Actualmente las empresas ponen mucho énfasis en cosas de ciberseguridad como firewalls, microsegmentación y acceso a la red de confianza cero. Lo que debe entenderse es que, si bien la prevención es un objetivo legítimo y que vale la pena perseguir, no es posible evitar todos los posibles incidentes.
Por lo tanto, es importante que se cuestionen si las organizaciones están preparadas para responder ante ciberataques o más puntualmente si tienen una estrategia de respuesta a incidentes cibernéticos (CIR, Cyber Incident Response).
De acuerdo con Hillstone Networks, se debe tener en cuenta que una acción de respuesta es lo que sigue a la detección, por lo tanto, una estrategia CIR sólida puede significar la diferencia entre una respuesta inadecuada y una que mitigue por completo la amenaza en cuestión.
En pocas palabras, la estrategia CIR de una organización sirve como hoja de ruta para abordar los ciberataques y mitigar sus impactos. Por ello, dicha firma ha preparado un kit de supervivencia de cinco pasos para que las empresas sepan qué hacer en caso de un ataque cibernético.
- Preparación
Una estrategia CIR sólida comienza con la preparación para los incidentes antes de que ocurran. Los expertos en seguridad identifican los activos que necesitan protección y luego los priorizan en consecuencia. Se desarrolla un plan de respuesta a incidentes para crear una lista de políticas y procedimientos para abordar cada fase de un incidente a medida que se desarrolla.
La preparación también incluye capacitación, pruebas y perfeccionamiento de estrategias de respuesta, mantener los recursos necesarios para responder a incidentes y asociarse con una variedad de organizaciones del sector público y privado capaces de mejorar la seguridad de una organización.
- Identificación
Lo que Hillstone Networks a menudo llama detección se conoce en el espacio CIR como identificación. En pocas palabras, responder adecuadamente a los incidentes de seguridad requiere identificarlos tal como son. Se utiliza una variedad de motores de detección para identificar actividades sospechosas en todos los niveles de una red o entorno de nube.
De la mano de la identificación están los informes y la escalada. Toda actividad sospechosa debe reportarse a través de los canales adecuados. Si se requieren alertas o escalamientos adicionales, los criterios establecidos determinarán el curso de acción.
- Contención
Dado que es imposible prevenir todos los incidentes antes de que ocurran, contener las amenazas identificadas es fundamental para CIR. Cualquier amenaza, por menor que sea, debe contenerse inmediatamente para evitar una mayor propagación. Puede analizarse y abordarse después de la contención.
Las políticas de contención pueden variar según los activos vulnerables y la gravedad de las amenazas detectadas. Por lo tanto, una estrategia CIR integral incluye políticas para determinar el alcance y el nivel de amenaza. Junto con esas políticas, existen procedimientos para proteger los datos forenses y otra información que pueda ser necesaria para futuras investigaciones.
- Eliminación
El cuarto punto es la eliminación. Una vez identificadas, contenidas y analizadas adecuadamente las amenazas, es hora de eliminarlas por completo. La eliminación consiste en eliminar la causa raíz del ataque en cuestión. Podría ser malware, acceso no autorizado, credenciales inadecuadas o cualquier otra cantidad de cosas.
La fase de eliminación a menudo incluye parchear las vulnerabilidades para evitar vulnerabilidades de funciones. Una estrategia CIR sólida proporciona parches inmediatos y sin demora.
- Recuperación
CIR incluye recuperación por el simple hecho de que algunos incidentes provocan daños a las redes, los datos, los procesos comerciales e incluso la continuidad. Con suerte, las estrategias de detección y respuesta de una organización son lo suficientemente sólidas como para mitigar los daños más graves. No obstante, cualquier daño causado debe abordarse mediante planes de recuperación cualificados que devuelvan la normalidad a la organización.
La recuperación debe incluir un enfoque en minimizar tanto el tiempo de inactividad como el daño a la marca de una organización. Por tanto, la recuperación no es exclusivamente técnica. También incluye comunicación, informes, etc.
“En Hillstone Networks, creemos que cada organización necesita una estrategia CIR sólida. Cuanto más integral sea la estrategia, mejor tiende a ser la posición de una organización contra los ciberataques”, comentó Zeyao Hu, director general de Marketing Global en Hillstone Networks.
