¿Cómo manejar un incidente de seguridad?

Un problema común en las empresas es que no saben cómo actuar ante un incidente de seguridad informática cuando éste llega a presentarse, lo cual puede afectarlas gravemente en la producción de sus productos, en la entrega de sus servicios e incluso dañar también su reputación si no se actúa de forma rápida y adecuada.

Según el Barómetro de Riesgos 2022 de Allianz, los incidentes cibernéticos se destacan como el riesgo más importante que enfrentan las organizaciones a nivel mundial.

De acuerdo con la encuesta, el principal motor es el reciente aumento de los ataques de ransomware, por las tácticas de "doble extorsión" que combinan el cifrado de sistemas con la violación de datos; la explotación de vulnerabilidades (por ejemplo, Log4J, Kaseya) y los ataques hacia infraestructuras físicas críticas (como el caso del oleoducto Colonial en Estados Unidos).

¿Qué debemos hacer ante un incidente de seguridad informática?

Cuando una empresa se encuentra bajo ataque es importante poner énfasis en algunos puntos que son necesarios para lograr mitigarlo y disminuir el impacto que pueda tener en la empresa, y esto solo se consigue cuando se tiene un plan bien preparado o un proceso a seguir para restablecer el servicio afectado.

Con base en esto, listaremos cuatro puntos esenciales que el NIST proporciona mediante su guía para el manejo de incidentes, la NIST SP 800-61.

4 pasos para manejar un incidente de seguridad informática

Preparación

Para empezar debemos tener la seguridad definida aplicada, actualizada y un constante monitoreo. 

En este punto se incluye la creación de un equipo de respuesta a incidentes que será el actor principal en caso de que se consuma un ataque. 

El grupo de respuesta debe tener clara la forma en que debe cómo actuar y qué protocolos seguir en caso de algún incidente suceda. En otras palabras debe estar preparado para un ataque.

Detección y análisis

En esta etapa, los expertos o especialistas de seguridad, en compañía de algunos miembros del equipo de respuesta a incidentes aportarán su conocimiento, experiencia e ideas para analizar la información proporcionada por las herramientas de seguridad y los eventos del monitoreo, tratando de comprender lo que está sucediendo con los activos de información, enfocándose en los que se definieron como críticos para la empresa.

Contención, erradicación y recuperación

En este punto, todo el personal adecuado, junto con los involucrados en la parte esencial del negocio, tomarán la decisión sobre lo que deberá realizar cada uno de ellos para mitigar la amenaza. 

Estas decisiones son difíciles ya que pueden repercutir y provocar un daño adicional a la empresa, por ejemplo, al realizar cambios o configuraciones que afecten otros servicios críticos de la empresa.

Actividad Post-Incidente

En este punto se debe de documentar y tratar de reconstruir los hechos del ataque generando un cronograma, lo que ayudará a comprender lo que originó el incidente, así como a detectar alguna otra vulnerabilidad en la seguridad que pudiera existir, cambiando o mejorando los procesos y/o procedimientos.

Si la organización requiere cumplir con una normativa, será necesario almacenar los logs de este incidente durante el tiempo establecido, así como informar a todos los involucrados, incluyendo clientes y proveedores que pudieran verse afectados.

No es obligatorio utilizar esta metodología en específico, puedes generar una propia con base en la experiencia del responsable de la seguridad, pero ten por seguro que siempre deberá de basarse en los puntos listados anteriormente, por lo que conocerlos te ayudará a comprender de mejor forma los motivos del porqué se realiza cierta actividad.

Contar con un proceso de respuesta a incidentes te ayudará a minimizar los estragos ocasionados por un incidente de seguridad o ciberataque, ¿tu empresa ya está preparada para actuar ante estos eventos?.