Cinco errores comunes en la respuesta a incidentes cibernéticos

Querétaro
Jefferson Gutiérrez.
Octubre 2021
Jefferson Gutiérrez
Font size:
Imprimir

Cuando la integridad de una red informática o de un sistema de información se ve comprometida, responder adecuadamente y a tiempo minimiza las interrupciones en el negocio y reduce el impacto en las operaciones. En este sentido, existen once errores importantes que pueden obstaculizar la respuesta de las empresas a las violaciones de datos, ciberataques y otros eventos graves de seguridad informática, de acuerdo con el documento Once errores comunes en la respuesta a incidentes cibernéticos.

En este artículo abordaremos cinco de esos errores, los cuales se hace preciso atender, pues de acuerdo con el estudio Perspectivas de la Alta Dirección en México 2021, el tercer riesgo más importante para las organizaciones mexicanas en 2021 son los ciberataques.

Planes que se activan únicamente cuando ocurre un incidente. Las empresas generan planes completos de respuesta ante incidentes que no son puestos a prueba sino hasta que se produce un evento real y, para entonces, se descubre que fallan desde el primer paso. Además, numerosas organizaciones ven la creación de un plan de respuesta como un evento único, no como un proceso continuo. 

En consecuencia, los planes contienen información incorrecta sobre las personas que deben ser contactadas o las herramientas a utilizar, con pasos detallados que no funcionan o están fuera de lugar. 

Si carece de la realización de pruebas, el plan de respuesta a incidentes puede requerir un mayor tiempo de acción, generar confusión y, en el peor de los casos, permitir que un ataque sea exitoso, con un gran impacto negativo.

Comunicación inadecuada entre equipos y responsables. En ciertas áreas se suele trabajar en silos y esto puede ser un desafío importante para identificar, coordinar y establecer comunicación con las partes clave involucradas en el proceso de respuesta a un incidente. Adicionalmente, dado que en este tipo de eventos el tiempo juega un papel crítico, los canales incorrectos o la falta de disponibilidad de información puede afectar de manera considerable la efectividad de la contención. Sin duda, un repositorio centralizado de datos, en el cual el equipo de respuesta pueda publicar detalles sobre la investigación en curso y, a la vez, extraer información según sea necesario, ayuda a limitar el impacto negativo de la comunicación inadecuada.

Destrucción de evidencia crítica. Comportamientos anómalos de equipos de cómputo, que podrían indicar un ciberataque, son reportados primero a la mesa de ayuda (help desk), incluyendo desde el bloqueo de cuentas del usuario hasta alertas de virus. 

Si los miembros de dicha área no conocen los requerimientos de respuesta ante ciberataques, pueden destruir evidencia clave al tratar de solucionar los problemas del usuario. Por ello, las organizaciones deben asegurarse de que su personal de soporte técnico esté al tanto de los indicadores que necesitan la participación del equipo de respuesta a incidentes.

Información no disponible. Cuando la información que contiene los detalles relevantes de un ataque no existe o no está disponible fácilmente, hay un efecto en cascada durante el proceso de respuesta a incidentes. En última instancia, el equipo responsable tiene dificultades para evaluar el impacto, contener el daño y comunicar avances o resultados a la Dirección. Abordar este problema implica comprender qué fuentes de datos se tienen, qué datos generan y cómo los pueden gestionar. El equipo de respuesta debe identificar eventos que proporcionen información acerca de un incidente y establecer procesos para la salvaguarda, agregación, almacenamiento y análisis de datos.

Colaboradores que desconocen su papel en la seguridad. Aprovecharse de los usuarios finales es una de las formas más comunes y fáciles que utilizan los ciberdelincuentes para comprometer la seguridad de las organizaciones. Crear un mensaje de correo electrónico que convenza a un usuario de abrir el archivo o ingresar a una página maliciosa es mucho más sencillo y redituable. Los responsables de la seguridad de la información deben sensibilizar a los usuarios, no solo sobre las prácticas comunes utilizadas por ciberdelincuentes, sino también sobre su función como protectores de la información en la empresa. Lo anterior permite al personal participar activamente en temas de seguridad, saber a quién dirigirse y confiar en los procesos, en lugar de intentar resolver los problemas por su cuenta. La implementación de ejercicios periódicos que pongan a prueba el conocimiento, madurez y conciencia de los usuarios son un excelente medio para lograr estos propósitos.

 

+INFO

Jefferson Gutiérrez

Socio Líder de Asesoría en Tecnología Forense de KPMG en México

Mail: asesoria@kpmg.com.mx

Web: www.delineandoestrategias.com