Lo que realmente importa en un …



Las cosas que hace antes y durante un incidente de ciberseguridad pueden hacer o deshacer el éxito de su respuesta.

Como abogado que, en sentido figurado, se lanza en paracaídas a docenas de incidentes catastróficos de ciberseguridad al año, he aprendido lo que es verdaderamente fundamental para la misión durante un incidente de ciberseguridad. Al liderar las respuestas de emergencia cibernética en industrias, plataformas empresariales y vectores de amenazas, surgen temas comunes sin importar si una organización es pequeña o grande. Esto es lo que he aprendido:

1. El system de respuesta a incidentes es importante como punto de discusión antes del incidente, pero rara vez se consulta durante un evento
Los planes de respuesta a incidentes son herramientas importantes para impulsar la estrategia de una organización antes de un incidente. Los ejercicios de mesa, en los que se discuten infracciones hipotéticas, ayudan a una organización a superar la novedad de atravesar una catástrofe cibernética. Pero en medio de un evento cibernético verdaderamente catastrófico, nunca he visto a nadie consultar un plan de respuesta a incidentes. A veces, esto se debe simplemente a que el prepare de respuesta a incidentes, como el resto de la red, está encriptado y bloqueado como parte del botín del rescate. A menudo, sin embargo, esta es solo la naturaleza de la emergencia: no hay tiempo para revisar el approach o convocar al supuesto equipo de respuesta.

Mi consejo es asegurarse de que, independientemente del program de respuesta a incidentes que exista, su organización sepa a quién llamará primero en caso de incidente. El plan de respuesta a incidentes no puede reflejar la fantasía, sino la realidad de su organización. ¿Tiene un CEO que sea práctico? En ese caso, el strategy de respuesta a incidentes debe reflejar que formarán parte del equipo de respuesta a incidentes. Un CEO práctico no se retirará cuando su organización se encuentre bajo una amenaza extrema.

Lo más importante es que el equipo sepa que la cadena de mando se altera durante un evento y sepa seguir las nuevas líneas de mando. Los abogados están en la sala para tomar el mando y guiar a la organización a través del turbio espacio previo a la responsabilidad. Si alguien que no sea un abogado interno o externo lidera la respuesta al incidente, la totalidad de la investigación podría quedar expuesta. Esto se debe a que el privilegio abogado-cliente es el único medio verdadero de confidencialidad en un incidente. A menudo, un abogado de tecnología sofisticada debe liderar la investigación porque tener un abogado ludita que intente aprender el significado de siglas como SIEM o VM sobre la marcha no conduce a un tiempo de respuesta rápido.

2. La tala nunca está donde debe estar
Algunas de las primeras palabras que salgo de mi boca durante un incidente cibernético son preguntar si hay registros. Esta no es una curiosidad ociosa. Esto se debe a que he aprendido por las malas que, a menos que la preservación de los registros sea el enfoque principal en los primeros minutos de un incidente, esos registros se pueden perder.

No solo eso, sino que la decisión de escatimar en agregadores de registros en el presupuesto a menudo conduce a grandes dolores de cabeza durante un incidente. ¿Por qué? Porque como abogado, confío en expertos técnicos forenses para utilizar el registro para establecer dónde puede haber estado un actor de amenazas y dónde ese actor de amenazas puede haber adquirido información de identificación personal para vender en la Dark Net o para usar para sus propios fines maliciosos.

3. Los mapas de pink y los inventarios de activos de TI pueden hacer o deshacer una recuperación
Los mapas de pink actualizados y los inventarios de activos de TI se encuentran entre las piezas de información más críticas durante una respuesta de ransomware. En medio de un incidente, su organización está invitando a lo que son esencialmente extraños en forma de equipos forenses y, a veces, fuerzas del orden. Estos expertos están tratando de responder rápidamente a su evento para «despejar» la escena del crimen para decir que es seguro remediar y volver a conectarse. Si tiene un panorama de TI complicado en varias ubicaciones, es basic tener una comprensión inmediata del terreno. Comprender dónde podrían estar viviendo las amenazas y qué es necesario restaurar se reduce a comprender los activos en juego en un momento dado.

En la calma antes de un incidente, concéntrese en lo que más importa: (1) desarrollar mapas e inventarios actualizados (2) desarrollar estrategias de tala que puedan capturar el movimiento lateral en su entorno y (3) preocuparse menos por el strategy de respuesta a incidentes y más por tener un equipo que comprenda la cadena de mando.

Beth Burgin Waller es una abogada que sabe cómo navegar entre la sala de servidores y la sala de juntas. Como presidenta de la práctica de ciberseguridad y privacidad de datos en Woods Rogers, asesora a los clientes sobre ciberseguridad y preocupaciones sobre la privacidad de los datos. En esta capacidad, ella … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique