By Holly Waszak ,
Head of Cyber Claims, Cyber Risk
06/05/2024
Los ciberataques y los incidentes de seguridad son una amenaza real para todas las organizaciones. Una de cada cinco empresas en el Reino Unido identificó recientemente un ataque sofisticado como denegación de servicio, malware o ransomware. Incorporar un plan de respuesta a incidentes en las actividades habituales puede permitir a una organización responder con calma y eficacia durante un ciberataque.
En este primer artículo de nuestra guía sobre riesgos cibernéticos para directores de información y seguridad (CISO), examinamos los pasos que una organización debe tener en cuenta, antes y durante un incidente cibernético, para mitigar su impacto.
Marsh recomienda que las organizaciones cuenten con un plan de respuesta a incidentes que defina sus actividades para detectar, analizar y solucionar un problema cibernético y lograr restaurar las operaciones de la empresa lo antes posible. Los planes sólidos de respuesta a incidentes incluyen una estrategia de escalada, en caso de que un ataque se prolongue durante el tiempo, y una matriz para ayudar a la toma de decisiones en función de la gravedad y con el fin de determinar las prioridades.
Se deben identificar cuáles son los equipos externos e internos que pueden sufrir incidentes, y comprender claramente de antemano las funciones y responsabilidades de las personas. Incluir plantillas para respuestas a reguladores, medios e interesados en un plan de respuesta a incidentes, puede ahorrar mucho tiempo en caso de que ocurra un incidente. Los planes de contingencia también deberían estar disponibles y probados.
Asegúrese de que el plan se mantenga actualizado y sea accesible para los miembros del equipo de respuesta a incidentes, incluso si los sistemas fallan.
Las organizaciones deben llevar a cabo un ejercicio teórico al menos una vez al año para identificar los puntos débiles en el plan de respuesta a incidentes cibernéticos y actualizar el plan con las lecciones aprendidas.
Un incidente cibernético se define como uno o más eventos de seguridad que comprometen las operaciones comerciales y la seguridad de la información de una organización. Esto puede incluir violaciones de seguridad, denegación de servicio, violaciones de datos personales, robo de credenciales, phishing, compromiso de sistemas y cuentas, y pérdida de datos.
Lista de prioridades ante un ciber incidente. Una vez que se ha determinado un incidente cibernético, una organización debe hacer lo siguiente:
En la medida de sus posibilidades, establezca lo sucedido y la naturaleza del incidente. Es importante determinar qué sistemas, dispositivos y datos se han visto afectados.
Siga su plan de respuesta a incidentes y asegúrese de que los equipos no operen aislados. Es importante que trabaje junto con las partes interesadas clave en toda la organización (incluidos los departamentos Jurídicos, de Gestión de Riesgos, Comunicaciones, Recursos Humanos y Finanzas) cuando sea necesario.
Comuníquese con aseguradoras y corredores de seguros inmediato para que puedan realizar la clasificación y brindar apoyo y orientación. Si el incidente se produce fuera del horario de oficina, las políticas cibernéticas incluyen una línea directa 24 horas al día, 7 días a la semana a la que se debe contactar, en primera instancia.
Busque experiencia de terceros, cuando sea necesario. Las pólizas de seguro cibernético cuentan con un panel de asesores, examinados y aprobados por sus aseguradoras. Casi siempre se requiere la aprobación previa de las aseguradoras para los proveedores que no están en el panel. Si contrata proveedores que no están en su panel, debe comunicarlo a su corredor y asegurador lo antes posible. Su aseguradora también debe estar actualizada con las declaraciones de trabajo a medida que se producen.
Actuar con rapidez y competencia en las primeras 48 horas de un ataque es crucial para contener el incidente y mantener operativa una organización.
Establecer si el incidente ha resultado en una violación de datos personales y exactamente qué datos se han visto afectados es fundamental para determinar si es necesario notificar a un regulador. En el Reino Unido, una organización está legalmente obligada a informar a la Oficina del Comisionado de Información (ICO) sobre violaciones de datos personales dentro de las 72 horas siguientes a su conocimiento, a menos que pueda demostrar que es poco probable que la violación represente un riesgo para los derechos y libertades de las personas.
Una vez que se hayan tomado estos pasos iniciales, el CISO normalmente trabajará junto con el panel de respuesta a incidentes de las aseguradoras para resolver un evento. Un panel de respuesta a incidentes generalmente incluye:
Marsh recomienda que el CISO se reúna con cualquier proveedor con el que desee interactuar antes de un evento para comprender cómo trabajan y, a su vez, para que el proveedor comprenda el proceso de respuesta a incidentes de la organización.
Los negociadores de ransomware normalmente formarán parte de un panel de respuesta a incidentes. Sin embargo, la decisión de pagar un rescate o no, recae en la organización. Se recomienda que una organización analice su postura sobre este complejo tema antes de un evento. Este puede ser un buen tema sobre el cual involucrar a la junta directiva, potencialmente abriendo e informando una conversación más general sobre la gestión de incidentes cibernéticos.
Alrededor del 95% de los problemas cibernéticos se deben a errores humanos. Las organizaciones deben integrar la capacitación en seguridad cibernética en su cultura y definir claramente para los empleados qué constituye un incidente cibernético y las acciones que podrían desencadenar involuntariamente una política.
Artículo
11/19/2024