Tal y como recoge el informe «Innovate for Cyberresilience» de Accenture, para que un programa de ciberseguridad tenga éxito, debe invertir en velocidad operacional, es decir, priorizar en una detección y respuesta rápidas. En este caso, la mayoría de los líderes coincide en que la velocidad de detección (58% de los encuestados), el tiempo de recuperación/restauración de la actividad normal (53%) y el tiempo de respuesta (52%) son los tres factores clave que se deben tener en cuenta para medir dicho éxito.
Los equipos de seguridad tienen cada vez mayor carga de trabajo, especialmente ahora por los ciberataques derivados del Covid-19 y por la ampliación de la superficie de ataque a causa del teletrabajo. Por ello, Cytomic, unidad de negocio de la empresa de seguridad española Panda, señala que es importante que las organizaciones refuercen su estrategia de ciberseguridad con un plan efectivo de respuesta ante incidentes y soluciones punteras que les permitan mantener un enfoque proactivo y atender a las amenazas de manera efectiva.
Para cumplir – y superar – los estándares de efectividad a la hora de responder ante los incidentes de ciberseguridad, hay cinco pasos que se deben tener en cuenta.
Prepararse
Antes de cualquier otra cosa, es necesario preparar por adelantado un plan sólido de respuesta que ayude a evitar las brechas de seguridad. Este plan debe comprender desde la creación del equipo dedicado hasta las estrategias de remediación y detección, o la realización de simulacros para lograr la respuesta más proactiva y adecuada.
Detección
Una vez detectada la amenaza, lo primero es determinar la causa del incidente para intentar contenerlo. En este análisis es importante que se haga una monitorización de la trayectoria de ataque, se documente la incidencia, se clasifique y se priorice la respuesta en función de su gravedad.
Análisis
Aquí se evaluarán todos los esfuerzos llevados a cabo y necesarios para dar la mejor respuesta. El análisis que se realiza en este paso debe incluir: análisis binario, análisis del endpoint, y Enterprise hunting.
Contención, erradicación y recuperación
Una vez detectado el incidente y analizada su causa, es momento de contener el daño. También se debe crear una copia de seguridad de todos los dispositivos, sistemas o redes comprometidas por si fuera de utilidad para futuros análisis forenses.
Después del incidente
Tras el paso anterior, hay que aplicar los cambios adecuados a la estrategia de ciberseguridad para evitar que vuelva a ocurrir. También es necesario actualizar el plan de respuesta a incidentes para reflejar los nuevos procedimientos y todo aquello a tener en cuenta en el futuro.