Cuando la organización promedio experimenta 26 ataques cibernéticos por año, estar preparado para las consecuencias de una infracción es tan importante como la prevención.

Con la naturaleza en constante evolución de los ataques y la creciente complejidad de los sistemas organizacionales, es más difícil que nunca tener una respuesta rápida lista para cualquier escenario potencial que pueda surgir. Caso en cuestión: una encuesta reciente de 1200 organizaciones realizada por ThoughtLab (y copatrocinada por Elastic) muestra que más de una cuarta parte de los ejecutivos temen que sus organizaciones no estén completamente preparadas para los ataques cibernéticos. 

Sin embargo, Cybersecurity Solutions for a Riskier World también revela las mejores prácticas para la respuesta a incidentes y la recuperación de los principales ejecutivos de ciberseguridad en 16 países y en 14 industrias. En el desafortunado caso de una infracción, priorice estas tácticas para una respuesta y recuperación de incidentes más efectiva. 

1. No se sienta demasiado cómodo con su plan de respuesta a incidentes

Todos sabemos que el plan de hoy puede no resistir las amenazas del mañana. Entre el 73% de las organizaciones más avanzadas que informaron haber logrado una planificación de respuesta efectiva, los encuestados nombraron dos inversiones prioritarias para los próximos dos años:

• Desarrollo de un plan de respuesta a incidentes
• Realización de pruebas periódicas de penetración.

Como dijo un director de operaciones de una empresa industrial en Brasil, “[La] principal iniciativa que hemos tomado [...] es probar periódicamente todos los planes de gestión de incidentes de seguridad para evaluar su eficacia y actualizarlos con el tiempo”. 

Para asegurarse de que su plan y su tecnología sean lo suficientemente sólidos para resistir los desafíos en evolución, asegúrese de priorizar las inversiones adecuadas de tiempo, talento y recursos . Eso significa crear flujos de trabajo y utilizar sistemas para probar, perforar y actualizar regularmente su plan en una cadencia frecuente.

[Artículo relacionado: Cómo los principales CISO globales protegen a sus organizaciones en medio de amenazas crecientes ]

2. Tenga listo un plan de juego de comunicaciones de crisis

Es posible que pueda corregir rápidamente una brecha en los sistemas, pero reparar el daño causado por la pérdida de confianza del cliente es un ejercicio mucho más complicado. El daño a la reputación puede tener ramificaciones a largo plazo, tanto que el 37 % de las organizaciones cree que la disminución del valor de la marca es el elemento más costoso de un incidente de seguridad. 

Sin embargo, la investigación muestra que las comunicaciones de crisis pueden deslizarse hacia abajo en la lista de prioridades a medida que las organizaciones se enfocan naturalmente en los aspectos técnicos de la ciberseguridad. Un poco más de la mitad de las organizaciones más avanzadas informaron que habían logrado comunicaciones de crisis efectivas. Aún más revelador, los planes de comunicación obtuvieron la clasificación más baja entre todas las medidas de respuesta analizadas en el informe. 

Su conclusión: si su organización aún no está al tanto de esto, no está solo. Pero ahora también tienes un llamado a la acción para comenzar a prepararte. Algunas cosas a considerar:

• Reúnase con su equipo de Comunicaciones o Relaciones Públicas y analice un hipotético incidente de ciberseguridad. Trace los momentos clave de una línea de tiempo de incumplimiento desde el descubrimiento hasta la remediación y la recuperación. 
• Pida a su equipo de comunicaciones que esboce un plan de comunicaciones que sea paralelo al cronograma del equipo de seguridad. Recuerde, controlar el flujo de información es vital, así que pídales que detallen quién debe ser notificado y cuándo. Obtener visibilidad de su proceso puede brindarle a usted y a su equipo una mejor comprensión de los desafíos de elaborar mensajes, obtener aprobaciones y notificar a los medios y clientes. Darle a su equipo de comunicaciones la oportunidad de crear una copia repetitiva que aborde escenarios probables puede facilitar todo el proceso cuando ocurre un incidente. 
• Su plan de respuesta a incidentes probablemente ya detalla un proceso y eventos desencadenantes para contactar a la policía. Pero asegúrese de revisar estos procedimientos con su equipo de Comunicaciones con anticipación, para que puedan estar preparados si se hace público algún informe oficial antes de que la empresa haga un anuncio. 

