A pesar de los mayores temores de incumplimiento, la respuesta a incidentes …



Muchas organizaciones no están preparadas para detectar, responder y contener una infracción, muestra una nueva encuesta.

El aumento de las preocupaciones sobre la violación de datos, especialmente desde el brote world-wide de COVID-19 a principios del año pasado, no parece haber provocado una mejora significativa en los planes o capacidades de respuesta a incidentes (IR) en muchas organizaciones.

Una nueva encuesta de 500 líderes de seguridad y riesgo realizada por Wakefield Investigation en nombre de Pink Canary, Kroll y VMware muestra que más de un tercio (36%) de las organizaciones aún no tienen un proceso de RI estructurado.

Aunque el 70% de los encuestados informó haber sido bombardeado con más de 100 alertas de amenazas diarias, solo el 8% describió que sus organizaciones tenían la capacidad de identificar rápidamente la causa raíz de un ataque. El cuarenta y seis por ciento describió que sus equipos de IR generalmente requieren más de una hora para contener una amenaza, y el 23% de las organizaciones que habían experimentado tres o más compromisos durante el año pasado dijeron que necesitaban alrededor de 12 horas al menos para contener una infracción.

La encuesta muestra que la mayoría de las organizaciones están luchando con una sobreabundancia de alertas de seguridad y datos de amenazas. Algunas de las organizaciones a las que se dirige con más frecuencia informaron haber recibido más de 500 alertas al día. Pero casi ocho de cada 10 (79%) dijeron que solo pudieron investigar alrededor de 20 alertas como máximo por día, lo que significa que la mayoría de las alertas que reciben las organizaciones, por inofensivas que sean, no se están examinando en absoluto. Además de los problemas, los equipos de seguridad que persiguen las alertas con frecuencia terminan dedicando demasiado tiempo a las amenazas de bajo nivel, lo que significa que las alertas de amenazas de alto nivel a menudo pueden pasar desapercibidas.

«El ruido de las alertas sigue creciendo a medida que crecen los datos y los sistemas, por lo que los equipos de seguridad de las organizaciones gastan tiempo persiguiendo alertas que no importan», dice Grant Oviatt, director de compromisos de respuesta a incidentes en Purple Canary. Él compara la situación con una en la que un individuo parado en un bosque lleno de humo es incapaz de determinar qué árboles específicos están en llamas.

Los datos en Encuesta de Wakefield sugiere que muchas organizaciones todavía están luchando con viejos y familiares desafíos, no solo con IR, sino también con otros problemas más amplios de seguridad de la información. Aunque se ha hablado mucho sobre un aumento sustancial en los volúmenes de ataques, la creciente sofisticación de las amenazas y las preocupaciones sobre los ataques tipo SolarWinds, las respuestas empresariales parecen estar rezagadas.

Casi una de cada dos (49%) organizaciones, por ejemplo, todavía carece de herramientas, personal y experiencia adecuados para detectar o responder a amenazas. El cuarenta por ciento no tiene procesos para garantizar el cumplimiento de terceros con los controles de seguridad requeridos a pesar de los riesgos ampliamente reconocidos que los terceros y los socios de la cadena de suministro presentan para las empresas. Aunque el mistake humano sigue siendo una de las principales causas de las filtraciones de datos, el 37% no tiene ningún programa de concienciación para los empleados.

Sin embargo, es preocupante que las infracciones a menudo provoquen importantes consecuencias regulatorias y legales: casi la mitad (47%) de los líderes de seguridad en la encuesta dijeron que sus equipos de RI no estaban seguros de cuándo contratar un asesor legal. El cuarenta por ciento describió al grupo de seguridad como mal equipado para hacer frente a todos los requisitos legales asociados con una infracción, como la conservación de pruebas para un posible litigio. Las organizaciones en la encuesta informaron una falta very similar de preparación para lidiar con los requisitos de notificación y comunicación de brechas.

«Cuando llega la &#39niebla de la guerra&#39, después del incidente, es un mal momento para empezar a pensar en un plan de respuesta», dice Oviatt. Los grupos de seguridad y los equipos de RI deben haber realizado parte del trabajo antes de un incidente y asegurarse de que comprenden las implicaciones legales, incluido el potencial para acciones legales futuras.

«Si se pierden los datos del cliente, es posible que la empresa deba defenderse. Si la pérdida se debió a la acción de un empleado, es posible que la empresa deba emprender acciones legales», señala Oviatt. «Asegurar que tanto la tecnología como todos los procesos relacionados estén en su lugar antes de tiempo es simplemente una buena gestión empresarial».

La encuesta revela una preocupación sustancial entre los líderes de seguridad sobre las violaciones de datos. Más de la mitad de los encuestados admitieron estar más preocupados por los ataques de ransomware, la disminución de la visibilidad de los terminales y los ataques dirigidos a escritorios remotos y sistemas VPN.

La aprensión common por las infracciones y los planes de RI inadecuados parece haber llevado a muchas organizaciones a proveedores de detección y respuesta administrados por terceros (MDR). En la actualidad, el setenta y seis por ciento ha contratado a un proveedor externo para al menos algunas de sus necesidades de detección y respuesta. Los líderes de seguridad perciben que los proveedores de MDR ayudan a las organizaciones a detectar, responder y contener las brechas más rápido de lo que pueden hacerlo por sí mismos.

«Las firmas de terceros han visto muchos más incidentes de los que ha experimentado cualquier cliente, por lo que tienen guías de juego bien definidas y personas que saben cómo manejar bien cada paso», dice Oviatt.

Al mismo tiempo, un equipo interno es basic para garantizar que el proveedor de servicios externo tenga el contexto necesario, como lo que constituye la actividad typical en la crimson o el significado de los roles de los empleados, cuando se trata de un incidente, dice.

«En pocas palabras, la seguridad es menos como un incendio en una casa, donde la mejor ruta es que los propietarios salgan y permitan que los bomberos se encarguen de todo», dice Oviatt. «(Es) más como una auditoría fiscal, donde el profesional y el cliente trabajan juntos para garantizar que se tomen todas las acciones correctas».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial