Desde pequeñas empresas y organizaciones sin ánimo de lucro con presupuestos limitados de ciberdefensa, hasta las grandes empresas de la lista Fortune 500 con equipos millonarios, entender qué hacer en las primeras 48 horas tras un incidente cibernético importante es esencial para proteger tu organización y limitar los posibles daños.
Aquí algunas de las preguntas que las organizaciones pueden tener después de un ciberincidente:
- ¿Cómo funciona tu organización si sus ordenadores y servidores están encriptados?
- ¿Debes contratar a una empresa de respuesta a incidentes digitales?
- Si tienes seguro, ¿qué pagará exactamente?
- ¿Debes contratar a un abogado con experiencia en incidentes cibernéticos?
- ¿Pagará tu organización el rescate o no?
- ¿Cómo puedes averiguar qué datos han sido robados?
- ¿Qué ocurre si no pagas?
Preparación y planificación
Esta primera parte del ciclo de respuesta ante el incidente consiste en planificar qué hacer después de que suceda. Pero, antes de que empieces a pensar en lo que ocurre después de un incidente, debes tener implantados procesos que limiten la probabilidad de que ocurra.
Así, la preparación implica dos cosas:
Preparar la gestión de incidentes
La creación de un plan de respuesta a incidentes puede ayudarte a navegar por un ciberincidente de forma eficaz y con un claro sentido de la dirección.
Algunos puntos de ataque comunes son:
- Archivos adjuntos al correo electrónico
- Credenciales comprometidas
- Denegación de servicio distribuido (DDoS)
- Proveedores de terceros, etc.
Prevención de incidentes
Una cantidad insuficiente de controles/medidas de seguridad puede aumentar el número de ciberincidentes. Por pequeños que sean estos incidentes, en cantidades significativas, pueden abrumar al equipo de respuesta y causar graves daños.
Por ello, las organizaciones deben disponer de medidas de seguridad para reducir el riesgo de sufrir un incidente. Como parte de la prevención y la planificación, debes determinar cómo vas a proteger tu red.
¿Cómo puedes recuperar el control de tu red?
- Recuperar los puntos finales (EndPoints): Hay que defender el perímetro.
- Control the Flow: Lock the network down.
- Exit the Attacker: The threat actor must be purged from the network.
Actividad de recuperación y post-incidente
Una vez erradicada la amenaza, es el momento de la fase de recuperación. Hay tres pasos principales de recuperación tras el incidente:
1. Retroceder
Si tu sistema y tus archivos tienen una copia de seguridad, restaura los dispositivos a una fecha anterior.
2. Reconstrucción
Dependiendo del nivel de daño causado por el actor de la amenaza, una reconstrucción puede ser pragmática.
3. Migración
Si mantienes tus datos on-prem (en las instalaciones), puedes hacer la transición a la nube.
Cómo puede ayudar SecurityScorecard
Las primeras 48 horas después de un ciberincidente son críticas. SecurityScorecard está ahí para apoyarte en cada paso del camino.
No Comments