7 minutos de lectura 5 dic. 2019
Discusión sobre una superficie digital

Cómo deben responder las organizaciones ante un ciberataque complejo

7 minutos de lectura 5 dic. 2019

Mostrar recursos

  • Who and what is involved in a high impact cyber response (pdf)

Cuando ocurre un incidente cibernético, las organizaciones deben estar listas para responder con rapidez y precisión. Exploramos cinco pasos críticos.

Responder a un incidente cibernético complejo requiere una amplia investigación para apoyar la recuperación, remediación, consultas regulatorias, litigios y otras actividades asociadas. Las organizaciones necesitan realizar investigaciones competentes con rapidez y precisión. De lo contrario, el impacto financiero y reputacional puede ser profundo – incluyendo, pero no limitado a: riesgo de pérdida de ingresos por disrupción del negocio, multas regulatorias por incumplimiento y pérdida de confianza del cliente.

En caso de un ciberataque grande y complejo, muchos actores se ven afectados. Su participación en las actividades de respuesta es crítica. Sin embargo, una respuesta efectiva y oportuna requiere algo más que su participación – la colaboración estrecha y permanente es clave. Solo cuando los actores involucrados trabajan juntos de manera efectiva puede ser posible una respuesta oportuna, precisa y rentable.

Es muy común que una organización contrate a un tercero independiente para ayudar a gestionar las actividades de respuesta en caso de un ciberataque importante. El tercero necesita poseer una profunda experiencia legal, de cumplimiento e investigación para poder comunicarse de manera efectiva con todos los stakeholders. Ayudan a realizar investigaciones oportunas y exhaustivas, activar el plan de continuidad del negocio con precisión, hacer cumplir un proceso de comunicación entre todos los stakeholders y gestionar de manera centralizada todas las consultas recibidas de grupos externos e internos, ya que el incidente continúa desarrollándose a lo largo de días, semanas o incluso meses.

Plan centralizado de respuesta cibernética

Un plan centralizado de respuesta cibernética es fundamental para reunir a los stakeholders que pueden tener diferentes prioridades pero que deben colaborar para resolver el ciberataque. Explorando sus roles.

  • Junta directiva: La supervisión de riesgos es una función de toda la junta directiva. La junta directiva supervisa la estrategia de respuesta que incluye comunicarse con los empleados, el público, los accionistas y, muy probablemente, los reguladores y las fuerzas del orden. La junta directiva (o comité de auditoría) también necesita trabajar a la par con el CFO y el auditor externo.
  • CFO: El CFO tiene la responsabilidad de verificar la integridad de los controles y datos financieros de la empresa, comprender el posible impacto financiero adverso del incidente y determinar la información financiera adecuada en los documentos pertinentes, todo lo cual tiene un impacto directo en la comunicación de la junta directiva con los accionistas y el público en general.
  • Asesoría legal interna: El abogado interno tiene un papel activo en el trabajo con los investigadores forenses en asuntos prácticos como la recolección de pruebas, el análisis de causa raíz y el descubrimiento electrónico. El abogado interno generalmente toma la iniciativa en la comunicación con reguladores y asesores externos. Deben determinar rápidamente el posible cumplimiento del incidente y los impactos legales para poder interactuar de manera efectiva con diversos stakeholders externos.
  • Comunicaciones: Los equipos de comunicación interna y externa son importantes para garantizar que el incidente se comunique adecuadamente a empleados, clientes, accionistas y otros terceros que puedan verse afectados. Si se les educa adecuadamente, los empleados pueden ayudar a facilitar la investigación y tomar las medidas necesarias para evitar que la brecha se extienda aún más. La comunicación oportuna con el público es fundamental para restaurar la confianza e infundir confianza en la capacidad de la organización para gestionar el riesgo cibernético y minimizar el impacto negativo del incidente en sus operaciones y clientes.
  • Cumplimiento y ética: El director de cumplimiento (CCO, por sus siglas en inglés) es responsable de evaluar el riesgo de cumplimiento normativo en caso de un ciberataque, ya sea relacionado con la protección de datos y privacidad, o regulaciones específicas del sector. Un ciberataque importante a menudo abarca múltiples países o jurisdicciones; el CCO puede enfrentar desafíos para abordar la disparidad — y a veces incluso el conflicto — entre jurisdicciones. El CCO debe trabajar en estrecha colaboración con los especialistas en privacidad, el departamento jurídico, la junta directiva y el equipo ejecutivo mientras manejan estos temas.
  • CSO: Muchas organizaciones grandes emplean a un director de seguridad (CSO), cuya responsabilidad clave es la seguridad general de todos los activos — ya sean físicos, informáticos, propiedad intelectual o personas — contra todas las amenazas, como la negligencia accidental, los infiltrados malignos, los delincuentes profesionales o los grupos patrocinados por el Estado. En las industrias reguladas, las contrataciones gubernamentales y de defensa y los servicios críticos de infraestructura nacional, el CSO suele ser responsable del cumplimiento de la legislación nacional que rige la seguridad como parte de la “licencia para operar” de la organización.
  • CISO: El director de seguridad de la información (CISO) trabaja en estrecha colaboración con el equipo de investigación para determinar rápidamente la causa principal del ataque, comprender su alcance y evaluar su impacto en el riesgo — datos robados, sistemas impactados y nivel de penetración — para contener y erradicar la amenaza y realizar actividades de remediación. El CISO también debe estudiar cuidadosamente los resultados de la investigación y recopilar información útil para que las lecciones aprendidas se utilicen para fortalecer la estrategia de seguridad de la información de la compañía y las respuestas futuras.

La respuesta cibernética consiste en una serie de etapas que deben planificarse cuidadosamente. El plan necesita involucrar a profesionales con diversos antecedentes en investigación, seguridad de la información, legal, cumplimiento normativo y comunicación. 

Cinco pasos para responder a una crisis

El actual entorno de amenazas es tal que sólo es cuestión de tiempo antes de que una organización sufra un ciberataque importante. Las organizaciones necesitan tener una comprensión clara de los pasos clave de la respuesta cibernética para estar adecuadamente preparadas cuando llegue la crisis. Los cinco pasos de la respuesta cibernética son interdependientes y sin ningún orden secuencial. Realizarlos en paralelo puede acortar el tiempo de resolución y reducir la exposición al riesgo.

1. Planear

Un ciberataque puede pasar desapercibido durante mucho tiempo. La realización constante de monitoreo y diagnóstico en toda la empresa es la clave para la detección y resolución tempranas.

2. Identificar y escalar

En esta fase, el conocimiento del entorno de red de la empresa es fundamental, ya que el equipo de respuesta aísla el incidente y se centra en los sistemas y datos afectados. Dependiendo de la gravedad, complejidad y urgencia del incidente, se promulgan procedimientos de escalamiento adecuados con base en criterios preestablecidos. Las pautas de clasificación deben ajustarse continuamente para mantenerse al día con el entorno de riesgo de la organización para que no se desaprovechen los riesgos críticos y los riesgos de bajo nivel no ocupen recursos preciosos.

3. Investigar

Los investigadores suelen trabajar en estrecha colaboración con la seguridad de la información para determinar cómo y cuándo ocurrió el compromiso, la causa raíz y el impacto en la organización. Un incidente importante puede involucrar varios ciclos de investigación y cada ciclo incluye cuatro actividades clave: recopilación de evidencia, análisis, contención y erradicación.

Diagrama de flujo de investigaciones forenses
  • La recopilación de pruebas debe realizarse de una manera forense, de manera que los hallazgos puedan soportar el escrutinio legal y regulatorio.
  • El análisis ayuda a identificar la causa principal y las computadoras y sistemas contaminados que deben aislarse y eliminarse para que el virus no se propague más en la red. 
  • La contención y erradicación podrían revelar nuevos riesgos que deben analizarse más a fondo — el ciclo de actividades continuará hasta que el sistema vuelva a su estado normal, y todas las áreas expuestas hayan sido estudiadas y mitigadas a fondo. Todas las actividades deben coordinarse y ejecutarse con rapidez y precisión, ya que los atacantes a menudo intentarán restablecer una presencia y atrincherarse en la red.
4. Remediar

La organización comprometida debe identificar y abordar las vulnerabilidades en el entorno, fortalecer suficientemente el entorno para complicar el esfuerzo del atacante por volver a entrar, mejorar su capacidad para detectar y responder a futuros ataques, y prepararse para eventos de erradicación.

5. Resolver y aprender

Esta etapa implica en gran medida la preparación de datos para informes regulatorios, reclamos de seguros, litigios, inteligencia de amenazas y/o notificación al cliente. Más allá de las actividades reactivas, también es importante que la organización convierta un caso reactivo de gestión de crisis en lecciones para la gestión proactiva del riesgo cibernético. El equipo de respuesta cibernética debe resumir las medidas de mejora de la seguridad de la información en función del resultado de la investigación.

La respuesta cibernética consiste en una serie de etapas que deben planificarse cuidadosamente. El plan necesita involucrar a profesionales con diversos antecedentes en investigación, seguridad de la información, legal, cumplimiento normativo y comunicación. El equipo de respuesta necesita poder movilizarse en un momento y trabajar como una máquina bien aceitada. Para hacerlo, deben realizar ejercicios de mesa de forma regular para asegurarse de que los conjuntos de habilidades se mantengan actualizados con las últimas amenazas y que los enlaces de comunicación sigan operativos.

 

Resumen

Un plan de respuesta cibernética bien definido proporciona orientación a todas las líneas de negocio involucradas en la respuesta, establece un nivel de comprensión sobre qué información es crítica, así como cuándo y cómo expresarla, y permite una reacción continua con precisión. El plan necesita involucrar a profesionales de investigación, seguridad de la información, legal, cumplimiento normativo y comunicación con la capacidad de movilizarse en un momento y trabajar juntos. Para ello, deben cerciorarse de que sus conjuntos de habilidades estén lo más actualizados posible con las últimas amenazas y los enlaces de comunicación permanezcan operativos.