La verdad inevitable en ciberseguridad, una que nosotros como industria apenas estamos comenzando a aceptar, es que no es posible prevenir todos los hackeos o ataques. Los hackers están innovando tan rápido como los proveedores e incluso la mejor solución puede no ser suficiente para asegurar su sitio web o base de datos. La mayoría de las empresas en algún momento tendrán que depender de sus departamentos de TI y empleados para superar un evento de seguridad digital. Cuando llegue ese momento, tener un plan de respuesta a incidentes (PRI) – un conjunto de instrucciones escritas para reconocer, contener, eliminar y recuperarse de un evento de seguridad con una interrupción mínima del servicio web – será vital para mantener a flote su empresa. ¿Qué debe incluir su PRI? ¿Cómo debe establecerlo? Aquí es donde debe comenzar.
La Preparación es Clave para el Éxito del PRI
Un PRI no es algo que se pueda improvisar el día de un ataque. Esa es una forma rápida de terminar pagando miles de millones en multas y cerrando sus puertas. En cambio, su PRI debe establecerse con anticipación. Debe comunicarse con sus departamentos de TI y ciberseguridad para determinar cuáles serán los objetivos más valiosos para los hackers y desarrollar escenarios probables en preparación. Los mejores PRI se actualizan con frecuencia en respuesta a los cambios en el terreno de la ciberseguridad y las permutaciones de amenazas, con un esquema central sólido que sea claro, reconocible y ejecutable. Una parte importante de este esquema central son las cadenas de comunicación y comando a seguir en caso de un evento de seguridad digital. Si bien quizás no todos los empleados necesiten conocer todos los aspectos de su PRI, su departamento de TI debe conocerlos por instinto; deben saber qué roles desempeñarán y a quién deferir durante la crisis. Sus empleados deben recibir capacitación para reconocer los signos de un posible evento de seguridad y las mejores prácticas para comunicar sus observaciones. Por cierto, los PRI no deben limitarse a la comunicación con el departamento de TI. Dependiendo de su empresa, es posible que desee establecer canales de seguridad con sus departamentos internos de relaciones públicas, legales y de liderazgo. Externamente, su PRI puede incluir organizaciones de forenses web, compañías de seguros y organismos gubernamentales de cumplimiento; estos canales ayudarán a mitigar el daño financiero y reputacional que puede resultar de un evento de seguridad digital, así como ayudar a su empresa a mantener el cumplimiento normativo de seguridad. Asegúrese de que sus empleados y profesionales de TI sepan cuándo comunicarse con actores internos y externos en caso de una emergencia.
Pruebas, Pruebas, Pruebas
La verdad a menudo olvidada sobre los planes es que son virtualmente inútiles si las personas no los conocen. Un PRI que nunca sale de la oficina de TI no será suficiente para preparar a su organización para un evento de seguridad digital; de hecho, sin una capacitación adecuada, los eventos de seguridad pueden ocurrir sin ser detectados hasta demasiado tarde. Realizar simulacros y ejercicios es crucial para educar a sus empleados en las políticas de comunicación y acción del PRI, así como en cómo reconocer una amenaza potencial. Los empleados deben saber a quién contactar si han hecho clic accidentalmente en un enlace malicioso y cómo comunicarse mejor con ellos. Además, entrenar a sus empleados será una excelente manera de asegurarse de que han absorbido los conocimientos necesarios para contener un evento de seguridad. Los ejercicios de mesa son más prácticos y participativos que una conferencia o una presentación de diapositivas, lo que garantiza menos oportunidades para que la atención se desvíe. La otra verdad sobre los planes, especialmente planes como este, es que nunca sobreviven al contacto con el enemigo. Probar su PRI en simulacros puede revelar debilidades dentro de él antes de que se le llame a manejar una amenaza real. Puede ver dónde se rompe la comunicación, dónde el comando no funciona del todo bien o qué amenazas son más propensas a pasar desapercibidas. Esto le brinda el conocimiento y el tiempo necesarios para corregir el PRI y mejorarlo. Lo más importante es hacer pruebas del PRI de manera regular, no solo como un evento único. Esto asegurará que los empleados, los profesionales de TI y otras partes involucradas sean constantemente recordados de qué hacer cuando ocurra un evento de seguridad real, disminuyendo el pánico entre los rangos cuando lo peor suceda.
