Artículo

Guía de ciberriesgo para CISOs: cómo responder a un incidente cibernético

Esta guía ofrece recomendaciones para maximizar el valor de un panel de respuesta a incidentes, reducir el error humano y establecer una posición sobre el ransomware.

Birdseye view of a road through a forest in winter with red car driving with headlights on

Los ciberataques y los incidentes de seguridad son una amenaza real para todas las organizaciones. Una de cada cinco empresas en el Reino Unido identificó recientemente un ataque sofisticado como denegación de servicio, malware o ransomware. Incorporar un plan de respuesta a incidentes en las actividades habituales puede permitir a una organización responder con calma y eficacia durante un ciberataque.

En este primer artículo de nuestra guía sobre riesgos cibernéticos para directores de información y seguridad (CISO), examinamos los pasos que una organización debe tener en cuenta, antes y durante un incidente cibernético, para mitigar su impacto.

¿Qué incluye un buen plan de respuesta a incidentes?

Marsh recomienda que las organizaciones cuenten con un plan de respuesta a incidentes que defina sus actividades para detectar, analizar y solucionar un problema cibernético y lograr restaurar las operaciones de la empresa lo antes posible. Los planes sólidos de respuesta a incidentes incluyen una estrategia de escalada, en caso de que un ataque se prolongue durante el tiempo, y una matriz para ayudar a la toma de decisiones en función de la gravedad y con el fin de determinar las prioridades.

Se deben identificar cuáles son los equipos externos e internos que pueden sufrir incidentes, y comprender claramente de antemano las funciones y responsabilidades de las personas. Incluir plantillas para respuestas a reguladores, medios e interesados en un plan de respuesta a incidentes, puede ahorrar mucho tiempo en caso de que ocurra un incidente. Los planes de contingencia también deberían estar disponibles y probados.

Asegúrese de que el plan se mantenga actualizado y sea accesible para los miembros del equipo de respuesta a incidentes, incluso si los sistemas fallan.

Las organizaciones deben llevar a cabo un ejercicio teórico al menos una vez al año para identificar los puntos débiles en el plan de respuesta a incidentes cibernéticos y actualizar el plan con las lecciones aprendidas.

Acciones a tomar el primer día de un ciber incidente

Un incidente cibernético se define como uno o más eventos de seguridad que comprometen las operaciones comerciales y la seguridad de la información de una organización. Esto puede incluir violaciones de seguridad, denegación de servicio, violaciones de datos personales, robo de credenciales, phishing, compromiso de sistemas y cuentas, y pérdida de datos.

Lista de prioridades ante un ciber incidente. Una vez que se ha determinado un incidente cibernético, una organización debe hacer lo siguiente:

1. Reúna los hechos y active el plan de respuesta a incidentes

En la medida de sus posibilidades, establezca lo sucedido y la naturaleza del incidente. Es importante determinar qué sistemas, dispositivos y datos se han visto afectados.
Siga su plan de respuesta a incidentes y asegúrese de que los equipos no operen aislados. Es importante que trabaje junto con las partes interesadas clave en toda la organización (incluidos los departamentos Jurídicos, de Gestión de Riesgos, Comunicaciones, Recursos Humanos y Finanzas) cuando sea necesario.

2. Notificar a las aseguradoras y al corredor de seguros

Comuníquese con aseguradoras y corredores de seguros inmediato para que puedan realizar la clasificación y brindar apoyo y orientación. Si el incidente se produce fuera del horario de oficina, las políticas cibernéticas incluyen una línea directa 24 horas al día, 7 días a la semana a la que se debe contactar, en primera instancia.

3. Busque ayuda externa

Busque experiencia de terceros, cuando sea necesario. Las pólizas de seguro cibernético cuentan con un panel de asesores, examinados y aprobados por sus aseguradoras. Casi siempre se requiere la aprobación previa de las aseguradoras para los proveedores que no están en el panel. Si contrata proveedores que no están en su panel, debe comunicarlo a su corredor y asegurador lo antes posible. Su aseguradora también debe estar actualizada con las declaraciones de trabajo a medida que se producen.

Actuar con rapidez y competencia en las primeras 48 horas de un ataque es crucial para contener el incidente y mantener operativa una organización.

Violación de datos personales

Establecer si el incidente ha resultado en una violación de datos personales y exactamente qué datos se han visto afectados es fundamental para determinar si es necesario notificar a un regulador. En el Reino Unido, una organización está legalmente obligada a informar a la Oficina del Comisionado de Información (ICO) sobre violaciones de datos personales dentro de las 72 horas siguientes a su conocimiento, a menos que pueda demostrar que es poco probable que la violación represente un riesgo para los derechos y libertades de las personas.

Reúna a su equipo de respuesta a incidentes

Una vez que se hayan tomado estos pasos iniciales, el CISO normalmente trabajará junto con el panel de respuesta a incidentes de las aseguradoras para resolver un evento. Un panel de respuesta a incidentes generalmente incluye:

Expertos en tecnología de la información forense, que trabajan para determinar la naturaleza y el alcance del ataque y para contenerlo y aislarlo. También recopilan y preservan evidencia digital.
Abogados, para garantizar que la respuesta de una organización al ataque cumpla con las leyes y regulaciones pertinentes.
Consultores de comunicación, que ayudan a una organización a decidir sobre mensajes clave y cómo transmitirlos a sus diferentes audiencias.
Especialistas en negociación de rescates para proporcionar inteligencia sobre amenazas sobre el grupo de actores de amenazas y, cuando sea necesario, para llevar a cabo cualquier negociación.

Marsh recomienda que el CISO se reúna con cualquier proveedor con el que desee interactuar antes de un evento para comprender cómo trabajan y, a su vez, para que el proveedor comprenda el proceso de respuesta a incidentes de la organización.

Establecer una posición sobre el ransomware

Los negociadores de ransomware normalmente formarán parte de un panel de respuesta a incidentes. Sin embargo, la decisión de pagar un rescate o no, recae en la organización. Se recomienda que una organización analice su postura sobre este complejo tema antes de un evento. Este puede ser un buen tema sobre el cual involucrar a la junta directiva, potencialmente abriendo e informando una conversación más general sobre la gestión de incidentes cibernéticos.

Reducir el riesgo de error humano

Alrededor del 95% de los problemas cibernéticos se deben a errores humanos. Las organizaciones deben integrar la capacitación en seguridad cibernética en su cultura y definir claramente para los empleados qué constituye un incidente cibernético y las acciones que podrían desencadenar involuntariamente una política.

Cómo puede ayudar Marsh

Gestión de incidentes: Marsh puede ayudarle a formular su respuesta a incidentes cibernéticos y brindarle apoyo antes, durante y después de un incidente.
Sesiones de incorporación: Marsh puede explicar cómo funciona su póliza cibernética, el panel de proveedores disponibles para usted y cómo puede maximizar su cobertura.
Compromiso con la junta directiva: Marsh puede ayudarle a interactuar con la junta directiva, ya sea a través de simulaciones de incidentes cibernéticos o ejercicios prácticos personalizados.