6 cosas que no debes hacer después de una violación de datos

Mantener y hacer cumplir la seguridad de TI es algo que hemos cubierto desde varios ángulos, especialmente cómo y cómo evolucionan las tendencias de seguridad, y esa es ciertamente información que debe digerir a fondo. Además, debe asegurarse de que su empresa esté bien equipada para protegerse y defenderse del ciberataque, especialmente a través de la protección de punto final de TI y la gestión de identidad granular y medidas de control de acceso. Un proceso de copia de seguridad de datos sólido y probado también es imprescindible. Desafortunadamente, el libro de jugadas para una violación de datos sigue cambiando, lo que significa que algunas de sus acciones durante un desastre podrían ser tan dañinas como útiles. Ahí es donde entra esta pieza.

, discutimos lo que las compañías deben evitar hacer una vez que se dan cuenta de que sus sistemas han sido violados. Hablamos con varios expertos de compañías de seguridad y empresas de análisis de la industria para comprender mejor los posibles peligros y escenarios de desastres que se desarrollan a raíz de los ataques cibernéticos.

1. No improvisar

En caso de un ataque, su primer instinto le indicará que comience el proceso de rectificación de la situación. Esto puede incluir proteger los puntos finales que han sido seleccionados o volver a copias de seguridad anteriores para cerrar el punto de entrada utilizado por sus atacantes. Desafortunadamente, si no había desarrollado previamente una estrategia, entonces cualquier decisión apresurada que tome después de un ataque podría empeorar la situación.

"Lo primero que no debe hacer después de una violación es crear su respuesta sobre la marcha", dijo Mark Nunnikhoven, vicepresidente de investigación en la nube del proveedor de soluciones de seguridad cibernética Trend Micro. "Una parte crítica de su plan de respuesta a incidentes es la preparación. Los contactos clave deben ser mapeados con anticipación y almacenados digitalmente. También deben estar disponibles en forma impresa en caso de una violación catastrófica. Al responder a una violación, lo último que usted lo que hay que hacer es tratar de descubrir quién es responsable de qué acciones y quién puede autorizar varias respuestas ".

Ermis Sfakiyanudis, presidente y CEO de la compañía de servicios de protección de datos Trivalent, está de acuerdo con este enfoque. Dijo que es crítico que las compañías "no se asusten" después de haber sido golpeadas por una violación. "Si bien la falta de preparación ante una violación de datos puede causar daños irreparables a una empresa, el pánico y la desorganización también pueden ser extremadamente perjudiciales", explicó. "Es crítico que una compañía violada no se desvíe de su plan de respuesta a incidentes, que debe incluir la identificación de la causa sospechada del incidente como un primer paso. Por ejemplo, fue la violación causada por un ataque de ransomware exitoso, malware en el sistema, un ¿cortafuegos con un puerto abierto, software desactualizado o una amenaza interna no intencional? Luego, aísle el sistema afectado y elimine la causa de la violación para asegurarse de que su sistema esté fuera de peligro ".

Sfakiyanudis dijo que es vital que las compañías pidan ayuda cuando están sobre sus cabezas. "Si determina que efectivamente se ha producido una violación después de su investigación interna, traiga experiencia de terceros para ayudar a manejar y mitigar las consecuencias", dijo. "Esto incluye asesoría legal, investigadores externos que pueden llevar a cabo una investigación forense exhaustiva y expertos en relaciones públicas y comunicación que pueden crear estrategias y comunicarse con los medios en su nombre.

"Con esta guía combinada de expertos, las organizaciones pueden mantener la calma a través del caos, identificando qué vulnerabilidades causaron la violación de datos, remediando para que el problema no vuelva a ocurrir en el futuro y asegurando que su respuesta a los clientes afectados sea apropiada y oportuna. Pueden También trabaje con su asesor legal para determinar si se debe notificar a las autoridades policiales y cuándo.

