Los incidentes de seguridad y las violaciones de datos pueden tener efectos muy perjudiciales y devastadores en una organización. De hecho, según el Informe anual del costo de una violación de datos del Ponemon Institute, el costo total promedio de una violación de datos es de cerca de $ 3.92 millones, con un promedio de 25.575 registros robados o comprometidos.
Recuperar datos perdidos es solo una parte de la ecuación. El tiempo de inactividad prolongado puede aumentar rápidamente los costos hora por hora. Y más difícil de cuantificar es recuperar la confianza perdida del consumidor y el daño a la marca de una organización, que puede llevar meses o años reparar.
Parte del desafío es que las estrategias modernas de ataque cibernético involucran nuevas técnicas y tecnologías diseñadas para evadir la detección. Como resultado, no solo las violaciones de datos iniciales a veces pasan desapercibidas, sino que el tiempo promedio de permanencia de una violación, el tiempo que pasa desapercibido mientras los atacantes escanean su red y exfiltran datos, es a veces de 209 días. E incluso entonces, puede llevar más de un mes realizar una investigación exhaustiva y recuperar completamente los sistemas afectados.
Preparación para violaciones de datos e incidentes de seguridad
La preparación para un incidente eliminará la confusión y los pasos en falso si, en el momento de la respuesta, se pasan por alto las cosas y se cometen errores. Esto comienza con la identificación de su equipo de respuesta a incidentes, que debe incluir no solo a los miembros del equipo técnico y consultores, sino también a los ejecutivos, el equipo de comunicaciones, los miembros del equipo legal, las fuerzas del orden, etc., incorporarse en cualquier preparación.
También será necesario establecer una cadena de mando entre todos los miembros del equipo para que las respuestas a incidentes puedan coordinarse cuidadosamente. Cada miembro del equipo no solo debe conocer sus roles y responsabilidades, sino también la autoridad que tiene para tomar decisiones.
Además de contar con la tecnología adecuada para, por supuesto, detectar una infracción, se necesita otro equipo para responder a un incidente, y eso debe identificarse de antemano. Gran parte de ese equipo deberá residir fuera de la red para que no se vea comprometido en el caso de un ransomware o un ataque similar. Del mismo modo, las copias de seguridad periódicas de los datos y los sistemas deben estar disponibles y almacenarse fuera de la red, y deben realizarse simulacros de recuperación de datos y sistemas de rutina para volver a poner los sistemas en línea sea un proceso fluido y sin problemas.
Detección y análisis de infracciones
Uno de los mayores desafíos que enfrentan las organizaciones es la visibilidad limitada en la red distribuida. No solo es necesario que existan herramientas de seguridad y sistemas de detección de anomalías, sino que también deben poder compartir información para detectar eventos que, de otro modo, pasarían desapercibidos.
Su equipo de respuesta a incidentes debe hacer lo siguiente para prepararse para las violaciones de datos y los incidentes de seguridad:
Datos: determine rápidamente qué datos y recursos se han visto comprometidos o robados y qué procesos comerciales críticos se vieron afectados.
También deberá analizar cualquier sistema comprometido con software malintencionado para determinar su intención y obtener IOC, registros y transacciones.
Cumplimiento: revise qué requisitos reglamentarios deben abordarse. Debido al tiempo de permanencia de la mayoría de las infracciones, todos los datos y registros críticos deberán guardarse fuera de línea durante un mínimo de un año.
Autoridades: determine si necesita comunicarse con las autoridades, incluidos los organismos encargados de hacer cumplir la ley y los organismos reguladores.
Esto es especialmente crítico para las organizaciones sujetas a requisitos reglamentarios. GDPR, por ejemplo, puede imponer multas significativas por no informar un incidente de manera oportuna.
La respuesta a una futura filtración de datos comienza ahora
A menudo, esto requiere un cambio de pensamiento. Puede comenzar asumiendo que es posible que su organización ya haya sido violada. Si eso es cierto, ¿qué problemas existen en su arquitectura de seguridad en este momento que le impiden verlo? ¿Son sus soluciones existentes capaces de detectar incluso los comportamientos anómalos más sutiles? ¿Qué tan rápido puede su red juntar dos y dos y dar una respuesta? ¿Tiene un equipo listo para responder una vez que se detecta una infracción?
Responder a estas preguntas ahora, combinado con juegos de guerra regulares, simulacros de respuesta a incidentes, evaluaciones de sus capacidades actuales de tecnología de seguridad y capacitación continua lo ayudará a garantizar que pueda minimizar el impacto de su eventual incidente de ciberseguridad.
Si necesitas más información puedes visitar nuestra página https://www.inforc.lat/fortinet y solicitar una demostración de nuestra solución
Recuerda que en INFORC Ecuador creemos en la ciberseguridad.
Comments