Por qué es hora de repensar la respuesta a incidentes



Es hora de prepararse para la respuesta a incidentes de mañana. No es como el de ayer, y las empresas que no acepten la diferencia podrían encontrarse en una situación desesperada cuando ocurra un desastre.

El panorama de respuesta a incidentes ha cambiado drásticamente en el último año. Esto se debe en parte al cambio en los patrones de trabajo a medida que las personas migraron al trabajo híbrido. El mayor cambio proviene del cambio de actitud entre las compañías de seguros y, en cierta medida, entre los clientes comerciales.

Las aseguradoras y los clientes están analizando la seguridad
Las aseguradoras, asustadas por el aumento de los pagos relacionados con la cibernética, están adoptando un papel más activo en la respuesta a incidentes. Hemos visto a algunos exigir traer a su propio socio de seguridad cibernética preferido cuando un cliente informa un incidente como condición para presentar un reclamo. Otros están limitando su responsabilidad, introduciendo cláusulas que excluyen a los clientes de la cobertura durante las primeras horas o días de un incidente.

Las empresas también se enfrentan a la presión de sus propios clientes comerciales, que exigen un mayor enfoque en la ciberseguridad. La seguridad de la cadena de suministro se ha convertido en un foco para más empresas desde la Vientos solares y Debacles de Kaseya, en el que los productos comprometidos crearon problemas para miles de usuarios intermedios. Esto ha llevado a más empresas a exigir pruebas de una cobertura de seguridad cibernética adecuada las 24 horas del día a sus proveedores, y ha creado un conjunto más amplio de responsabilidades para que las aseguradoras las consideren al determinar la cobertura.

Los planes de respuesta a incidentes deben adaptarse
¿Qué significa esto para los equipos de respuesta a incidentes? El elemento más crítico es un mayor enfoque en la velocidad. Esto, a su vez, enfatiza la necesidad de centrarse en incidentes de etapas anteriores que pueden ser precursores de una brecha importante. El objetivo es responder a incidentes «pequeños» antes de que se conviertan en eventos «grandes».

Las víctimas de ataques que no están cubiertas durante las primeras horas de un incidente deben responder rápidamente para limitar el impacto financiero. Desafortunadamente, los atacantes lo están haciendo más difícil.

Los delincuentes de ransomware son más activos fuera del horario de oficina. Saben que los equipos de seguridad tendrán poco personalized en estos momentos, si es que están en la oficina. El socio de Nuspire Cybereason recientemente encuestado 1.200 empresas que habían sufrido un ataque de ransomware fuera del horario laboral habitual. Como resultado, la mitad de ellos sufrieron una respuesta más lenta, en parte porque era difícil reunir a los miembros del equipo los fines de semana o días festivos, incluso con un approach de respuesta a incidentes. Eso a menudo condujo a mayores pérdidas de ingresos por un ataque de ransomware, dijeron los encuestados.

Algunas habilidades, como el análisis forense electronic, son difíciles de incorporar internamente. Estas habilidades especializadas rara vez se usan, pero son críticas cuando se necesitan.

Las empresas necesitan un continuo de respuesta a incidentes
Hay dos niveles de respuesta a incidentes. El primero es el que la mayoría de las empresas entienden: la respuesta a eventos importantes y espectaculares. Estas son las cosas que lo mantienen despierto por la noche: el robo de registros de clientes, un desastre de ransomware o un compromiso de correo electrónico comercial que desvía millones de dólares de las arcas de la empresa. Esto se puede considerar como una «Respuesta a grandes incidentes» tradicional.

El otro tipo de respuesta a incidentes involucra eventos más pequeños y aislados. Esto podría ser una infección de ransomware en una sola computadora portátil, un solo correo electrónico de phishing o un caso único de acceso no autorizado. Las personas a menudo los tratan como incidentes cotidianos, episodios que irritan a los administradores pero que se resuelven tarde o temprano. Algunos ven esto como las cosas pequeñas que no necesita sudar.

Eso ya no es cierto. El ransomware y otras formas de malware ahora se mueven más rápido que nunca. El incidente aislado de esta noche podría ser el desastre de mañana por la mañana.

Tanto las aseguradoras como los clientes entienden esto cada vez más y quieren pruebas de que está abordando estos problemas para evitar grandes infracciones más adelante. Eso significa que la respuesta a incidentes ya no es un proceso discreto es un continuo que comienza con la primera alerta de incidente (y con suerte termina allí).

También debemos aumentar nuestra comprensión de lo que sucede en el otro extremo del espectro de respuesta a incidentes, cuando las compañías de seguros podrían involucrarse. Esto comienza incluso antes de que los profesionales forenses lleguen al suelo.

La comunicación clara con las compañías de seguros antes de incidentes importantes es essential para comprender sus expectativas. También lo es la comprensión de las legalidades en torno al proceso de respuesta a incidentes, incluido a quién contacta primero la víctima. Por ejemplo, las aseguradoras pueden exigir que la víctima se comunique con ellos inicialmente, pero hablar primero con un abogado puede hacer que cierta información sea privilegiada para evitar que se descubra más adelante. También hay matices en torno a lo que dice la víctima. Incluso el uso de la palabra «incumplimiento» en la comunicación podría desencadenar una fecha límite para informar a los reguladores o clientes.

Las empresas deben establecer un equipo fuerte con una cadena de mando clara, para que todos entiendan quién tiene el control en términos de una crisis. Luego, estos equipos deben realizar ejercicios de simulación regulares para resolver escenarios de infracciones importantes. Saber quién hace qué es essential.

Esto es mucho para que las empresas manejen, especialmente dada la necesidad de ser igualmente diligentes fuera del horario laboral habitual. Ahora más que nunca, cuando se trata de manejar problemas de ciberseguridad, la velocidad es esencial.



Enlace a la noticia primary