2. No te quedes en silencio

Una vez que ha sido atacado, es reconfortante pensar que nadie fuera de su círculo íntimo sabe lo que acaba de suceder. Desafortunadamente, el riesgo aquí no vale la recompensa. Deberá comunicarse con el personal, los proveedores y los clientes para que todos sepan a qué se accedió, qué hizo para remediar la situación y qué planes piensa tomar para garantizar que no ocurran ataques similares en el futuro. "No ignore a sus propios empleados", aconsejó Heidi Shey, analista senior de seguridad y riesgos en Forrester Research. "Debe comunicarse con sus empleados sobre el evento y brindarles orientación sobre qué hacer o decir si preguntaron sobre la violación".

Shey, como Sfakiyanudis, dijo que es posible que desee considerar la contratación de un equipo de relaciones públicas para ayudar a controlar los mensajes detrás de su respuesta. Esto es especialmente cierto para las grandes y costosas infracciones de datos de cara al consumidor. "Idealmente, desearía que dicho proveedor sea identificado de antemano como parte de su planificación de respuesta a incidentes para que pueda estar listo para comenzar su respuesta", explicó.

El hecho de que sea proactivo al notificar al público que ha sido violado, no significa que pueda comenzar a emitir declaraciones y proclamas salvajes. Por ejemplo, cuando el fabricante de juguetes VTech fue violado, un pirata informático accedió a fotos de niños y registros de chat. Después de que la situación se calmó, el fabricante de juguetes cambió sus Términos de servicio para renunciar a su responsabilidad en caso de incumplimiento. No hace falta decir que los clientes no estaban contentos. "No quieres parecer que estás recurriendo a esconderte detrás de medios legales, ya sea para evitar la responsabilidad o controlar la narrativa", dijo Shey. "Es mejor contar con un plan de respuesta a la crisis y de gestión de crisis para ayudar con las comunicaciones relacionadas con la violación".

3. No haga declaraciones falsas o engañosas

Esto es obvio, pero querrá ser lo más preciso y honesto posible al dirigirse al público. Esto es beneficioso para su marca, pero también es beneficioso para la cantidad de dinero que recuperará de su póliza de seguro cibernético si tuviera una. "No emita declaraciones públicas sin tener en cuenta las implicaciones de lo que está diciendo y cómo suena", dijo Nunnikoven.

"¿Fue realmente un ataque 'sofisticado'? Etiquetarlo como tal no necesariamente lo hace verdadero", continuó. "¿Realmente necesita su CEO llamar a esto un 'acto de terrorismo'? ¿Ha leído la letra pequeña de su póliza de ciberseguro para comprender las exclusiones?"

Nunnikhoven recomienda elaborar mensajes que sean "no toro, frecuentes y que indiquen claramente las acciones que se están tomando y las que se deben tomar". Tratar de cambiar la situación, dijo, tiende a empeorar las cosas. "Cuando los usuarios se enteran de una violación por parte de un tercero, inmediatamente erosiona la confianza ganada con esfuerzo", explicó. "Salga frente a la situación y permanezca al frente, con un flujo constante de comunicaciones concisas en todos los canales donde ya está activo".

4. Recuerde Servicio al cliente

Si su violación de datos afecta un servicio en línea, la experiencia de sus clientes o algún otro aspecto de su negocio que pueda hacer que los clientes le envíen consultas, asegúrese de enfocarse en esto como un tema separado e importante. Ignorar los problemas de sus clientes o incluso intentar abiertamente convertir su mala suerte en su beneficio puede convertir rápidamente una seria violación de datos en una pérdida de pesadilla de negocios e ingresos.

