Planificación de su respuesta de incumplimiento

Una violación de datos puede cerrar su empresa por un período crítico de tiempo, a veces para siempre; ciertamente puede poner en riesgo su futuro financiero y, en algunos casos, incluso puede llevarlo a la cárcel. Pero nada de eso tiene que suceder porque, si planifica correctamente, usted y su empresa pueden recuperarse y continuar en el negocio, a veces en cuestión de minutos. En definitiva, todo se reduce a la planificación.

La semana pasada, discutimos cómo prepararse para una violación de datos. Asumiendo que hiciste eso antes de que ocurriera tu incumplimiento, tus próximos pasos son razonablemente directos. Pero uno de esos pasos de preparación fue crear un plan y luego probarlo. Y sí, eso requerirá una gran cantidad de trabajo.

La diferencia es que la planificación anticipada realizada antes de cualquier incumplimiento tiene la intención de minimizar el daño. Después de la infracción, el plan debe centrarse en el proceso de recuperación y tratar los problemas posteriores, suponiendo que haya alguno. Recuerde que su objetivo general, tal como era antes de la violación, es minimizar el impacto que la violación tiene en su empresa, sus empleados y sus clientes.

Planificación para la recuperación

La planificación de la recuperación consta de dos amplias categorías. El primero es reparar el daño causado por la violación y asegurarse de que la amenaza se elimine realmente. El segundo es ocuparse de los riesgos financieros y legales que acompañan a una violación de datos. En cuanto a la salud futura de su organización, ambos son igualmente importantes.

"La contención es clave en términos de recuperación", dijo Sean Blenkhorn, Vicepresidente, Ingeniería de Soluciones y Servicios de Asesoría para el proveedor de protección y respuesta administrada eSentire. "Mientras más rápido podamos detectar la amenaza, mejor podremos contenerla".

Blenkhorn dijo que contener una amenaza puede diferir dependiendo de qué tipo de amenaza esté involucrada. En el caso del ransomware, por ejemplo, puede significar usar su plataforma de protección de punto final administrada para ayudar a aislar el malware junto con cualquier infección secundaria para que no se pueda propagar, y luego eliminarlo. También puede significar implementar nuevas estrategias para bloquear futuras infracciones, como equipar a los usuarios de roaming y teletrabajo con cuentas personales de red privada virtual (VPN).

Sin embargo, otros tipos de amenazas pueden requerir tácticas diferentes. Por ejemplo, un ataque que busca información financiera, propiedad intelectual (IP) u otros datos de su empresa no se manejará de la misma manera que un ataque de ransomware. En esos casos, es posible que necesite encontrar y eliminar la ruta de entrada, y deberá encontrar una manera de detener el comando y controlar los mensajes. Esto, a su vez, requerirá que monitoree y administre el tráfico de su red para esos mensajes para que pueda ver dónde se originan y dónde envían los datos.

"Los atacantes tienen la ventaja de ser los primeros en moverse", dijo Blenkhorn. "Tienes que estar buscando anomalías".

Esas anomalías lo llevarán al recurso, generalmente un servidor, que proporciona acceso o que proporciona exfiltración. Una vez que haya encontrado eso, puede eliminar el malware y restaurar el servidor. Sin embargo, Blenkhorn advierte que es posible que deba volver a crear una imagen del servidor para asegurarse de que realmente no haya malware.

Pasos de recuperación de incumplimiento

Blenkhorn dijo que hay tres cosas adicionales para recordar al planificar una recuperación de incumplimiento:

1. La violación es inevitable
2. La tecnología por sí sola no va a resolver el problema, y
3. Tienes que asumir que es una amenaza que nunca has visto antes.

Pero una vez que ha eliminado la amenaza, solo ha realizado la mitad de la recuperación. La otra mitad está protegiendo el negocio en sí. Según Ari Vared, Director Senior de Producto en el proveedor de seguros cibernéticos CyberPolicy, esto significa preparar a sus socios de recuperación por adelantado.

"Aquí es donde tener un plan de recuperación cibernética puede salvar el negocio", dijo Vared a PCMag en un correo electrónico. "Eso significa asegurarse de que su equipo legal, un equipo de análisis forense de datos, su equipo de relaciones públicas y los miembros clave de su personal sepan de antemano lo que debe hacerse cada vez que haya una violación".

