Cinco formas de preparar a un nuevo equipo de ciberseguridad frente a una crisis

Responder a una crisis de seguridad puede ser un reto para la mayoría de los equipos de ciberseguridad. Sin embargo, puede serlo doblemente para un equipo con profesionales de la seguridad relativamente nuevos e inexpertos.

Los errores que suelen cometer los grupos de seguridad al responder a un incidente pueden verse amplificados cuando se llama de repente a personas con poca experiencia previa para que se ocupen de una crisis que está estallando. Los problemas pueden ser de todo tipo: desde no comprender el alcance de una brecha, no saber cómo escalarla, cometer fallos de comunicación, hasta errores técnicos como no conservar los registros, no hacer copias de seguridad y desconectar demasiado pronto los sistemas infectados.

Preparar a un equipo de ciberseguridad para una crisis es un proceso de varios pasos que requiere una mezcla de conocimientos teóricos y experiencia práctica, afirma Craig Jones, vicepresidente de Operaciones de Seguridad en Ontinue. "El CISO o responsable de seguridad debe invertir en programas de formación exhaustivos que cubran la detección, respuesta y mitigación de incidentes de seguridad, así como la realización periódica de simulacros de crisis, como los ejercicios de simulación", defiende Jones. "Esto no solo garantizará que el equipo esté bien preparado para una crisis potencial, sino que también minimizará la interrupción del negocio en caso de un incidente de seguridad".

Aquí hay cinco consejos que Jones y otros expertos en seguridad identificaron como críticos para asegurar que un equipo de ciberseguridad novato tenga lo que se necesita para hacer frente a una crisis de seguridad.

Establecer un conocimiento organizativo básico

Para que un nuevo equipo de ciberseguridad sea eficaz, debe tener un conocimiento básico de la organización, sus requisitos empresariales, su perfil de riesgo, su tolerancia al riesgo y sus activos clave. El equipo de seguridad debe saber qué está protegiendo y por qué, para poder entender lo que se espera de él. Además, deben comprender los procesos empresariales y su importancia, así como el impacto que podrían tener en ellos las posibles infracciones, detalla Jones. Y es que estos conocimientos básicos permiten comprender mejor las posibles vulnerabilidades y amenazas a las que puede enfrentarse la organización.

"El equipo debe estar familiarizado con los procesos de gestión de incidentes existentes en la organización", toma el relevo Fernando Montenegro, analista de Omdia. El equipo también debe estar familiarizado con las prioridades organizativas y empresariales y saber qué sistemas y relaciones son clave. Además, es vital que el equipo conozca las técnicas y herramientas básicas de respuesta a incidentes y análisis forense. Deben estar familiarizados tanto con los aspectos técnicos de la gestión de una crisis -como las investigaciones EDR, la ingeniería de detección, el análisis de redes y la detección de desviaciones en la nube- como con los aspectos procedimentales, como la propiedad de los sistemas y la cadena de custodia, señala. "La idea es aunar las perspectivas de seguridad, TI y negocio mientras el equipo examina las pruebas técnicas que tiene ante sí" durante un incidente real.

Definir cómo sería una crisis y crear guías de actuación

No todos los incidentes de seguridad provocan una crisis empresarial, y no todas las crisis están relacionadas con la cibernética. Los desastres naturales, las retiradas de productos, los accidentes y las debacles de relaciones públicas son ejemplos de sucesos no cibernéticos que podrían tener un impacto negativo significativo en una organización. Por eso, a la hora de preparar a un nuevo equipo de ciberseguridad para una crisis, es importante definir y clasificar -primero por gravedad y luego por probabilidad- qué es exactamente lo que la empresa definiría como "crisis" de seguridad, afirma John Pescatore, director de Tendencias de Seguridad Emergentes del SANS Institute.

"No siempre encabeza la lista algo como el ransomware", insiste Pescatore. A veces, una crisis puede no tener nada que ver con la ciberseguridad, señala. "Por ejemplo, recuerdo haber oído a un director de sistemas de información de un hospital de Boston hablar de cómo les bombardearon con intentos de acceder a los datos del hospital tras el atentado [del maratón de Boston] porque los informes de prensa habían señalado que los autores de los atentados habían ido a ese hospital".

Una vez que el equipo de ciberseguridad tenga una idea de lo que constituiría una crisis de seguridad para la empresa, cree manuales de actuación. Los manuales deben definir quién hace qué y cuándo. Considere la posibilidad de realizar un ejercicio de simulación interno en la próxima reunión del equipo de ciberseguridad. "A partir de ahí puedes encontrar muchas directrices y cursos sobre procesos de respuesta a incidentes y mejores prácticas". Pescatore señala el Foro de Equipos de Seguridad de Respuesta a Incidentes como una buena fuente de recursos gratuitos, así como recursos que sólo están disponibles para los miembros.

Crear un plan de respuesta a incidentes

Preparar a un equipo de nuevos profesionales de ciberseguridad para una crisis significa desarrollar para ellos un plan de respuesta a incidentes para responder y mitigar cualquier incidente de seguridad que pueda desencadenar una crisis a nivel empresarial. A diferencia de un plan de gestión de crisis, que adopta un enfoque estratégico de alto nivel para la toma de decisiones y la gestión durante una crisis, un plan de respuesta a incidentes es más un documento táctico que proporciona una guía paso a paso para mitigar un incidente. Estos planes suelen proporcionar instrucciones técnicas detalladas, flujos de trabajo y herramientas para identificar, contener, erradicar y recuperarse de un incidente de seguridad.

