Eduardo Argüeso Director de la unidad de IBM Security en España, Portugal, Grecia e Israel.

A medida que los ataques se vuelven más complejos, más dañinos y más frecuentes que nunca, la calidad de la respuesta se vuelve crítica para limitar el impacto. De hecho, una función de Respuesta a Incidentes (IR- Incident Response) consistente ahorra un promedio de 400.000 dólares que pueden suponer daños derivados de un incidente de seguridad, según el Ponemon Institute, en un estudio patrocinado por IBM Resilient.

A medida que los ataques se vuelven más complejos, más dañinos y más frecuentes que nunca, la calidad de la respuesta se vuelve crítica para limitar el impacto. De hecho, una función de Respuesta a Incidentes (IR- Incident Response) consistente ahorra un promedio de 400.000 dólares que pueden suponer daños derivados de un incidente de seguridad, según el Ponemon Institute, en un estudio patrocinado por IBM Resilient.

El estudio Cyber Resilient Organization realizado por el Ponemon Institute revela que los equipos de seguridad se esfuerzan por crear programas de respuesta a incidentes más sólidos y proactivos, pero es evidente que esto implica serios desafíos. Según los datos recogidos, dos tercios de los profesionales de TI y seguridad no confían en la resiliencia cibernética de su organización. Y las tres cuartas partes de ellos no cuentan con un plan de seguridad cibernética que se aplique de forma coherente en toda su organización.

En el estudio se sugiere una guía para mejorar la planificación y preparación de la resiliencia. Resolver y mitigar un ciberataque requiere una acción rápida, inteligente y decisiva. Necesitas poner en marcha un plan para saber qué hacer cuando se produce un ataque y, lo que es más importante, saber y practicar la manera de ejecutarlo.

Hay varios puntos importantes a la hora de planificar la actuación antes de un ataque:

1. Identificar e involucrar a colaboradores internos

La Respuesta a Incidentes ha de ser una prioridad de la organización, con muchas unidades de negocio jugando un papel clave en la resolución del ataque. Departamentos como el legal, recursos humanos y finanzas deben estar involucrados para asegurar que se cumple la normativa y entender las obligaciones en caso de que se produzca una brecha de seguridad o cuando hay que enfrentarse a un ataque de alguien interno. En determinados casos, el departamento de marketing y los ejecutivos de la organización pueden llegar a tener que dirigirse a los medios de comunicación.

Durante un incidente, los responsables de seguridad han de coordinarse con estos equipos indicando los pasos a seguir según la naturaleza del incidente. Por ejemplo, en el caso de un ataque de ransomware, ¿quién toma la decisión de si se debe pagar el rescate o sobre cómo determinar el valor comercial de los datos que se rescatan?  Antes de que se produzca un incidente de seguridad, es clave involucrar a estos grupos de trabajo en el proceso de planificación de una Respuesta a Incidentes (IR) así como en las simulaciones y ejercicios, para asegurarse de que están preparados para actuar cuando se requiera.

2. Conocer el alcance total del ataque

Este paso parece obvio, pero en el mundo actual, objeto de amenazas persistentes avanzadas y campañas específicas y sofisticadas, determinar el alcance de un ataque no es algo inmediato ni obvio.

Para los equipos de seguridad, la inteligencia contra las amenazas es un arma potente. Al analizar los indicadores de compromiso, las tácticas, técnicas y procedimientos y otros artificios empleados como parte de un incidente de seguridad, los analistas pueden discernir si se trata de un ataque único o es parte una campaña más amplia. La inteligencia de seguridad puede ayudar además a entender la identidad del adversario y su objetivo: si es un atacante actuando en solitario, si es parte de una organización criminal, etc. Si su objetivo es la propiedad intelectual, información de clientes o de empleados… Si se conocen estos detalles del ataque, se puede determinar con mayor precisión el alcance del ataque y a quién involucrar para contenerlo y evitar o minimizar sus consecuencias.

3. Planificar las implicaciones regulatorias

El impacto regulatorio de un incidente de seguridad es uno de los aspectos más costosos de un ataque exitoso. El reto se resume en dos factores: regulaciones complejas y no alineadas o solapadas y plazos ajustados. En caso de incidente, es esencial involucrar al equipo legal lo antes posible, y dar todos los detalles a los miembros del equipo que tienen que tomar las decisiones más rápidas y precisas. Estar preparado para esto va a ser incluso más crítico en el futuro inmediato en Europa, tras la entrada en vigor de la normativa GDPR y la próxima llegada de la regulación NIS, etc.

Las organizaciones pueden mejorar sus planes de Respuesta a Incidentes, definiendo los procesos de respuesta y ayudando a los empleados a usar las herramientas más modernas para ayudarles en su trabajo, tales como Inteligencia Artificial y machine learning. El hecho de implementar una estrategia que orqueste la aplicación de la inteligencia humana con el uso de estas herramientas permitirá a los equipos mejorar los procesos de respuesta a incidentes, y así estar en mejores condiciones para manejar y mitigar el daño cuando inevitablemente ocurra un incidente de seguridad.