Cómo identificar y notificar incidentes de seguridad
En la sociedad actual fuertemente conectada e impulsada por Internet, es cada vez más común que las empresas inviertan en la gestión de incidentes de seguridad. Cuando la prevención de un problema se vuelve inviable, lo mejor que puede hacer es tomar las acciones correctas de inmediato.
A continuación, le mostramos cómo reconocer los incidentes de seguridad para minimizar sus impactos.
¿Qué es un incidente de seguridad?
Aunque los expertos en ciberseguridad a veces tienen definiciones ligeramente diferentes para los incidentes de ciberseguridad, generalmente los clasifican en dos tipos principales. Pero, en términos generales, un incidente de seguridad es cualquier intento o violación exitosa de las políticas de ciberseguridad y los mecanismos de protección de una empresa que trae consecuencias negativas. Ejemplos incluyen:
- Evidencia de uso no autorizado de la aplicación o acceso a datos.
- Ataques de phishing.
- Informes de ingeniería social.
- Cuentas de usuario comprometidas.
- Alertas sobre el uso no autorizado de la red.
¿Cuáles son los dos tipos de incidentes de seguridad?
Los riesgos de seguridad no siempre generan problemas. Por ejemplo, un empleado puede dejar una computadora portátil de la empresa en el asiento trasero de un taxi y recibir una notificación sobre la propiedad izquierda cinco minutos después. Un análisis también puede confirmar la improbabilidad de que el error haya provocado que los datos se vean comprometidos o la manipulación de la computadora dentro de esa breve ventana, especialmente si está protegida con contraseña.
En tales casos, un evento de seguridad es un hecho observado que podría comprometer los datos, una red o una empresa. La creación de un plan de respuesta a incidentes de seguridad sólido reduce las posibilidades de que los eventos de seguridad se conviertan en incidentes. La formación de los empleados también puede ayudar.
Un ciberdelincuente puede enviar correos electrónicos de phishing a cada miembro del equipo en una empresa de 100 personas, lo que resulta en 100 eventos de seguridad. Sin embargo, si ningún empleado se deja engañar, ninguno de los sucesos se convierte en incidentes de seguridad con consecuencias asociadas.
¿Son diferentes los incidentes de privacidad de los incidentes de seguridad?
Las personas también deben conocer los incidentes de privacidad. A menudo se discuten por separado de los incidentes de seguridad, pero no obstante están relacionados.
Un incidente de privacidad ocurre debido a la divulgación de datos regulados. Por ejemplo, una violación de datos que compromete la información de identificación personal (PII) de los clientes se incluye en esta categoría.
Todos los incidentes de privacidad también son incidentes de seguridad. Sin embargo, es posible que los incidentes de seguridad no afecten a los datos regulados.
Las violaciones de datos son otra categoría relevante. Son casos confirmados de acceso no autorizado a información que a menudo se convierten en incidentes de privacidad.
¿Cómo pueden las personas detectar posibles incidentes de seguridad?
Las señales de advertencia de incidentes de seguridad vienen en varias variedades. Por ejemplo, durante un ataque a una planta de agua , un supervisor vio el cursor de un mouse moviéndose solo y notó que alguien elevaba remotamente los niveles de lejía. Sin embargo, los ciberataques en curso no siempre son tan obvios de inmediato. Alguien puede ver niveles de tráfico de red ligeramente más altos, pero no cree que justifiquen una mayor investigación todavía.
La falta de datos es otra señal de advertencia de un posible ciberataque. Sin embargo, no siempre es una señal de problemas. Si alguien simplemente no puede encontrar un archivo, tal vez se olvidó de guardarlo o lo colocó accidentalmente en la ubicación incorrecta.
El problema es más grave si las personas informan de la pérdida de todos sus archivos.
Del mismo modo, los ataques de ransomware ocurren cuando los piratas informáticos bloquean todos los archivos en una red y exigen un pago para restaurarlos. En esos casos, las personas ven mensajes que confirman explícitamente el ataque e indican cómo enviar el dinero. Sin embargo, es posible que primero vean otras comunicaciones.
Cuando un ataque de ransomware paralizó el servicio de salud irlandés , comenzó cuando un empleado hizo clic en un enlace para obtener ayuda después de que una computadora dejó de funcionar.
También es problemático si muchas personas informan de la repentina incapacidad de acceder a sus cuentas. Alternativamente, pueden recibir correos electrónicos informándoles sobre cambios de dirección de correo electrónico o contraseña a pesar de no editar los detalles de la cuenta.
¿Qué es lo más importante que debe hacer si sospecha de un incidente de seguridad?
Cuando las personas sospechan de un incidente de seguridad, pueden sentirse abrumadas de inmediato y no saber qué hacer primero.
La respuesta inicial a un incidente de seguridad más adecuada en todos los casos es informar de la situación a la parte correcta. Entonces, las personas responsables pueden tomar medidas rápidas para limitar las pérdidas de datos y el posible tiempo de inactividad. También obtendrán los detalles para un informe de incidente de seguridad de cualquier persona que sepa lo que sucedió.
Los líderes de la empresa deben facilitar al máximo la posibilidad de que las personas compartan los detalles de los incidentes sospechosos. Una posibilidad es incluir un enlace a un formulario de incidente en el pie de página de cada correo electrónico. Otra opción es publicar los números de teléfono de informes de incidentes de seguridad en áreas destacadas, como salas de descanso, baños y ascensores.
Una vez que un equipo de seguridad confirma un incidente de seguridad, es posible que deba notificar a partes externas, como el personal encargado de hacer cumplir la ley o los reguladores nacionales. Por ejemplo, las empresas que operan o atienden a clientes en la UE tienen 72 horas para informar a los reguladores de datos después de conocer las infracciones.
Por qué la gestión de incidentes de seguridad es eficaz
No existe una forma única garantizada de detener todos los incidentes de seguridad. Por eso, la mayoría de los enfoques se centran en la respuesta y la gestión de incidentes de seguridad.
La creación de un plan de respuesta a incidentes es un excelente primer paso para cubrir todas las bases.
Tener uno aumenta las posibilidades de que una empresa se recupere rápidamente después de que ocurra un problema. También limita la probabilidad de que vuelva a ocurrir un incidente. Existen varios marcos acreditados para que las sigan las empresas.
Incluyen acciones para prepararse para un incidente futuro, identificarlo y analizarlo, contener y eliminar la amenaza y prevenir problemas futuros.
Esos incidentes formales se aplican principalmente a personas que trabajan en organizaciones con prevenciones de incidentes de ciberseguridad existentes. Esto se debe a que la gestión de incidentes de seguridad solo funciona bien cuando cada persona tiene una función de mitigación de incidentes bien definida y comprende cómo realizarla.
La gestión de incidentes de seguridad es responsabilidad de todos
Una persona aún puede desempeñar un papel crucial en la respuesta a un incidente de seguridad cuando trabaja en un rol que no es de ciberseguridad. Sus responsabilidades pueden extenderse simplemente a informar un problema a un supervisor y apagar su computadora; no obstante, esas acciones aparentemente pequeñas podrían limitar la gravedad de un incidente de ciberseguridad.
Además, todos deben tomar acciones personales para limitar el acceso de un pirata informático. El establecimiento de contraseñas únicas y complicadas puede ayudar, junto con el uso de autenticación multifactor cuando sea posible.
Es probable que los incidentes de seguridad se vuelvan aún más prominentes a medida que el mundo se vuelva cada vez más dependiente de lo digital. Sin embargo, la información que se incluye aquí puede ayudar a las personas a ser más proactivas para detenerlos.