Un ataque cibernético puede ser una experiencia devastadora para cualquier negocio. Primero, debe lidiar con las consecuencias del ataque en sí, pero también debe preocuparse por el impacto en sus clientes y su reputación. Aquí hay algunos consejos sobre cómo manejar las consecuencias de un ataque cibernético.
¿Qué hacer en los primeros 5 minutos de un ciber ataque?
1- El empleado que se encuentra con la amenaza primero debe alertar a los equipos de administración y TI.
Cuando los empleados encuentran algo irregular en su computadora, deben notificar al equipo de TI de inmediato. No importa si es una falsa alarma, pero los técnicos necesitan saber si algo está fuera de lo común. Hay momentos en que los piratas informáticos y los actores de amenazas mantienen sus ataques bajo el radar para que puedan robar datos sin problemas. Nadie debe dar por sentada ninguna irregularidad.
2- El personal de TI debe desconectar la computadora de la red y comenzar a documentar la infección.
Una vez que el equipo técnico identifica la computadora comprometida, deben eliminarla inmediatamente de la red. Luego, deben comenzar a desconectar los cables LAN y moverse para contener la amenaza dentro de la unidad. Además de contener la amenaza, deberán comprobar si hay infecciones en las unidades cercanas.
3- La empresa debe consultar sus copias de seguridad en la nube.
Un miembro del equipo de TI necesita ir a sus copias de seguridad existentes y asegurarse de que no estén comprometidas. La integridad de las copias de seguridad garantizará la continuidad de las operaciones comerciales después de que finalice el ataque y el equipo contenga a los malhechores.
4- El equipo de TI en el sitio debe comenzar a implementar protocolos de seguridad cibernética.
Si una empresa crea un plan de respuesta de seguridad cibernética, debe haber reglas y procedimientos para tratar los primeros minutos de descubrir un ataque cibernético. Si el equipo de respuesta a incidentes aún no está en el sitio, los primeros en responder deben comenzar a implementar lo que se establece en el plan. Por ejemplo, si el plan exige que se acordone la escena del delito cibernético, el equipo de TI debe preservar la integridad de esa parte particular de la red.
5- El equipo de TI debe llamar la atención de los empleados y educarlos sobre el ataque o la infección.
La empresa debe informar inmediatamente a sus empleados afectados sobre el ciberataque. El error humano puede servir como la causa raíz de una brecha y definitivamente también puede empeorar una crisis. Por lo tanto, los empleados deben aprender cómo actuar durante una situación de este tipo para minimizar y prevenir daños mayores. Por ejemplo, suponga que la fuente de la amenaza es un correo electrónico de phishing. En ese caso, el personal de TI debe informar de inmediato a los empleados que no hagan clic ni abran un mensaje en particular para evitar que el malware se propague a más computadoras.
6) Usar sistemas de seguridad para rastrear posibles activos maliciosos.
Las empresas con centros de operaciones de seguridad o soluciones combinadas como Comodo Endpoint Security deben usar sus recursos para asegurarse de que la amenaza esté controlada. Sin embargo, como se mencionó anteriormente, la reinfección aún puede ocurrir, y todos los rastros de malware o vulnerabilidad de seguridad deben controlarse tan pronto como se estabilice el problema.
¿Cómo manejar las consecuencias de un ataque cibernético?
Una vez que ocurre una infracción o un ataque, la empresa debe intentar resolver el problema en 30 días o menos. Durante ese tiempo, el equipo debe seguir estos pasos para mitigar todas las formas de daño:
1- Convocar al equipo de respuesta a incidentes
El equipo de respuesta a incidentes debe estar compuesto por un administrador de respuesta a incidentes, que puede ser o no su CISO, varios analistas de seguridad cibernética e investigadores de amenazas.
Estarán en el centro de la investigación y se coordinarán con los representantes de las distintas partes interesadas de la empresa. Estos representantes deben provenir de la gerencia, recursos humanos, evaluadores de riesgos, abogados y expertos en relaciones públicas.
2- Investigación por parte del equipo técnico:
El equipo técnico interno investigará el ataque cibernético mientras que los otros representantes estarán allí para apoyar el trabajo y mitigar los tipos de daños que enfrentará la empresa.