Aunque a menudo puede haber un solapamiento entre un plan de gestión de crisis y un plan de respuesta a incidentes, este último tiende a meterse mucho más en la maleza, dice Christopher Hallenbeck, CISO en Tanium. Al desarrollar el plan, asegúrese de que el equipo de ciberseguridad puede evaluar si el incidente ha tenido un impacto significativo en las operaciones, ha provocado la pérdida o exposición de datos y si necesita ayuda externa para investigar y recuperarse.

"Un 'sí' a una o más de esas preguntas debería desencadenar el plan de gestión de crisis", asevera Hallenbeck. "Poner en marcha el plan de crisis no significa poner en marcha todos los procesos, sino informar a los responsables de la gestión de crisis para que puedan tomar una decisión". Los responsables de seguridad deben delimitar claramente las responsabilidades de su equipo e informarles de cuándo deben implicar a otras personas. Deben recibir formación para "informar por defecto a la dirección sobre un incidente lo antes posible, ya que la gestión eficaz de una crisis depende de la pronta participación de las personas adecuadas", afirma Hallenbeck.

Los planes de respuesta a incidentes que los responsables de seguridad desarrollan para sus equipos deberían ajustarse a los marcos comunes de ciberseguridad, como el NIST CSF, e incluir procesos para detectar, responder y mitigar distintos tipos de incidentes, comenta George Jones, CISO de Critical Start. También debe abordar la comunicación interna y externa y los procedimientos de escalada, así como los requisitos legales y reglamentarios.

Formación y simulacros

La formación práctica es un aspecto fundamental de la preparación ante una crisis. Exponga al equipo a escenarios de crisis mediante simulaciones para mejorar su capacidad de detectar y responder a incidentes reales, dice Jones, de Ontinue. Un ejercicio de mesa, por ejemplo, es una forma eficaz de simular una crisis cibernética. Reunir a un equipo de nuevos profesionales de la seguridad para que trabajen en escenarios de ciberataques simulados pero realistas puede contribuir en gran medida a que adquieran un conocimiento sólido de las amenazas que afectan a la organización y de cómo mitigarlas. "Este método les permite practicar su respuesta en un entorno seguro, perfeccionar estrategias y aclarar funciones y responsabilidades", relata.

Considere la posibilidad de formar al nuevo equipo en el uso de tecnologías como la gestión de eventos e información de seguridad (SIEM) y herramientas de detección de amenazas, así como en el uso de inteligencia sobre amenazas e indicadores de compromiso (IOC) para detectar amenazas y señales de compromiso. Preparar al equipo para reaccionar con prontitud y decisión, dice Jones. "La formación en respuesta a incidentes debe incluir la clasificación adecuada de los incidentes, la priorización en función de la gravedad, las estrategias de contención y los protocolos de comunicación", afirma. "También deben entender cuándo y cómo escalar los incidentes, especialmente si tienen el potencial de interrumpir las operaciones comerciales".

Jones, de Critical Start, considera que los simulacros de ataques regulares o los ejercicios de mesa ayudarán al equipo a practicar la respuesta a diferentes escenarios, proporcionarán experiencia práctica e identificarán áreas de mejora. La formación también inculca una cultura de colaboración e intercambio de conocimientos dentro del equipo y entre los distintos departamentos. "Los incidentes suelen requerir una coordinación interfuncional, por lo que la creación de relaciones y el establecimiento de protocolos entre los equipos de TI, RR.HH, jurídico y otros equipos relevantes es fundamental para el éxito de la organización." A la hora de preparar a un nuevo equipo para la gestión de una crisis, hay que asegurarse de cubrir conocimientos técnicos como el análisis de redes, el análisis de malware y la investigación forense, añade.

Aprovechar los cursos y experiencias de formación inmersiva

Según Rik Turner, analista de Omdia, una de las mejores formas de preparar a un nuevo equipo de profesionales de la ciberseguridad para una crisis antes de que ésta se produzca es contratar los servicios de un cibercampo de tiro. Las plataformas de formación cibernética -como las de empresas como Cyberbit, Immersive Labs y CDeX- ofrecen a los participantes la oportunidad de participar en escenarios realistas que reproducen las condiciones operativas reales. Los campos de entrenamiento cibernéticos inmersivos proporcionan un entorno de aprendizaje experimental para los individuos, a diferencia de los ejercicios de mesa que simulan un escenario para simular una emergencia.

Las organizaciones pueden utilizar plataformas inmersivas para reproducir ciberataques y estrategias de defensa del mundo real. A menudo, las organizaciones pueden configurar estas plataformas y servicios para sus entornos específicos. CDeX, por ejemplo, ha posicionado su plataforma ofreciendo a las organizaciones una forma de crear un gemelo digital de su red, subredes y máquinas de TI y OT. Cyberbit ofrece un simulador de crisis cibernética que brinda a los equipos de seguridad la oportunidad de reunir a sus equipos ejecutivos y de respuesta a incidentes.

"Son empresas que proporcionan una experiencia inmersiva de vivir en el SOC [centro de operaciones de seguridad] mientras se produce un ataque a la infraestructura de su empresa", revela Turner. "Sus programas se extienden más allá del personal estrictamente técnico a otros departamentos que tendrán que participar, como relaciones públicas y marketing, RRHH si hay un componente de información privilegiada y, por supuesto, el equipo directivo y el consejo de administración". Aunque crear una serie de normas sobre cómo responder puede tener cierto valor, un curso de formación inmersivo de dos o tres días, sobre todo si los resultados de los participantes contribuyen a su progresión profesional, puede ayudar a agudizar su capacidad de respuesta, concluye.