El primer paso allí es identificar de antemano a sus socios de recuperación, informarles sobre su plan y tomar las medidas necesarias para retener sus servicios en caso de incumplimiento. Eso suena como una gran carga administrativa, pero Vared enumeró cuatro razones importantes que hacen que el proceso valga la pena:

1. Si existe la necesidad de acuerdos de confidencialidad y no divulgación, entonces se pueden acordar de antemano, junto con las tarifas y otros términos, para que no pierda tiempo después de un ataque cibernético que intenta negociar con un nuevo proveedor.
2. Si tiene un seguro cibernético, entonces su agencia puede tener socios específicos ya identificados. En ese caso, querrá usar esos recursos para garantizar que los costos estén cubiertos de acuerdo con la política.
3. Su proveedor de seguro cibernético puede tener pautas sobre la cantidad que está dispuesto a cubrir para ciertos aspectos y el propietario de pequeñas y medianas empresas (SMB) querrá asegurarse de que las tarifas de sus proveedores estén dentro de esas pautas.
4. Algunas compañías de seguros cibernéticos tendrán los socios de recuperación necesarios en la empresa, lo que lo convierte en una solución llave en mano para el propietario del negocio, ya que las relaciones ya están establecidas y los servicios estarán cubiertos automáticamente por la política.

Abordar cuestiones legales y forenses

Vared dijo que su equipo legal y su equipo forense son de alta prioridad después de un ataque. El equipo forense dará los primeros pasos en la recuperación, según lo descrito por Blenkhorn. Como su nombre lo indica, este equipo está allí para averiguar qué sucedió y, lo que es más importante, cómo. Esto no es para culpar; es para identificar la vulnerabilidad que permitió la violación para que pueda conectarla. Esa es una distinción importante que hacer con los empleados antes de que llegue el equipo forense para evitar rencores o preocupaciones innecesarios.

Vared señaló que el equipo legal que responda a la violación probablemente no será la misma persona que maneja las tareas legales tradicionales para su negocio. Más bien, serán un grupo especializado con experiencia en el tratamiento de las secuelas de los ataques cibernéticos. Este equipo puede defenderlo contra demandas judiciales derivadas de la violación, tratar con reguladores o incluso manejar negociaciones con ciber ladrones y sus rescates.

Mientras tanto, su equipo de relaciones públicas trabajará con su equipo legal para manejar los requisitos de notificación, comunicarse con sus clientes para explicar la violación y su respuesta, y posiblemente incluso explicar los mismos detalles a los medios.

Finalmente, una vez que haya tomado los pasos necesarios para recuperarse de la brecha, deberá reunir a esos equipos junto con los ejecutivos de nivel C y tener una reunión e informe después de la acción. El informe posterior a la acción es fundamental para preparar a su organización para la próxima infracción al determinar qué salió bien, qué salió mal y qué podría hacerse para mejorar su respuesta la próxima vez.

Probar su plan

• 6 cosas que no se deben hacer después de una violación de datos 6 cosas que no se deben hacer después de una violación de datos
• Incumplimientos de datos comprometidos 4.5 mil millones de registros en la primera mitad de 2018 Incumplimientos de datos comprometidos 4.5 mil millones de registros en la primera mitad de 2018
• Cathay Pacific revela violación de datos que afecta a 9.4 millones de pasajeros Cathay Pacific revela violación de datos que afecta a 9.4 millones de pasajeros

Todo esto supone que su plan fue bien concebido y ejecutado de manera competente en caso de que ocurriera algo malo. Desafortunadamente, eso nunca es una suposición segura. La única manera de estar razonablemente seguro de que su plan tiene alguna posibilidad de éxito es practicarlo una vez que esté preparado. Los especialistas que ha contratado que se ocupan de los ataques cibernéticos como eventos regulares en sus negocios no le darán mucha resistencia para practicar su plan; están acostumbrados a eso y probablemente lo esperan. Pero como son extraños, deberá asegurarse de que estén programados para la práctica y probablemente tendrá que pagarles por su tiempo. Esto significa que es importante tenerlo en cuenta en su presupuesto, no solo una vez, sino de manera regular.

La regularidad de esa base depende de cómo respondan sus empleados internos a su primera prueba. Su primera prueba casi seguramente fallará en algunos o posiblemente en todos los aspectos. Eso es de esperar ya que esta respuesta será mucho más compleja y onerosa para muchos que un simple simulacro de incendio. Lo que debe hacer es medir la gravedad de esa falla y usarla como punto de partida para decidir con qué frecuencia y en qué medida necesita practicar su respuesta. Recuerde que hay un simulacro de incendio para un desastre que la mayoría de las empresas nunca experimentarán. Su simulacro de ataque cibernético es para un desastre que es prácticamente inevitable en algún momento.