Clicky

Ocho pasos para una más fuerte estrategia de ciberseguridad

Ciberseguridad

El framework EARS se divide en dos mitades: pre-incidente y post-incidente

Si hay un ataque a un país, los militares se movilizan. Cuando ocurre un desastre natural, entran en vigor los planes de recuperación. Si comienza a propagarse una enfermedad infecciosa, los funcionarios de salud lanzan una estrategia de contención.

Los planes de respuesta son críticos para la recuperación en situaciones de emergencia, pero cuando se trata de seguridad cibernética la mayoría de las industrias no están prestando atención.

"La realidad es que no importa lo increíble que seas con tus capacidades de prevención, serás hackeado", dijo Mohammad Jalali, miembro de la facultad de investigación del MIT Sloan, cuyo trabajo se centra actualmente en la salud pública y la ciberseguridad organizacional.

"Entonces, ¿qué vas a hacer? ¿Ya tienes un buen plan de respuesta que se actualiza continuamente? ¿Se definen los canales de comunicación y se definen las responsabilidades de los interesados? Por lo general, la respuesta en la mayoría de las organizaciones es no".

Para ayudar a abordar las debilidades de la ciberseguridad en las organizaciones, Jalali y sus colegas investigadores Bethany Russell, Sabina Razak y William Gordon construyeron un marco de trabajo de ocho estrategias de respuesta agregadas. Lo llaman EARS.

Jalali y su equipo revisaron 13 artículos de revistas sobre ciberseguridad y atención médica para desarrollar EARS. Si bien los casos están relacionados con organizaciones de atención a la salud, las estrategias pueden aplicarse a una variedad de industrias.

El framework EARS se divide en dos mitades: pre-incidente y post-incidente.

Pre-incidente:

1Construcción de un plan de respuesta a incidentes: este plan debe incluir pasos para la detección, investigación, contención, erradicación y recuperación.

"Una de las debilidades comunes que tienen las organizaciones es que armaron un plan de respuesta a incidentes, pero el problema es que la documentación generalmente es muy genérica, no es específica de la organización", dijo Jalali. "No hay una lista de elementos clara, específica y accionable".

Asegúrese de que todos en la organización conozcan el plan, no solo los empleados del departamento de TI. Establezca canales de comunicación claros y, al asignar responsabilidades, asegúrese de que estén claramente definidas.

2Construcción de una política de seguridad de la información para actuar como elemento disuasorio: los pasos de seguridad claramente definidos establecen y fomentan el cumplimiento.

"Muchas compañías piensan que el cumplimiento es seguridad", dijo Jalali. "[Eso] si solo sigues la información, serás atendido".

No establezca el listón tan bajo que la organización no sea segura. Las regulaciones deben asegurar una comprensión de las amenazas cibernéticas. Establezca razones motivacionales para que los equipos de respuesta sigan las políticas de presentación de informes. El cumplimiento debe ir de la mano con la mejora continua.

3Participación del personal clave dentro de la organización: no importa el tamaño de una organización, los líderes clave deben ser educados sobre la importancia de la ciberseguridad y estar listos para actuar de acuerdo con el plan de respuesta.

Los líderes no tienen que ser expertos en seguridad cibernética, pero deben comprender el impacto que tendrá un incidente en su organización. Cuanto más informados estén, más involucrados estarán en un plan de respuesta.

4Pruebas simuladas regulares de planes de recuperación: los ejercicios de recuperación ayudan a las organizaciones a realizar planes de pruebas de estrés y capacitan a los empleados en protocolos de respuesta adecuados.

Si la organización solo prueba su plan de recuperación durante una emergencia real, es probable que se encuentre con graves problemas, lo que podría aumentar la cantidad de daños causados por el incidente cibernético.

El cambio de una postura reactiva a proactiva puede ayudar a una organización a identificar debilidades o brechas en su plan de recuperación, y abordarlas antes de que ocurra un incidente.

Post-incidente:

5Contención del incidente: la contención involucra medidas tanto proactivas como reactivas.

Es más fácil cortar los dispositivos infectados de una red si ya están segmentados desde otros dispositivos y conexiones, antes de un incidente.

Los investigadores admiten que no siempre es posible segmentar redes, ni desconectarlas de inmediato de todo el sistema. Como mínimo, informar inmediatamente del dispositivo infectado al equipo de TI de la organización para contener el incidente.

6Ética integrada y participación de otros más allá de la organización: es importante recordar que todas las partes interesadas de una organización podrían verse afectadas por un incidente cibernético.

Notificar de inmediato a los asesores legales y a las agencias reguladoras y de cumplimiento de la ley pertinentes. Considerar la ayuda de recursos externos y compartir información sobre la amenaza cibernética.

7Investigación y documentación del incidente: ser oportuno y completo; debe ser documentado cada paso de la reacción pre y post incidente.

La investigación debe apuntar a encontrar la causa técnica principal del problema, así como las debilidades que podrían prevenir futuros ataques. Una adecuada documentación es una necesidad para este análisis.

8Construcción de un algoritmo de evaluación y recuperación de daños: las organizaciones deben autoevaluarse después del incidente.

Si bien las computadoras son donde ocurren los ciberataques, también pueden usarse para ayudar con la recuperación. Las organizaciones pueden aprovechar el poder de las computadoras, especialmente la inteligencia artificial, para la detección y contención de incidentes en tiempo real.

"Los frameworks comúnmente utilizados para las estrategias de respuesta a incidentes a menudo pasan por alto este paso esencial", dijo Jalali, "a pesar de que ya existen productos basados en AI para este mismo propósito".

Artículo científico: EARS to Cyber Incidents in Health Care

Jesus_Caceres