Lista de verificación de seguridad de la red tras una violación de datos

No importa cuánto esfuerzo ponga en su plan de seguridad de red, algo tan simple como una actualización del sistema podría presentar una vulnerabilidad que los piratas informáticos pueden aprovechar. Las empresas hacen lo mejor que pueden, pero aún puede sufrir una brecha. En caso de que eso ocurra, prepárese con una lista de verificación de seguridad de la red y un plan de respuesta ante infracciones.

La naturaleza de la violación y su negocio deben dictar el alcance y el contenido de su plan de respuesta. Si bien cada violación de datos puede ser única, algunas otras tienen una similitud básica, así que tenga en cuenta ese contexto histórico antes de crear su plan.

Después de una infracción, la lista de verificación de seguridad de su red debe incluir una variedad de objetivos que pueden involucrar a múltiples organizaciones internas y externas. Es posible que desee considerar tener un "plan de planes", en el que cada plan de nivel inferior se centre en un aspecto diferente de la brecha. Al adoptar un enfoque granular, es posible que pueda responder más rápidamente. Examinemos algunas de las diferentes respuestas que podría tomar.

Respuesta táctica. Primero, debe descubrir cómo evitar que la violación cause más daños. Si la infracción está enfocada, como una contraseña de administrador comprometida, cambiar las contraseñas podría detener el problema. Considere, sin embargo, qué hacer si la violación es más generalizada o, en el peor de los casos, si sabe que el sistema está comprometido, pero no sabe cómo ni dónde. ¿Podría tener que desconectar algunos o todos sus sistemas hasta que pueda determinar el origen de la infracción?

Antes de que ocurra una brecha, discuta las posibles infracciones y sus niveles de respuesta apropiados. Su equipo de seguridad de la red debe identificar las acciones que puede tomar de inmediato que no requieren aprobación previa. Por ejemplo, los administradores de seguridad deberían poder apagar todas las redes de invitados en su oficina de inmediato. Tales redes suelen ser una cortesía más que una necesidad comercial, y es posible que la violación haya surgido —o esté en progreso— desde un dispositivo invitado no administrado.

Es posible que desee deshabilitar temporalmente recursos importantes, pero no esenciales para intentar aislar la infracción o, como mínimo, reducir la cantidad de aplicaciones internas o dispositivos a los que puede apuntar el hacker. Este enfoque variará significativamente entre las empresas, pero desea contar con este análisis y plan mucho antes de una infracción.

Respuesta forense. El incumplimiento, por definición, es un delito. Y, por razones de aplicación de la ley y de seguros, debe conservar las pruebas. Por lo tanto, debe tener un plan forense como parte de la lista de verificación de seguridad de su red.

Considere al menos dos escenarios: primero, la infracción aún está en curso; en segundo lugar, la brecha ha sido detenida. En el primero, quiere asegurarse de que está generando evidencia; en el último, desea asegurarse de que se conserven las pruebas.

El registro de auditoría está disponible en casi todos los sistemas de TI. Por lo general, la configuración predeterminada hará un seguimiento de los eventos importantes. Pero, para evitar que el software de registro genere cantidades masivas de datos, no registrará todos los eventos detallados. Sin embargo, para una infracción en curso, es posible que desee obtener información más detallada.

En su plan posterior a la infracción, debe documentar qué sistemas tienen opciones de registro detalladas y cómo habilitarlas en tiempo real. Buscar un tutorial sobre el registro de auditoría no es algo que desee hacer cuando se produce una brecha.

Si se detuvo la violación, debe obtener los registros que usted y los investigadores necesitarían analizar después del hecho. Algunos registros del sistema tienen limitaciones de tamaño y, cuando están llenos, simplemente escriben sobre los datos existentes. Al igual que una grabación de vuelo en un avión, estos registros solo están interesados ​​en la actividad más reciente.

Con demasiada frecuencia, las infracciones no se descubren de inmediato. En tales casos, un registro que se reescribe demasiado rápido puede borrar los datos clave. Verifique los registros clave del sistema para determinar cuánto tiempo mantendrán un registro histórico. Algunos sistemas mantendrán un historial permanente mediante la generación periódica de archivos de almacenamiento.

El almacenamiento es económico, por lo que podría considerar cambiar la configuración de los registros de ajuste para tener un período más largo para revisar el comportamiento de la red.

Notificación legal y gubernamental. Una infracción puede tener importantes implicaciones legales y de cumplimiento. Por lo tanto, su lista de verificación de seguridad de la red debe incluir disposiciones que detallen cómo se notifica a las autoridades correspondientes. En la mayoría de las empresas, esto involucraría al departamento legal, que notificaría e interactuaría con las agencias de cumplimiento de la ley y del gobierno.

Ayuda a ser proactivo. Si, por ejemplo, tiene datos que se incluyen en la HIPAA, asegúrese de coordinar su plan de respuesta con el departamento legal para que comprenda los pasos específicos necesarios para satisfacer las demandas de las agencias de cumplimiento pertinentes.

Tenga en cuenta también que es posible que deba cumplir con las obligaciones del RGPD de la Unión Europea si maneja datos de la zona euro.

Busque ayuda de respuesta a infracciones. Abundan las opiniones y recomendaciones sobre cómo responder a las infracciones —con una gran cantidad de información disponible públicamente. Aproveche estos recursos al compilar su lista de verificación de seguridad de la red. Travelers Insurance, Experian y muchos otros tienen información en sus sitios web que brinda sus puntos de vista. Utilice todos estos recursos, tomando fragmentos de cada uno que se apliquen a sus entornos y necesidades.

Finalmente, verifique si su empresa es una de las cada vez más numerosas empresas con una póliza de seguro cibernético. Si bien dichas políticas pueden ayudar a su empresa a recuperarse de cualquier pérdida financiera, también pueden afectar su estrategia de respuesta ante infracciones —y no siempre de manera positiva. Esto se debe a que una compañía de seguros cibernéticos podría dictar cómo responder a las infracciones y requerir una interacción significativa en tiempo real con su equipo a medida que se desarrollan los eventos.