CONTINUIDAD DEL NEGOCIO: RESPUESTA A INCIDENTES Y PLANIFICACIÓN DE RECUPERACIÓN

En última instancia, a pesar de todos los mejores esfuerzos de las personas o juntas directivas responsables de una empresa que han entendido y gestionado el riesgo al que se enfrentan, es probable que en algún momento se vulneren las defensas de la seguridad cibernética. Una parte esencial del proceso de evaluación, gestión y gobernanza de riesgos incluye la consideración y planificación del proceso de gestión de incidentes y respuesta rápida a los ciberataques. El objetivo es comprender el impacto en el sistema y minimizarlo, desarrollar e implementar un plan de remediación y utilizar este conocimiento para mejorar las defensas y proteger mejor contra la explotación exitosa de vulnerabilidades en el futuro (ciclo de retroalimentación). Esta es todavía un área incipiente de madurez de la seguridad cibernética. Por lo general, las organizaciones prefieren mantener la información sobre las brechas de seguridad cibernética en el anonimato para evitar daños a la reputación y encubrir fallas en la seguridad. Sin embargo, es probable que otras organizaciones, incluidos los competidores, sucumban al mismo destino en el futuro y podrían beneficiarse del conocimiento previo del incidente que ocurrió. A gran escala, esto es algo que debe abordarse, especialmente dado que el lado ofensivo de la seguridad cibernética se comunicará y colaborará para compartir inteligencia sobre oportunidades y vulnerabilidades para la explotación de sistemas. Ciertas industrias, como los sectores financiero y farmacéutico, tienen acuerdos para compartir dicha inteligencia, pero aún no se ha convertido en algo común para todo tipo de organizaciones. Los grandes consorcios públicos como Cyber Defense AllianceLimited (CDA), Cyber Information Sharing Partnership (CISP) y Open Web Application Security Project (OWASP) tienen como objetivo ayudar a la comunidad a compartir y proporcionar acceso a inteligencia sobre las últimas amenazas a la seguridad cibernética.

ISO / IEC 27035-1: 2016 es una norma internacional que define los principios para la gestión de incidentes. Amplía el modelo ISO / IEC 27005 antes mencionado e incluye pasos para la respuesta a incidentes, que incluyen:

• Planificar y preparar: incluida la definición de una política de gestión de incidentes y el establecimiento de un equipo para hacer frente a los incidentes.
• Detección y Reporting: observación, monitoreo, detección y reporte de incidentes de seguridad.
• Evaluación y decisión: determinar la presencia (o no) y la gravedad asociada del incidente y tomar medidas decisivas sobre los pasos para manejarlo.
• Respuesta: esto puede incluir análisis forense, parcheo del sistema o contención y remediación del incidente.
• Aprendizaje: una parte clave de la gestión de incidentes es el aprendizaje: realizar mejoras en las defensas del sistema para reducir la probabilidad de futuras infracciones.

The NCSC también proporciona diez pasos para ayudar a guiar el proceso de gestión de incidentes que, en términos generales, se relacionan con las fases Planificar, Detectar, Evaluar, Responder y Aprender de ISO / IEC 27035. En resumen, los pasos incluyen:

• Establecer la capacidad de respuesta a incidentes: incluida la financiación y los recursos, ya sea de forma interna o externa para gestionar los incidentes. Esto debe incluir reportar incidentes y manejar cualquier expectativa regulatoria.
• Capacitación: garantizar que se cuente con la experiencia necesaria para gestionar incidentes (por ejemplo, respuesta forense y comprensión de las expectativas de presentación de informes).
• Roles: asigne deberes a las personas para que manejen los incidentes y capacítelos para responder a los incidentes de acuerdo con un plan de acción claro, y asegúrese de que esta persona sea bien conocida por las personas que probablemente identifiquen un incidente.
• Recuperación: particularmente para datos y aplicaciones críticas, asegúrese de que una copia de seguridad esté físicamente separada del sistema y pruebe la capacidad de restaurar desde la copia de seguridad.
• Prueba: desarrollar escenarios para probar los planes de recuperación; estos deben perfeccionarse basándose en una restauración práctica y oportuna en diferentes escenarios de ataque.
• Informe: asegúrese de que la información se comparta con el personal apropiado internamente para mejorar la gestión de riesgos y los controles de seguridad, además de externamente para garantizar que se cumplan los requisitos legales o reglamentarios.
• Recopilar evidencia: la respuesta forense puede ser crucial después de un incidente – la preservación de evidencia podría ser crítica para los procedimientos legales o, como mínimo, para comprender los eventos que llevaron a la infracción.
• Desarrollar: tome nota de las acciones tomadas como parte de la respuesta a incidentes. ¿Qué funcionó y qué no? ¿Dónde se podría mejorar el proceso? Además de las defensas, el plan de respuesta también puede beneficiarse del perfeccionamiento. La seguridad es un tema en constante evolución y requiere una reflexión continua. Las políticas de seguridad, la capacitación y la comunicación pueden ayudar a reducir el impacto de futuras infracciones.
• Concienciación: continúe recordando a los empleados sus responsabilidades y rendición de cuentas con respecto a la seguridad cibernética; recuérdeles cómo denunciar incidentes y qué deben tener en cuenta. La vigilancia es clave, ya sea que se trate de denunciar un comportamiento sospechoso o un error personal conocido que haya provocado una infracción.
• Informe: el delito cibernético debe informarse a las agencias policiales pertinentes.

Como palabra final sobre la continuidad del negocio, destacamos la importancia de las cadenas de suministro. Los enfoques de gestión de incidentes junto con los métodos de evaluación de riesgos a nivel de sistemas están diseñados para permitir la captura de riesgos relacionados con interacciones y aspectos interdependientes del sistema, que, por supuesto, pueden y deben incluir cadenas de suministro, pero solo lo harán si es necesario. Se presta atención a este aspecto del riesgo. El riesgo de ciberseguridad de las cadenas de suministro, si bien es un tema incipiente con respecto a la evaluación de riesgos y la gobernanza, es un tema importante.