Acordone los activos y garantice la integridad de la seguridad cibernética
El equipo debería controlar inmediatamente la escena y cortar parte de la red que se había visto comprometida. También deben asegurarse de que la causa o las causas raíz del ataque o la infracción no permanezcan aún en el sistema.
3- Verificación:
a) Una vez que se aseguren de que todo está a salvo y que los primeros en responder hayan documentado adecuadamente el incidente, tendrán que revisar todos los activos dentro de la empresa y verificar si hay daños. Luego, deben comenzar a consultar sus tecnologías de detección para asegurarse de que no haya amenazas adicionales dentro de la red.
b) Una vez que se haya asegurado la red, el equipo deberá ayudar a garantizar que los sistemas críticos para las operaciones comerciales se puedan restaurar de inmediato. Este paso es crucial ya que detener las operaciones solo dañará más a la empresa.
4- Documentar e Investigar
El equipo de investigación deberá revisar el incidente para establecer los hechos. Tendrán que verificar qué sucedió durante el descubrimiento del ataque y cómo se desarrolló el ataque más adelante. Estos investigadores también necesitan establecer el tipo de ataque y sus causas fundamentales. Además de reconstruir la narrativa detrás del cibercrimen, el equipo también debe documentar cada paso de la investigación.
La investigación siempre debe seguir los pasos prescritos por el plan de ciberseguridad y trabajar en consonancia con las políticas existentes de la empresa. Esto es importante ya que los auditores e investigadores del gobierno verificarán y verificarán el alcance de las acciones que la empresa ha tomado para investigar y remediar el problema. El equipo también tendrá que ser sensible acerca de con quién comparte la información. Los ataques y las infracciones pueden ocurrir debido a personas internas maliciosas dentro de la empresa.
Una vez que el equipo identifica quién es el culpable del ataque y quiénes son los cómplices, el equipo debe trabajar con Recursos Humanos para garantizar que las personas rindan cuentas de acuerdo con la política de la empresa y la ley.
5- Informar a las fuerzas del orden y a las autoridades
Cuando ocurre un ataque cibernético, la policía debe entrar en escena lo antes posible. El problema de retrasar este paso en particular es que podría tomarse como una señal de culpabilidad en el ataque. Las empresas no informan a la ley después de un ataque porque creen que las investigaciones pueden detener las operaciones. Las agencias como el FBI trabajarán sin interrupciones y cooperarán con las víctimas de un ataque.
Notifique al público sobre el ataque e interactúe con los medios
Hay algunas infracciones que su empresa podrá resolver a tiempo antes de que exploten y ningún consumidor se vea afectado. Cuando ese sea el caso, estas infracciones y ataques podrían resolverse sin notificar al público. Sin embargo, cuando los clientes se ven afectados por una infracción, como en las empresas de servicios que interactúan activamente con sus clientes, la empresa debe informar.
Cuando esto sucede, la empresa debe poseer y controlar la narrativa. Junto con los gerentes y la gente de recursos humanos, el equipo de respuesta a incidentes debe tener una reunión antes de la divulgación para hablar sobre todos los aspectos del incidente. El equipo también debe contactar a un experto en relaciones públicas que los ayudará a administrar cómo se presenta a la empresa en los medios.
6- Siga los requisitos de cumplimiento después de un ataque
Los gobiernos y los estados se han vuelto más sensibles a los problemas de infracciones y ataques. Como resultado, los legisladores han comenzado a elaborar leyes y políticas que responsabilizan a las empresas por cualquier falta de preparación para los ataques contra sus sistemas.
A la luz de estas regulaciones, las empresas deben cumplir con cada letra de estos requisitos para evitar sanciones extensas.
Una parte significativa de estas regulaciones son los requisitos de notificación. Por ejemplo, ciertas leyes, como el Reglamento General de Protección de Datos de la Unión Europea, exigen que las empresas informen a sus clientes de la infracción en un plazo de 72 horas.