[Artículo relacionado: Por qué la ciberseguridad debe ser tarea de todos y 4 pasos para comenzar ]

3. Aproveche los beneficios sustanciales de la automatización

Las brechas de ciberseguridad están diseñadas para pasar desapercibidas. Es por eso que reducir el riesgo de error humano es tan críticamente importante. Sin embargo, solo el 26 % de las organizaciones utilizan actualmente análisis avanzados como inteligencia artificial (IA) y aprendizaje automático (ML) para identificar vulnerabilidades y amenazas de seguridad. 

La automatización tiene sentido en múltiples niveles. Como dijo un director de operaciones de una empresa de entretenimiento en la India: "Contamos con automatización de ciberseguridad que reduce la carga de trabajo de los analistas y aumenta la eficiencia, al tiempo que protege mejor los datos de nuestra empresa".

El potencial alcista es significativo. Las organizaciones que usan estas tecnologías informan que ven grandes ventajas en su capacidad para detectar y responder a las amenazas, específicamente cuando se trata de reducir el tiempo de permanencia y el tiempo de mitigación.

4. Priorice la creación y prueba de copias de seguridad

El cuarenta por ciento de las organizaciones espera que el ransomware represente el mayor riesgo en los próximos dos años. La forma más efectiva de lograr una postura defensiva en ese panorama de riesgo es invertir en la creación, el mantenimiento y la prueba de copias de seguridad y activos de recuperación ante desastres.

Sin embargo, no todas las organizaciones han aprovechado esta táctica comprobada. En promedio, las organizaciones informaron:

• Tener menos del 60 % de sus sistemas de misión crítica cubiertos por copias de seguridad
• Realización de restauraciones de respaldo solo una vez por trimestre

¿Cuál es la mejor manera de asegurarse de que sus copias de seguridad protejan sus datos más importantes? “Las copias de seguridad deben mantenerse separadas de las conexiones de red que podrían permitir la propagación del ransomware”, aconsejó un CTO de una empresa minorista en Australia. “Las copias de seguridad deben mantenerse fuera de línea, ya que muchas variaciones de ransomware buscan ubicar y cifrar o eliminar las copias de seguridad accesibles”.

5. Mejorar los controles de seguridad para superficies de ataque ampliadas

La transformación digital, la migración a la nube, el trabajo remoto y la complejidad de la cadena de suministro han contribuido a la expansión de la superficie de ataque. A medida que los entornos de TI crecen y se multiplican, las organizaciones necesitan aplicar suficientes controles de seguridad. 

La investigación muestra que las organizaciones más avanzadas están preparando sus sistemas invirtiendo en soluciones que brindan monitoreo continuo y controles de acceso. Encabezando la lista están las tecnologías de gestión de eventos e información de seguridad ( SIEM) y gestión de identidad y acceso (IAM). 

También vale la pena señalar que una cuarta parte de las organizaciones avanzadas ya han invertido en plataformas de protección de cargas de trabajo en la nube.

[Recurso relacionado: Obtenga más datos en su SIEM mientras aumenta la eficiencia operativa ]

No espere a que se produzca una infracción para actuar

Concéntrese en las medidas preventivas tanto como sea posible. Las organizaciones que se clasificaron a sí mismas como las más avanzadas en todas las áreas del marco NIST (detectar, proteger, identificar, responder, recuperar) superaron a sus pares en el momento de detectar y responder a las infracciones e implementar parches. En última instancia, las organizaciones más avanzadas que optimizaban continuamente su postura de ciberseguridad experimentaron menos incidentes.

Consulte nuestro informe especial "Soluciones de ciberseguridad para un mundo más riesgoso" para obtener más información sobre cómo las organizaciones más avanzadas gestionan el riesgo de infracciones.