una persona; por ejemplo, su gerente de seguridad será responsable de mantener los registros de incidentes, ser responsable de las operaciones técnicas, asesorar sobre los informes posteriores al incidente y proporcionar coordinación y enlace general con las agencias reguladoras.
Aquí hay una matriz RACI de muestra que describe las responsabilidades de las diferentes partes interesadas, que puede descargar y personalizar para que se adapte a las características de su organización. Por ejemplo, si no tiene un MSSP, su gerente de seguridad será responsable de todas las operaciones técnicas.
4. Pruebe y capacite a sus empleados.
Un programa de respuesta a incidentes por sí solo no es suficiente. Debe probar su eficacia mediante la realización de simulacros que también capacitarán a sus empleados en su función en la gestión de incidentes de seguridad. Aquí hay un ejercicio de equipo rojo y azul efectivo que puede hacer como modelo.
5. Actualice su plan de respuesta a incidentes con regularidad.
Actualice su plan con regularidad para mantenerse al día con los cambios en el panorama de amenazas o para incluir nuevas medidas de seguridad que haya tomado recientemente. Revise su respuesta al menos una vez al año y trabaje para reducir el tiempo que dedica a contener y recuperarse de incidentes.
Utilice la información recopilada de incidentes de seguridad anteriores y simulacros de desastres para identificar oportunidades de mejora e implementar nuevos controles para su plan de respuesta a incidentes de seguridad (por ejemplo, asegúrese de buscar pasos que puedan automatizarse).
Finalmente, utilice software dedicado, ya que puede ayudarlo a detectar y remediar las amenazas de seguridad de manera más efectiva. Permiten que las operaciones comerciales continúen incluso cuando las actividades de respuesta a incidentes se realizan en segundo plano.
Éstos son algunos de ellos:
- Software antivirus
- Software de seguridad para terminales
- Software de seguridad de red
- Software de monitoreo de red
- SIEM
- Software de respaldo de datos
- Software de continuidad empresarial