Plan de respuesta para brechas de datos – Buenas Prácticas
Todas las empresas deberían tener establecido un plan de respuesta para brechas de datos para minimizar el daño que pueda causar un ciberataque. Este plan debería permitirles recuperarse en el menor tiempo posible, con el menor gasto y con el menor daño a su reputación. También debería incluir un procedimiento a seguir en el caso de que haya una brecha y dar directrices sobre qué constituye de facto un incidente de seguridad.
Las corporaciones deberían nombrar un Equipo de Respuesta a Incidentes de Ciberseguridad o un Equipo de Respuesta a Incidentes de Seguridad Informática (CIRT o CSIRT en sus siglas en inglés, Cyber Incident Response Team y Computer Security Incident Response Team), que serían los miembros clave para ejecutar el plan de respuesta a incidentes de brechas de seguridad. Estos equipos deberían consistir no sólo de profesionales de seguridad TI, también de PR, RRHH y del área legal, ya que deberían comunicarse con executivos, accionistas, organismos de supervisión y el público.
Pero vayamos a lo primero
La respuesta a un incidente de brecha de datos no es un método para detectar o para prevenir una brecha de datos o incidentes de ciberseguridad antes de que ocurran. Como su propio nombre indica, es cómo reacciona una organización tras un incidente. Y el objetivo de un buen plan de respuesta (IR, por sus siglas en inglés) es limitar el daño que las brechas pueden causar en términos de fuga de datos y coste, así como reducir el tiempo que llevaría recuperarse.
Sin un plan de respuesta establecido y robusto, lo más seguro es que una empresa sufra de lleno los efectos de una fuga de datos: daños significativos tanto en coste como en reputación como resultado de la pérdida de datos de clientes, de secretos comerciales, de propiedad intelectual y de las consiguientes multas de cumplimiento. Sin un plan ya establecido, las empresas podrían tardar años en recuperarse completamente por una fuga de datos y muchas no llegarían a recuperarse por completo.
No se puede sobreestimar la importancia de la respuesta a una brecha de seguridad. Las organizaciones tienen que enfrentarse a amenazas de seguridad a diario, e incluso la más mínima crisis de seguridad de datos puede agravarse hasta llegar a proporciones catastróficas. Cada miembro del CIRT/CSIRT debe conocer a fondo su rol, saber trabajar bajo presión y responder de forma adecuada, y para ello es necesario, junto con un plan de respuesta, un plan de formación para que tanto uno como otro funcionen de forma complementaria al otro.
1.Preparación.
La fase de preparación consiste en asegurarse de formar adecuadamente a los empleados, especificando los miembros del CIRT/CSIRT y asegurándose de que la tecnología necesaria haya sido implementada. Se deben hacer copias de seguridad de los datos y realizar simulacros de brechas de información para evaluar la efectividad del plan y del equipo CIRT/CSIRT.
2. Identificación y alcance
Quizás la fase más importante del plan. Básicamente se necesitan medios rápidos y efectivos para detectar incidentes de seguridad que requieran una respuesta por parte del CIRT/CSIRT, por lo que es esencial que se hayan implementado las herramientas y tecnologías correctas. Por ejemplo, se deberá disponer de soluciones de detección y respuesta de los endpoints y de análisis de tráfico de red para monitorizar el puesto de trabajo y el tráfico de la red que nos alerten de comportamientos sospechosos.
3. Seguridad de acceso a datos
Es necesario también saber exactamente quién tiene acceso a datos críticos o a los activos de la empresa, dónde se encuentran esos datos o activos y cuándo se accede a ellos. Soluciones como el complemento File Server Auditing de Lepide Auditor proporcionan detalles en tiempo real de quién accede a qué datos, de quién ha realizado cambios y de cuándo se han realizado.
4.Contención/Recopilación de información
Esta fase implica la contención de la amenaza para prevenir daños mayores y recopilar tanta información sobre el incidente como sea posible. De nuevo Lepide Auditor permite a los equipos IT revisar el histórico de eventos que tuvieron lugar antes del incidente y permite generar más de 300 informes pre-definidos que se pueden usar para potenciales procedimientos judiciales
5.Erradicación/Reparación
Naturalmente, una vez la amenaza ha sido detectada, contenida y analizada, las empresas necesitarán eliminar la amenaza del sistema y restaurar el sistema a un estado funcional no infectado. Aquellas credenciales que se hayan visto comprometidas deberán ser revisadas y reestablecidas, y se debe de comunicar adecuadamente a aquellos involucrados.
6.Recuperación
La fase de recuperación es en la que los sistemas vuelven a estar en producción y se monitorizan para garantizar que funcionan correctamente y que no muestran signos de que se hayan visto comprometidos.
7.Seguimiento/Revisión
El CIRT/CSIRT debe documentar cualquier problema que se haya presentado durante las fases previas del plan y hacer sugerencias de cómo se pueden resolver estor problemas en incidentes futuros. Esta documentación debería incluir el material formativo empleado en la fase de preparación.
Es importante pensar cuidadosamente a quién incluir en el CIRT/CSIRT. Puede ser bien personal contratado exprofeso bien un rol secundario para trabajadores actuales, pero lo más importante es que tengan una buena formación y cabeza para la ciberseguridad.
Debería haber un líder que encabece el CSIRT que se asegure de que el plan de respuesta está actualizado y sea usado correctamente, analistas de seguridad que actúen como ejecutores de cada fase del plan, y un equipo investigador responsable de proporcionar información relacionada con los incidentes y amenazas de seguridad.
No obstante, la respuesta no se debería limitar al CSIRT, ya que otros departamentos tales como dirección y RRHH pueden ayudar a comunicar el plan de respuesta a incidentes en toda la empresa.
Tras un incidente de ciberseguridad y de que el CSIRT haya seguido de forma efectiva el plan de respuesta podríamos pensar que el trabajo ya está terminado. ¡No del todo! Es importante tomar distancia y revisar cómo de efectivo resultó el plan de respuesta y cómo de adecuado gestionó el CSIRT la brecha. ¿Se pueden realizar mejoras?
Es importante mantenerse atento a nuevas tecnologías que puedan ayudar al CSIRT a detectar y responder incidentes de forma más rápida. Hay numerosas soluciones en el mercado, incluyendo Lepide Data Security Platform, para detectar y prevenir brechas de datos y que nos ayuden a responder a incidentes.
Lepide Data Security Platform monitoriza de forma proactiva las infraestructuras TI críticas y alerta cuando un usuario tiene un comportamiento anómalo, de tal forma que el CSIRT puede responder a tiempo. Usando la solución podrás descubrir dónde se encuentran los datos sensibles, así como clasificarlos, averiguar quién tiene acceso a esos datos, determinar qué cambios se han realizado y asegurarte de que el entorno alrededor de los datos es seguros.
Lepide ayuda a CSIRT a investigar y responder a incidentes de seguridad de forma más rápida a través de la monitorización proactiva, las alertas en tiempo real y los informes detallados. Se integra con soluciones SIEM existentes para obtener información completa sobre la seguridad de los datos.
Puedes ver cómo funciona Lepide de primera mano mediante una demo personalizada y ver cómo podemos ayudarte a mejorar tu respuesta a incidentes de seguridad.