Seguridad

8 pasos a seguir dentro de las 48 horas de una violación de datos

“Una filtración de datos en sí misma es el segundo peor incidente que le puede ocurrir a una organización; una comunicación mal administrada de la respuesta es el peor.” Esa observación proviene de Steve Moore, estratega jefe de seguridad de Exabeam, que rastrea a los delincuentes y a los adversarios del estado-nación y lideró la respuesta de filtración de atención médica más grande de la historia. Moore agregó que el tiempo dedicado a una infracción, incluidas las auditorías, el soporte regulatorio y de litigios, podría prolongarse durante años en lugar de meses.

Anteriormente describí 5 formas de prepararse para una infracción que pueden ayudar a reducir el riesgo. Sin embargo, si se produce una infracción a pesar de estas precauciones, aquí hay ocho acciones que debe tomar dentro de las 48 horas para administrar y contener la situación tanto como sea posible.

Debe leer el informe de seguridad

Estos próximos pasos deben aplicarse independientemente del tipo de violación, ya sea que involucre un solo dispositivo, una serie de sistemas o una intrusión en toda la empresa.

notas: Este artículo también está disponible para descargar en PDF.

1. Congelar todo

Desconecta el dispositivo afectado, pero no lo apagues ni realices ningún cambio todavía. El objetivo aquí es detener cualquier actividad en curso mediante la restricción de la comunicación con el sistema afectado, pero no realizar ninguna acción que pueda eliminar pistas, contaminar pruebas o ayudar a un atacante sin querer.

LEER  SourceHut elimina todos los proyectos relacionados con criptomonedas

Para máquinas virtuales u otros sistemas que se pueden tomar instantáneas, recomiendo hacerlo ahora para tener una versión grabada del sistema en el momento de la infracción. Puede analizar instantáneas más tarde sin conexión.

Consulte: Política de informes de incidentes de seguridad de la información (Tech Pro Research)

2. Asegúrese de que la auditoría y el registro estén en curso

Asegurarse de que las auditorías del sistema existentes permanezcan intactas y en ejecución será uno de los pasos más útiles que puede tomar para identificar el alcance de la infracción y la corrección del diseño. Si se ha deshabilitado la auditoría (p. ej., para cubrir el rastro de alguien), restáurela antes de continuar; también ayudará a determinar si una infracción está en curso y cuándo es seguro determinar que la infracción ha terminado.

3. Cambiar contraseña o bloquear credenciales

El cambio de contraseñas o el bloqueo de credenciales son tácticas comunes al prepararse para investigar una filtración de datos, ya que esto ayudará a garantizar que dicha filtración, si ocurre, se detenga, y las fugas de datos a menudo se basan en el compromiso de contraseñas y credenciales. Asegúrese de aplicar este paso a todas las cuentas involucradas, ya sean confirmadas o sospechosas.

4. Determinar el impacto

Ahora comienza la investigación. Descubra qué sucedió aquí; a qué información se accedió, qué sistemas se vieron comprometidos y qué cuentas se pueden haber utilizado. Necesitará los registros a los que se hace referencia en el paso anterior y las herramientas discutidas en el segundo paso. Identifique y analice las infracciones para desarrollar soluciones.

VER: Defenderse de la guerra cibernética: Cómo trabajan las élites de ciberseguridad para prevenir un apocalipsis digital (PDF gratuito) (Tecnopedia)

5. Determinar cómo sucedieron las cosas

Remediar una violación de datos basada únicamente en el impacto no es suficiente; debe identificar la causa raíz o corre el riesgo de simplemente poner una curita temporal en la situación. ¿Alguien ha dado la contraseña por error? ¿Los sistemas no están parcheados para vulnerabilidades específicas? ¿Alguien ha conectado una computadora portátil no autorizada a la red corporativa, exponiendo a la organización al malware? ¿O los empleados simplemente dejan dispositivos móviles sin cifrar en los taxis y son chantajeados?

Moore aconseja: «Una cosa que a menudo se pasa por alto: si su organización es un objetivo, no es raro que varios grupos adversarios lancen ataques sin el conocimiento de los demás. Esto podría incluir ataques directos a través de cadenas de suministro, socios, subsidiarias o asistencia por contrato».

6. Determina lo que hay que hacer

Ahora, necesita desarrollar medidas correctivas para sellar el casco del daño del iceberg, por así decirlo. Determine si necesita borrar de forma remota un dispositivo móvil robado, actualizar el software, cambiar las reglas del firewall de la red, aislar las subredes, ejecutar análisis antimalware, aumentar el registro y las alertas, o algún otro paso técnico, y planifíquelo. Entonces impleméntalo de inmediato.

7. Comunicar los detalles a los expertos apropiados

No solo debe preocuparse por los pasos técnicos. También existe un proceso de comunicación y notificación. ¿Quién tiene que estar involucrado para informarles que ocurrió una violación, cómo ocurrió, qué detalles estuvieron involucrados y qué acciones deben tomarse? Es posible que deba hablar con el Departamento Legal, Relaciones Públicas, Recursos Humanos, Servicio al Cliente u otros grupos interesados ​​que deban participar en la limpieza posterior a la infracción.

8. Haz un anuncio y prepárate para responder

Este nunca será el más divertido de estos pasos, pero probablemente requerirá que alguien haga una declaración pública, tal vez en forma de conferencia de prensa, una serie de correos electrónicos, un anuncio en las redes sociales, un anuncio en el sitio web o cualquier otra forma de comunicación que exista entre la empresa y el mundo exterior.

Asegúrese de describir qué pasos ha tomado la organización para remediar la infracción, qué pasos tiene la intención de tomar en el futuro y qué pasos, si los hay, deben tomar los clientes para protegerse, como cambiar sus contraseñas, comunicarse con la compañía de la tarjeta de crédito o generar una alerta de fraude.

Si es posible, establezca una línea directa o designe un grupo específico/información de contacto para abordar las inquietudes de los clientes sobre esta infracción para que puedan responder preguntas y brindar orientación.

Consulte: Las filtraciones de datos pueden afectarlo gravemente. Prepárate para contraatacar (CNET)

después de la violación

Si quiere asegurarse de no volver al lugar de donde vino, hay algunas cosas que debe hacer para reforzar después de que se asiente el polvo.

Identificar áreas de mejora

Cada filtración de datos se produjo a través de algún tipo de brecha: una brecha en la capacitación, la concientización, las medidas de seguridad, las capacidades técnicas o algún otro punto de entrada. Averigüe dónde están surgiendo brechas para que pueda llenarlas con una mayor educación y requisitos de cumplimiento, luego aplique esas brechas según sea necesario.

Trabaja duro para prevenir la próxima brecha

Concéntrese en ayudar a reducir el riesgo de que vuelva a suceder. Mejorar los mecanismos de parcheo si la vulnerabilidad explotada fue la fuente de la brecha. Aplique el cifrado si se roba información corporativa de la tarjeta micro SD en la tableta Android. Utilice métodos de autenticación mejorados cuando sea necesario (se recomienda encarecidamente la autenticación de dos factores). Considere otros factores que contribuyan al crecimiento futuro de la empresa y aplíquelos según sea necesario.

Ver también:

8 pasos a seguir dentro de las 48 horas de

LEER  Recomendaciones para implementar tarjetas inteligentes en Win2K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba