Un plan de respuesta a incidentes puede ayudar a las empresas a mantener el control de la crisis en caso de un ataque cibernético. Sophos Labs y los equipos de respuesta administrada y respuesta rápida de Sophos han desarrollado una guía con diez pasos cruciales.
Un ataque cibernético ahora es más probable que nunca. Estudios de Sophos, como "El estado del ransomware 2021" probar que internacionalmente el 37 por ciento de las empresas encuestadas se ven afectadas solo por ransomware. Si bien el ransomware es quizás la forma de daño más devastadora de los últimos años, está lejos de ser el único tipo de malware que puede causar problemas graves a las empresas.
Estrategia de respuesta a incidentes
Por lo tanto, se recomienda a las organizaciones y los equipos de TI que se equipen con una seguridad efectiva y una estrategia de respuesta a incidentes bien pensada y probada. Dicho plan no solo puede minimizar los costos de seguimiento de un ataque cibernético, sino también eliminar muchos otros problemas e incluso interrupciones comerciales de raíz. Sophos Labs ha reunido su experiencia junto con el equipo de Sophos Managed Response y Sophos Rapid Response y presenta el resultado en el Guía de respuesta a incidentes disponible.:
1. Determinar todos los implicados y afectados
No solo el equipo de seguridad es el responsable y afectado por los ataques, sino muchas otras personas de la empresa. Desde el nivel C hasta los jefes de departamento y el departamento legal o de recursos humanos, es importante identificar a las personas clave e involucrarlas activamente en la planificación de incidentes. En este punto, también se deben considerar opciones alternativas de comunicación, ya que un fallo informático también puede afectar a los canales de comunicación clásicos.
2. Identificar los recursos críticos
Para desarrollar una estrategia de protección y poder determinar el alcance y las consecuencias de un ataque en una emergencia, se deben determinar los recursos que tienen la mayor prioridad para la empresa. Esta es la única forma de restaurar los sistemas más críticos de manera específica y con alta prioridad en caso de emergencia.
3. Practica y juega a través de escenarios de emergencia.
Los ejercicios aseguran que, en caso de un ataque cibernético, se puedan tomar medidas de manera coordinada, rápida y específica. Un plan es particularmente bueno cuando todos los involucrados saben exactamente lo que tienen que hacer de inmediato en todo momento, en lugar de buscar primero instrucciones o incluso tratar de actuar intuitivamente. En los ejercicios también se deben definir diferentes escenarios de ataque.
4. Proporcionar herramientas de seguridad
Una parte muy importante de la protección y por tanto también del plan de respuesta a incidentes son las medidas preventivas. Esto también incluye soluciones de seguridad adecuadas para puntos finales, la red, el servidor y la nube, así como para dispositivos móviles y correos electrónicos. Un alto grado de automatización es importante para las herramientas, por ejemplo mediante el uso de IA, así como una consola de gestión y alarmas transparente e integrada para detectar posibles ataques lo antes posible e, idealmente, eliminarlos. automáticamente.
5. Asegurar la máxima transparencia
Sin la visibilidad que necesitan sobre lo que sucede durante un ataque, las organizaciones luchan por responder adecuadamente. Los equipos de TI y seguridad deben tener las herramientas para determinar el alcance y el impacto de un ataque, incluida la identificación de los puntos de entrada y los puntos de persistencia del atacante.
6. Implementar control de acceso
Los atacantes aprovechan los controles de acceso débiles para subvertir las defensas y escalar sus privilegios. Por lo tanto, los controles de acceso efectivos son esenciales. Esto incluye, entre otras cosas, la provisión de autenticación multinivel, la restricción de los derechos de administrador a la menor cantidad de cuentas posible. Para algunas empresas, puede tener sentido crear un concepto Zero Trust adicional e implementarlo con soluciones y servicios adecuados.
7. Uso en herramientas de análisis
Además de garantizar la transparencia necesaria, las herramientas que brindan el contexto necesario durante una investigación son extremadamente importantes. Estos incluyen herramientas de respuesta a incidentes como EDR (Detección y respuesta de punto final) o XDR (Detección y respuesta extendida), con las que se puede buscar en todo el entorno Indicadores de compromiso (IOC) e Indicadores de ataque (IOA).
8. Determinar las medidas de respuesta
Reconocer un ataque a tiempo es bueno, pero solo la mitad de la batalla. Porque tras el descubrimiento, el objetivo es limitar o eliminar el ataque. Los equipos de TI y seguridad deben poder iniciar una variedad de acciones de respuesta para detener y eliminar a los atacantes, según el tipo de ataque y la gravedad del daño potencial.
9. Llevar a cabo capacitaciones de concientización
Todos los empleados de una empresa deben ser conscientes de los riesgos que pueden suponer sus acciones. Por lo tanto, la capacitación es una parte importante de un plan de respuesta o prevención de incidentes. Con las herramientas de simulación de ataques, los ataques de phishing de la vida real contra los empleados se pueden simular sin ningún riesgo de seguridad. Dependiendo del resultado, los cursos de formación especiales ayudan a concienciar a los empleados.
10. Servicios de seguridad gestionados
No todas las empresas tienen los recursos para implementar un plan interno de respuesta a incidentes y, sobre todo, un equipo de respuesta a incidentes con expertos probados. Los proveedores de servicios, como los proveedores de MDR (detección y respuesta gestionadas), pueden ayudar. Ofrecen búsqueda de amenazas, análisis y respuesta a incidentes las 24 horas del día, los 7 días de la semana como un servicio administrado. Los servicios de MDR no solo ayudan a las organizaciones a responder a los incidentes, sino que también reducen la probabilidad de que ocurra un incidente
En un incidente de ciberseguridad, cada segundo cuenta
“Cada segundo cuenta en un incidente de ciberseguridad y para la mayoría de las empresas no se trata de si se verán afectadas, sino de cuándo ocurrirá el ataque”, explica Michael Veit, experto en seguridad de Sophos. “Este conocimiento no es nuevo. Las empresas difieren principalmente en si implementan este conocimiento con las debidas precauciones o si asumen el riesgo de poner en peligro su existencia. Es un poco como abrocharse el cinturón de seguridad en un automóvil: es muy poco probable que salga ileso en un accidente sin el cinturón de seguridad. Un plan de respuesta a incidentes bien elaborado y bien pensado que todas las partes afectadas de la empresa puedan implementar de inmediato puede mitigar significativamente las consecuencias de un ataque cibernético”.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.