¿Por qué la seguridad proactiva permite tiempos de respuesta y recuperación más eficientes?

Desde los primeros ataques cibernéticos, los actores de amenazas han conseguido aprovechar fácilmente la vulnerabilidad de las organizaciones para obtener acceso y mantener su presencia en entornos empresariales. Las organizaciones deben estar preparadas para enfrentar de manera inevitable los incidentes. Esto significa que deben implementar medidas y procesos de seguridad proactivos para garantizar que las organizaciones minimicen las brechas de seguridad y tengan procesos repetibles cuando ocurra otro incidente.

Además de realizar pruebas de penetración internas y externas, escaneos de vulnerabilidades, capacitación en concienciación de seguridad y administración de parches, realizar una evaluación de compromiso al menos anualmente puede ser una manera de identificar brechas que no sabía que existían en su entorno. Una evaluación de compromiso es una revisión exhaustiva de la actividad de la red para identificar actividades sospechosas y / o maliciosas, configuraciones erróneas, violaciones de políticas, debilidades o intrusiones, y sirve como un enfoque proactivo para fortalecer el estado de seguridad del entorno.

Consejos de evaluación de compromiso

Algunos consejos útiles para mantener a las organizaciones listas para la batalla con una evaluación de compromiso incluyen, entre otros:

• Utilizar los resultados del informe de análisis de vulnerabilidad o feeds de inteligencia de amenazas para revisar los datos de registro para identificar comportamientos anómalos.

• Usar soluciones de detección y respuesta de los endpoints (EDR) para realizar la búsqueda de amenazas y así revelar anomalías del sistema.

• Revisar el entorno O365 para ver las reglas de reenvío habilitadas a direcciones de correo electrónico externas en cuentas que no están en una lista de excepciones aprobada.

• Hacer preguntas a los departamentos internos en función de lo que se está observando y documentar todos los hallazgos.

Si una organización no tiene un plan de respuesta a incidentes, “ayer” era el momento de haber implementado uno. No se trata de “si”, sino de “cuándo” se está lidiando con un incidente y si no se tiene un plan para que la organización lo siga una vez que ocurra un desastre, podría tener un impacto devastador en el negocio y ser extremadamente costoso. Los planes de respuesta a incidentes que se leen, comprenden, practican y mantienen anualmente tendrán una mayor tasa de éxito cuando se implementen.

Las organizaciones necesitan planes de respuesta a incidentes para cuando ocurra un desastre

Además, crear runbooks o procedimientos operativos estándar para escenarios genéricos como violaciones de datos, malware, phishing, ransomware, incluso adquisición de datos. Si la organización se enfrenta a un incidente que se aplica a uno de sus runbooks, tiene un proceso repetible para que el equipo lo siga que reducirá drásticamente el tiempo de respuesta. Recordar revisar los libros de registro junto con el plan de respuesta a incidentes anualmente, permitirá a las organizaciones estar listas y preparadas para la batalla.

Es necesario llevar a cabo ejercicios de simulación del plan de respuesta a incidentes y runbooks con el equipo de seguridad, pero también conviene incluir a ejecutivos, RRHH, asesoría legal interna y externa, y también a equipos de PR y TI. Este nivel de colaboración y esfuerzo asegurará que cada persona esté familiarizada con el plan de respuesta a incidentes, entiendiendo qué roles y responsabilidades desempeñan cuando ocurra un incidente, e identificará las brechas en el plan u otros procesos internos que el plan de respuesta a incidentes pueda hacer referencia.