Tomando el incumplimiento de Equifax como ejemplo, la compañía originalmente les dijo a los clientes que podrían tener un año de informes de crédito gratuitos si solo no presentaran una demanda. Incluso trató de convertir la brecha en un centro de ganancias cuando quería cobrarles a los clientes adicionales si solicitaban congelar sus informes. Eso fue un error y perjudicó las relaciones con los clientes de la compañía a largo plazo. Lo que la compañía debería haber hecho era colocar a sus clientes primero y simplemente ofrecerles informes incondicionales, tal vez incluso sin cargo, durante el mismo período de tiempo para enfatizar su compromiso de mantener a los clientes seguros.

5. No cierre los incidentes demasiado pronto

Has cerrado tus puntos finales corruptos. Has contactado a tus empleados y clientes. Has recuperado todos tus datos. Las nubes se han separado y un rayo de sol ha caído en cascada sobre su escritorio. No tan rapido. Aunque parezca que su crisis ha terminado, querrá continuar monitoreando su red de manera agresiva y proactiva para asegurarse de que no haya ataques de seguimiento.

"Existe una gran presión para restaurar los servicios y recuperarse después de una violación", dijo Nunnikhoven. "Los atacantes se mueven rápidamente a través de las redes una vez que obtienen un punto de apoyo, por lo que es difícil hacer una determinación concreta de que ha abordado todo el asunto. Mantenerse diligente y monitorear de manera más agresiva es un paso importante hasta que esté seguro de que la organización está clara ".

Sfakiyanudis está de acuerdo con esta evaluación. "Después de que se resuelva una violación de datos y se reanuden las operaciones comerciales regulares, no asuma que la misma tecnología y los planes que tenía en marcha antes de la violación serán suficientes", dijo. "Hay lagunas en su estrategia de seguridad que fueron explotadas e, incluso después de que se aborden estas lagunas, no significa que no habrá más en el futuro. Con el fin de adoptar un enfoque más proactivo para la protección de datos en adelante, trate su plan de respuesta de violación de datos como un documento vivo. A medida que las personas cambian de roles y la organización evoluciona a través de fusiones, adquisiciones, etc., el plan también debe cambiar ".

6. No te olvides de investigar

"Al investigar una violación, documente todo", dijo Sfakiyanudis. "Recopilar información sobre un incidente es fundamental para validar que se produjo una violación, qué sistemas y datos se vieron afectados, y cómo se abordó la mitigación o remediación. Registre los resultados de las investigaciones a través de la captura y análisis de datos para que estén disponibles para su revisión post mortem.

"Asegúrese de entrevistar también a cualquier persona involucrada y documentar cuidadosamente sus respuestas", continuó. "Crear informes detallados con imágenes de disco, así como detalles sobre quién, qué, dónde y cuándo ocurrió el incidente, lo ayudará a implementar cualquier mitigación de riesgos o medidas de protección de datos nuevas o faltantes".

Es obvio que tales medidas son posibles consecuencias legales después del hecho, pero esa no es la única razón para investigar un ataque. Averiguar quién fue responsable y quién se vio afectado es un conocimiento clave para los abogados, y ciertamente debe investigarse. Pero cómo ocurrió la violación y qué fue el objetivo es información clave para TI y su personal de seguridad. ¿Qué parte del perímetro necesita mejoras y qué partes de sus datos son (aparentemente) valiosas para los que no hacen bien? Asegúrese de investigar todos los ángulos valiosos de este incidente y asegúrese de que sus investigadores lo sepan desde el principio.

Si su empresa es demasiado análoga para realizar este análisis por sí sola, es probable que desee contratar un equipo externo para que realice esta investigación por usted (como mencionó anteriormente Sfakiyanudis). Tome notas sobre el proceso de búsqueda también. Tenga en cuenta los servicios que le ofrecieron, los proveedores con los que habló y si estuvo o no satisfecho con el proceso de investigación. Esta información lo ayudará a determinar si debe seguir o no con su proveedor, elegir un nuevo proveedor o contratar personal interno que sea capaz de llevar a cabo estos procesos en caso de que su empresa tenga la mala suerte de sufrir una segunda infracción.