¿Qué es un servicio de respuesta a ciberincidentes y por qué lo necesita?
Tanto si necesita contratar a un equipo para responder a los ciberataques como si solo necesita contratar a algunos especialistas para reforzar sus capacidades, los servicios de respuesta a incidentes funcionan.
- El cibercrimen se estabiliza en 2022 y los incidentes caen un 18%
- "Los controles de prevención automatizados son vitales para evitar la mayoría de los incidentes de seguridad"
- El panorama de ciberataques impacta en la salud mental de los responsables de respuesta a incidentes
- 10 incidentes de seguridad de la última década que definen la industria
- El 93% de los entornos de tecnología operacional sufrieron algún incidente de ciberseguridad en el último año
Con los ciberataques en constante aumento, las empresas deben ser capaces de responder y actuar con rapidez ante todas las amenazas para reducir los riesgos y minimizar los daños a la reputación y las consecuencias legales.
A menudo, los daños se multiplican debido a los retrasos y errores que cometen las organizaciones en la gestión de estos incidentes cibernéticos. Esto se debe a que los empleados que responden a los incidentes cibernéticos normalmente sólo lo hacen cuando es necesario.
Sin embargo, lo ideal sería que los expertos dedicaran el 100% de su tiempo a responder a los ciberincidentes. Para colmar las lagunas de seguridad, muchas organizaciones contratan a proveedores externos que ofrecen servicios de respuesta a incidentes en lugar de mantener sus propios equipos internos de respuesta a incidentes.
¿Qué es un anticipo de respuesta a incidentes?
Un servicio de respuesta a incidentes (IR) es una tarifa que paga una empresa a un proveedor externo que se compromete a estar disponible en caso de que se produzca un incidente de ciberseguridad, afirma Will Sweeney, fundador y socio director de Zaviant Consulting.
"Se trata de un acuerdo superficial para que, cuando se produzca un incidente, la empresa esté preparada para ayudarle a resolverlo y evitar que se propague o empeore y se convierta en un problema mayor", afirma.
Un acuerdo de este tipo entre una organización y un proveedor de servicios de respuesta a incidentes establece los parámetros en los que ambos trabajarán juntos, dice Jess Burn, analista principal de Forrester Research Inc.
Un contrato de servicio fija un tiempo de respuesta específico cuando la organización declara una brecha y se pone en contacto con el proveedor de servicios. Suele incluir una cantidad fija de tiempo que el proveedor de IR dedicará a la investigación forense digital y a las actividades de respuesta a incidentes durante una infracción, con una tarifa horaria establecida, afirma Burn.
"A menudo, esta tarifa se negocia previamente entre un proveedor de IR y la compañía de seguros cibernéticos de la organización", incide. "Las empresas con pólizas de seguro cibernético suelen elegir un proveedor de servicios IR de un panel de proveedores aprobados por sus transportistas".
Las horas empleadas en responder a un incidente que superen la cantidad incluida en el anticipo pueden tener una tarifa distinta a la que la empresa pagó por adelantado, pero esto también suele negociarse entre la aseguradora y el proveedor de IR, según Burn. Las horas no utilizadas suelen trasladarse al siguiente año de contrato y pueden utilizarse para otros servicios, como ejercicios de preparación para incidentes.
¿Por qué las empresas necesitan retenedores de IR?
Los incidentes cibernéticos son una cuestión de cuándo, no de si ocurrirán, afirma William Candrick, director analista de Gartner. Aunque las empresas pueden gestionar y reducir los riesgos cibernéticos, no pueden evitarlos por completo. Por lo tanto, todas las organizaciones deben tener capacidad de respuesta ante incidentes.
"La mayoría de las organizaciones mantienen sus propios equipos de respuesta a incidentes de seguridad informática y centros de operaciones de seguridad o subcontratan estas capacidades; sin embargo, muchas organizaciones descubren que necesitan experiencia y capacidades adicionales de guardia durante un incidente grave o complejo", comenta Candrick.
La gestión eficaz de un incidente cibernético depende de tres factores principales: contar con profesionales cualificados, procesos operativos bien definidos y tecnologías adecuadas en el momento en que se produce el incidente, continúa Shmulik Yehezkel, director de operaciones cibernéticas críticas de CYE, una empresa emergente de ciberseguridad de Tel Aviv.
"Sin un contrato de servicios de respuesta a incidentes, surgen complicaciones", afirma. "Encontrar un equipo IR competente con poca antelación puede ser un reto, e incluso si estos expertos están disponibles, pueden no poseer los conocimientos específicos necesarios para el incidente en cuestión".
Los retenedores de IR pueden abordar necesidades únicas
Además, cada organización tiene sus propios procesos y activos, lo que significa que los equipos de IR tardarán algún tiempo en familiarizarse con las complejidades operativas, lo que podría dar lugar a posibles errores, afirma Yehezkel. Y puesto que los equipos de IR dependen de diversas herramientas tecnológicas, pueden encontrar obstáculos a la hora de desplegarlas debido a factores como la arquitectura de la red o las medidas de seguridad existentes.
Por ello, las empresas deben seleccionar cuanto antes a sus proveedores de IR -de entre los paneles de sus aseguradoras, si están aseguradas-, según Burn.
"No espere a sufrir un ataque para elegir uno", afirma. "La ventaja de un contrato de permanencia es el proceso de integración con el proveedor de servicios de IR. A menudo, este proveedor celebra varias sesiones de admisión para conocer el entorno de la organización (si están en la nube, on-prem, o híbrido, por ejemplo), su pila de tecnología de seguridad, y las habilidades y competencias del equipo de seguridad interna de la organización".
El proveedor de IR, la empresa y el abogado externo de la empresa también suelen redactar y perfeccionar un acuerdo tripartito por adelantado para garantizar que un proveedor de IR trabaje bajo la dirección de un abogado externo durante la violación para proteger el privilegio abogado-cliente, según Burn. "Todo esto aumenta enormemente la eficacia del proveedor durante una infracción".
Las ventajas de un retenedor de IR
Los líderes en ciberseguridad se enfrentan a una escasez mundial de talento, afirma Candrick. En pocas palabras, no hay suficientes talentos cualificados en ciberseguridad para cubrir la demanda actual.
"Por lo tanto, los servicios de respuesta a incidentes son una forma de aumentar rápidamente el equipo de ciberseguridad interno o el proveedor de servicios de seguridad gestionados subcontratado cuando se necesitan capacidades avanzadas y personal adicional durante un incidente grave o complejo".
Además, las pólizas de ciberseguro suelen exigir, entre otros requisitos, un anticipo de respuesta a incidentes de ciberseguridad. Por tanto, las organizaciones que buscan pólizas de ciberseguro o que ya las tienen en vigor probablemente necesitarán un anticipo para cumplir dichas pólizas, según Candrick. De hecho, muchas aseguradoras mantienen sus propios paneles de servicios de retención preferidos, entrenadores de infracciones y otros servicios.
Además, los retenedores de respuesta a incidentes permiten a las empresas gestionar mejor los costes, defiende Javier Domínguez, CISO de Commvault, proveedor de software de protección de datos empresariales.
¿Qué incluye un contrato de IR?
Según Kayne McGladrey, miembro senior del IEEE y CISO de campo en Hyperproof, un proveedor de software de gestión automatizada del rendimiento, un contrato de respuesta a incidentes suele constar de los siguientes elementos:
Una estrategia integral de respuesta a incidentes que disminuye la probabilidad y el impacto financiero de una violación de datos.
Acceso permanente a expertos en respuesta a incidentes.
Canales de comunicación establecidos y manuales de respuesta para acelerar la recuperación.
Desarrollo y prueba de planes para la gestión de incidentes, junto con la creación de un libro de jugadas.
Apoyo para la reparación, gestión de crisis y comunicación después de que se produzca una filtración.
Herramientas forenses para abordar y reducir rápidamente el impacto de ciberamenazas específicas.
Programas de formación para aumentar la capacidad de una organización para detectar y priorizar amenazas y minimizar el tiempo que un atacante permanece sin ser detectado.
"Te beneficias de tener una tarifa horaria prenegociada y un presupuesto asignado en caso de que necesites ejercer el contrato", afirma. "No tener [un retenedor de respuesta a incidentes] te pondrá en desventaja para negociar y presupuestar adecuadamente".
¿Deben las empresas comprar o crear capacidades de respuesta a incidentes?
Existen muchos modelos operativos en este ámbito, afirma Bryan Willett, CISO de Lexmark. "Una organización podría decidir externalizar por completo toda su práctica de seguridad y la respuesta a incidentes estaría incluida", afirma.
"O una empresa puede considerar que es importante que asuma la responsabilidad de gestionar el riesgo de ciberseguridad dentro de su organización. En este caso, tendrán que evaluar su madurez de respuesta y aumentar adecuadamente".
Sólo hay unas pocas organizaciones en el mundo con toda la experiencia necesaria para responder a un incidente cibernético significativo, añade Willett. Aun así, es importante que tengan en cuenta la posible responsabilidad legal asociada a cualquier incidente y que recurran a terceros para recopilar las pruebas adecuadas en caso de que haya litigios en torno a un suceso.
"Al considerar esto, es importante trabajar estrechamente con su equipo legal y su compañía de seguros cibernéticos para asegurarse de que está tomando las medidas adecuadas para satisfacer los requisitos de reclamación de su compañía de seguros", dice.
¿Deben las pequeñas o las grandes empresas contratar un servicio de respuesta a incidentes?
Determinar si una organización debe crear o comprar capacidades de respuesta a incidentes depende de la empresa, ya que las organizaciones pequeñas probablemente no tendrán el presupuesto y el personal que les permitiría mantener expertos en respuesta a incidentes en plantilla, dice Brandon Leiker, arquitecto principal de soluciones de seguridad en 11:11 Systems, un proveedor de soluciones de infraestructura gestionada.
Además, es probable que no se produzcan situaciones con la frecuencia suficiente para que los expertos en respuesta a incidentes mantengan sus conocimientos.
Las organizaciones más grandes, sin embargo, pueden disponer de presupuestos y empleados que les permitan mantener en plantilla a expertos en respuesta a incidentes, según Leiker. También pueden tener la frecuencia de incidentes cibernéticos que permitiría a los empleados con esas habilidades mantener y seguir perfeccionando sus capacidades.
Es probable que esos empleados internos puedan hacer frente adecuadamente a incidentes cibernéticos pequeños y medianos, pero es posible que necesiten ayuda adicional para gestionar incidentes cibernéticos graves y de gran envergadura, afirma.
"Sin embargo, los servicios de respuesta a incidentes pueden ser una parte vital de la estrategia de respuesta a incidentes de su organización, independientemente de si se trata de una pequeña organización sin recursos para desarrollar internamente capacidades de respuesta a incidentes o de una gran organización que necesita aumentar sus capacidades de respuesta a incidentes", concluye Leiker.