7- Prepárese para las consecuencias legales
La fría y dura realidad sobre un ataque cibernético es que una empresa nunca estará completamente preparada para uno y todo lo que una organización puede hacer después de un ataque es controlar los daños.
Después de que su equipo de respuesta a incidentes concluya su investigación, gestione y repare los daños a las estructuras dentro de la empresa, tendrá que trabajar con su equipo legal. El gobierno o un individuo responsabilizará a la empresa, y habrá ramificaciones legales de lo ocurrido.
Los pasos anteriores deberían ayudarlo a usted y a su empresa a capear la tormenta inmediatamente después y dentro de un mes de un ataque cibernético. Esta línea de tiempo de 30 días es más corta que el período real en el que estadísticamente una amenaza permanece inactiva dentro de un sistema, alrededor de 180 días.
Eso es medio año que las empresas podrían haber dedicado a montar defensas creíbles y proactivas contra estas amenazas.
8- Consejos para maximizar los esfuerzos de gestión de crisis cibernéticas
Invierta en herramientas avanzadas de detección y remediación
La investigación del Ponemon Institute mostró que cuanto más rápido se identifique y contenga una brecha, menores serán los costos para la empresa. Una empresa que identifica una violación de datos ahorra $ 1 millón si ve el problema dentro de los 100 días. Contener la causa del incumplimiento es otro asunto.
Una organización que contiene una brecha dentro de los 30 días logra ahorrar $ 1 millón más en gastos que aquellos que tardaron más. Las empresas deben invertir en seguridad avanzada de red y punto final para cumplir con esos cronogramas o evitar encontrar una brecha. Las herramientas de escaneo avanzadas que se encuentran en tales soluciones combinadas tienen muchas más posibilidades de detectar la causa raíz de las infracciones.
9- Formar un equipo de respuesta a incidentes
El Instituto Ponemon vio una reducción de costos de $14 por registro durante una brecha para las empresas que tenían equipos de respuesta a incidentes durante la crisis.
Según el estudio, el costo promedio que paga una empresa por registro de miembro comprometido es de $148. Esto es sustancial si se piensa en la violación de Equifax, que afectó al menos a 145,5 millones de usuarios en EE. UU.
Según el costo de $ 148 por cifra de registro comprometida, Equifax debería gastar alrededor de $ 21 mil millones. Si Equifax hubiera tenido un equipo de respuesta a incidentes durante la filtración, habría ahorrado $2.3 mil millones.
Utilice un cifrado fuerte para los activos
El uso extensivo del cifrado también ahorra a las empresas $13 por registro de miembro comprometido y posiblemente incluso más.
Un solo ataque cibernético también puede conducir a otro, ya que los actores de la amenaza pueden plantar sus activos en el sistema.
Estos activos, como el malware, pueden volver a infectar el sistema y abrir puertas traseras para otro ataque contra la red. El cifrado fuerte que usa claves largas y complejas es la mejor manera de protegerse contra esta reinfección.
Conclusión:
Los ataques cibernéticos son cada vez más comunes y las empresas deben estar preparadas para ellos. Hay varias cosas que las empresas pueden hacer para prepararse y manejar las consecuencias de un ataque cibernético. Estos incluyen invertir en herramientas avanzadas de detección y remediación, formar un equipo de respuesta a incidentes y usar un cifrado sólido para los activos.
Los ataques cibernéticos pueden tener un impacto significativo en una empresa. Pueden dañar la reputación, costar dinero y tener consecuencias legales. Como tal, las empresas deben estar preparadas para ellos. Los pasos anteriores pueden ayudar a las empresas a manejar las consecuencias de un ataque cibernético y minimizar su impacto en su negocio.
Las organizaciones deben adoptar una postura proactiva contra los ataques cibernéticos mediante la implementación de las herramientas y los protocolos de seguridad adecuados. Si lo hace, puede minimizar las posibilidades de que ocurra un ataque y reducir en gran medida el impacto si ocurre uno.
Fuente Oficial: The Hacker Combat – https://www.linkedin.com/pulse/how-handle-aftermath-cyber-attack-step-by-step-/?trackingId=F7ZxK64GRQiWjMA1y5J%2BRg%3D%3D
0 comentarios