¿Cuál es la estrategia de respuesta más efectiva ante un incidente?

La respuesta que necesitas antes de ser víctima de un ciberincidente.

¿Cómo puedes saber la forma más efectiva de actuar antes de ser víctima de un ataque dirigido? Una pregunta complicada, ¿no? Según nuestra encuesta, el 42% de las organizaciones no tienen una respuesta clara a esta pregunta. Además, la mayoría de especialistas en seguridad de la información que respondieron a la encuesta (el 63%, para ser precisos), no pudieron dar una respuesta clara. Pero la respuesta a esta pregunta debe ser meditada con anticipación.

Enfoque de “esperar y ver”

La típica estrategia de seguridad de la información consiste, mayormente, en tecnologías y políticas preventivas con el principal objetivo de prevenir la penetración de externos a la infraestructura de la información. Funciona bien ante amenazas generales. Sin embargo, los ataques dirigidos más complejos están diseñados para sobrepasar esta estrategia. Y cuando ocurre un ciberincidente, todos, incluyendo a los empleados del departamento de seguridad de la información, batallan por saber cómo contratacar.

En muchos casos, las empresas llegan a la conclusión de que no hacer nada, es la mejor estrategia. Pero claro, las bonificaciones se podrían perder, y se emitirían órdenes para hacer lo necesario para evitar que volvieran a ocurrir este tipo de incidentes en un futuro (en otras palabras, para mejorar las medidas preventivas). La razón de tomar esta decisión es que la administración tiene miedo de tener más pérdidas. Después de todo, la investigación de un ciberincidente podría provocar que los sistemas que son críticos para la continuidad de los procesos claves de una empresa se detuvieran.

Mientras tanto, después de sufrir un ataque, es muy importante analizar lo que pasó, qué información tienen los atacantes, cuánto tiempo estuvieron dentro del sistema, y cómo accedieron. ¿Obtuvieron credenciales financieras? ¿O los datos de tarjetas de crédito de los clientes? De ser así, necesitas medidas urgentes, de lo contrario, el incidente provocará más pérdidas.

Proceso unificado de respuesta a incidentes

Para minimizar el número de sorpresas tan desagradables en caso de un ciberincidente, es necesario desarrollar con anticipación un proceso de respuesta a ataques dirigidos y complejos. Una de las nuevas herramientas que puede reforzar todas las estrategias posibles es un sistema de clase llamado Endpoint Detection and Response (EDR). Este suplementa a los centros de operaciones de seguridad con métodos de nueva generación como la caza de amenazas (threat hunting).

Este tipo de sistemas permite a los especialistas en seguridad de la información recolectar toda la información necesaria para un análisis detallado de todas las estaciones de trabajo. Estos expertos pueden estudiar las anomalías de forma remota, remover quirúrgicamente o bloquear la amenaza, e implementar los procesos de recuperación. Y pueden hacerlo de manera imperceptible para los usuarios, sin la necesidad de acceso físico a los equipos y sin interrumpir en absoluto la continuidad de los procesos de negocio de la empresa.

En muchos casos, la herramienta EDR te permite identificar un incidente desde la primera fase, cuando los atacantes ya penetraron tu red, pero aún no han causado daños importantes, antes de que puedan transmitir información sobre tu infraestructura.

Puedes encontrar más información sobre cómo responder a los ciberincidentes en nuestro estudio: “Nuevas amenazas, nueva mentalidad: estar preparado para los riesgos en un mundo de ataques complejos”

Consejos