Es la temporada para que los equipos de seguridad y TI envíen ese correo electrónico a toda la empresa: «No, nuestro CEO NO quiere que compres tarjetas de regalo».
A medida que gran parte de la fuerza laboral se despide de las vacaciones, los piratas informáticos están intensificando su juego. Sin duda, veremos un aumento en la actividad a medida que los piratas informáticos continúen desencadenando estafas de comercio electrónico y ataques de phishing con temas festivos. A los piratas informáticos les encanta usar estas tácticas para engañar a los usuarios finales para que comprometan no solo sus datos personales, sino también los datos de su organización.
Pero eso no significa que debas pasar las próximas dos semanas en un estado constante de ansiedad.
En su lugar, utilice este momento como una oportunidad para asegurarse de que su plan de respuesta a incidentes (IR) sea sólido como una roca.
¿Donde empezar?
Primero, asegúrese de que su estrategia siga los seis pasos para completar la respuesta a incidentes.
Aquí hay un repaso:
Los 6 pasos de un IR completo
- Preparación: Esta es la primera fase e implica revisar las medidas y políticas de seguridad existentes; realizar evaluaciones de riesgo para encontrar vulnerabilidades potenciales; y establecer un plan de comunicación que establezca protocolos y alerte al personal sobre posibles riesgos de seguridad. Durante las festividades, la etapa de preparación de su plan de RI es crucial, ya que le brinda la oportunidad de comunicar las amenazas específicas de las festividades y poner las ruedas en marcha para abordar dichas amenazas a medida que se identifican.
- Identificación: La etapa de identificación es cuando se ha identificado un incidente, ya sea que haya ocurrido o esté actualmente en progreso. Esto puede ocurrir de varias maneras: por un equipo interno, un consultor externo o un proveedor de servicios gestionados o, en el peor de los casos, porque el incidente ha provocado una filtración de datos o una infiltración de su red. Debido a que muchos hacks de seguridad cibernética de vacaciones involucran las credenciales del usuario final, vale la pena activar los mecanismos de seguridad que monitorean cómo se accede a sus redes.
- Contención: El objetivo de la etapa de contención es minimizar el daño causado por un incidente de seguridad. Este paso varía según el incidente y puede incluir protocolos como aislar un dispositivo, deshabilitar cuentas de correo electrónico o desconectar sistemas vulnerables de la red principal. Debido a que las acciones de contención a menudo tienen implicaciones comerciales graves, es imperativo que las decisiones a corto y largo plazo se determinen con anticipación para que no haya problemas de última hora para abordar el problema de seguridad.
- Erradicación: Una vez que haya contenido el incidente de seguridad, el siguiente paso es asegurarse de que la amenaza se haya eliminado por completo. Esto también puede implicar medidas de investigación para averiguar quién, qué, cuándo, dónde y por qué ocurrió el incidente. La erradicación puede implicar procedimientos de limpieza del disco, restauración de sistemas a una versión de copia de seguridad limpia o creación de imágenes completas del disco. La etapa de erradicación también puede incluir la eliminación de archivos maliciosos, la modificación de claves de registro y, posiblemente, la reinstalación de sistemas operativos.
- Recuperación: La etapa de recuperación es la luz al final del túnel, lo que le permite a su organización volver a la normalidad. Al igual que la contención, es mejor establecer protocolos de recuperación de antemano para que se tomen las medidas adecuadas para garantizar que los sistemas sean seguros.
- Lecciones aprendidas: Durante la fase de lecciones aprendidas, deberá documentar lo que sucedió y observar cómo funcionó su estrategia de RI en cada paso. Este es un momento clave para considerar detalles como cuánto tiempo llevó detectar y contener el incidente. ¿Hubo algún signo de malware persistente o sistemas comprometidos después de la erradicación? ¿Fue una estafa relacionada con un esquema de piratas informáticos de vacaciones? Y si es así, ¿qué puedes hacer para prevenirlo el próximo año?
Cómo los equipos de seguridad lean pueden estresarse menos en esta temporada navideña
Incorporar las mejores prácticas en su estrategia de IR es una cosa. Pero construir y luego implementar estas mejores prácticas es más fácil decirlo que hacerlo cuando no tiene el tiempo o los recursos.
Los líderes de equipos de seguridad más pequeños enfrentan desafíos adicionales provocados por esta falta de recursos. Los presupuestos mínimos, combinados con la falta de personal suficiente para administrar las operaciones de seguridad, están dejando a muchos equipos de seguridad reducidos sintiéndose resignados a la idea de que no podrán mantener a su organización a salvo de la avalancha de ataques que a menudo vemos durante la temporada navideña.
Afortunadamente, existen recursos gratuitos para los equipos de seguridad en esta situación exacta.
Puede encontrar de todo, desde plantillas para informar sobre un incidente hasta seminarios web que profundizan en la estrategia de IR, junto con información sobre las amenazas de seguridad cibernética más recientes dentro de Cynet. Centro de respuesta a incidentes. Y para ayudar aún más a los equipos de seguridad en caso de que ocurra un incidente, están ofreciendo un Respuesta acelerada a incidentes Servicio.
Si desea consultar estos recursos gratuitos, visite el Centro de respuesta acelerada a incidentes aquí.
Que su equipo de seguridad mantenga el fuerte en las próximas dos semanas mientras disfruta de las vacaciones sin ansiedad.