La detección de ataques ha avanzado a pasos agigantados en los últimos años y sigue evolucionando. No obstante, aún existe un lapso de tiempo considerable entre un incidente y la aplicación de las medidas adecuadas para contenerlo y remediarlo.

Según el Ponemon Institute -instituto de investigación sobre protección de datos – la respuesta a un ataque registrado tarda en promedio unos 69 días (la previa detección tarda ya una media de 100 días desde ocurrido). El costo promedio para resolverlo es de más de 18.000 Euros diarios, además del tiempo de inactividad del sistema, la recuperación de datos robados o afectados, el restablecimiento de funciones fundamentales para la empresa y la gestión en cuanto a relaciones públicas requerida, así como el aumento de las preguntas de clientes y las comunicación con ellos.

Cuanto más pronto se contenga una filtración de datos, menor serán los costos y el impacto para su negocio.

Existe una serie de razones de peso como causas de una respuesta deficiente a un ciberataque. Muchas de ellas están vinculadas a la estructura de una entidad, a cuánto se invierte en respuesta y a cómo las tareas y las responsabilidades son distribuidas y apoyadas. Mirando en detalle vemos que:

Razón 1: Los ataques se detectan pero no se toman las medidas apropiadas

La detección de incidentes implica una amplia gama de acciones; por ejemplo si se sabe que el malware activa una alerta AV o si un experto buscador de amenazas verifica si una función legítima de Windows está ocultando una actividad maliciosa. Independientemente de cómo se descubra la actividad sospechosa muchas empresas simplemente no cuentan con procesos previos para saber detectar, actuar y contrarestar actividades criminales. Uno de nuestros clientes recientemente sufrió una dramática filtración de datos que terminó contaminando todo su servidor. Su antivirus había alertado, pero no habían recursos destinados a monitorearlo.

Razón 2: Se detectan ataques pero la empresa no tiene la tecnología adecuada.

 Diversas situaciones llevan a la detección de un ataque. A veces esto ocurre durante el trabajo habitual, pero la mayoría de las veces el problema sólo se constata cuando la empresa está sufriendo (o ha sufrido) un gran impacto. Hablando de la capacidad de respuesta, todas las situaciones pueden ser muy difíciles si no se cuenta con la tecnología adecuada. Ésta incluye un agente de detección de puntos finales que cubra tantos recursos como sea posible y que también sea capaz de analizar datos y una gran variedad de protocolos. La configuración del agente también puede ser lo que marque la diferencia para con incidentes anteriores, ya que las pruebas se desvanecen con el paso del tiempo. A eso se le suma que los entornos de TI cambian constantemente, que las empresas se fusionan, es decir, que todas estas cosas hacen que sea mucho más difícil obtener una visibilidad completa si la respuesta no comienza rápidamente después de un ataque.

Razón 3: Se detectan ataques, pero la falta de habilidades TI impide la reacción de la empresa.

Detectar y responder a los ataques requiere un alto nivel de conocimientos actualizados. Sin embargo, la mitad de las empresas revelan tener un déficit en cuanto cualificaciones en materia de ciberseguridad. Eso va desde los equipos responsables de la aplicación de medidas y de mantenimiento de sistemas, hasta los encargados de la respuesta, los “primeros en actuar”, que son los primeros en iniciar las operaciones pertinentes.

Los “equipos de respuesta inmediata” designados son clave en este proceso, ellos se aseguran de que la empresa dispone de una gama de personas preparadas para emergencias, ellos pueden dirigir y delegar, lo que debería extenderse más allá del equipo de TI.

Razón 4: Los ataques no se detectan

La mayoría de las instituciones, partiendo por las PYMES, no cuentan con recursos para personal de seguridad especializado. Esto significa que los ataques no se detectan hasta que los problemas son graves.  La detección ocurre meses e incluso a veces años después de que los criminales ya han alcanzado su objetivo.

¿Por qué es problemática una buena reacción?

Hay varias razones por las cuales una respuesta deficiente no es sostenible frente al panorama actual de riesgos.

La evidencia y lo que se obtiene de ella se desvanece con el tiempo

 Cuanto más tiempo se tarde en responder, menos podrá una empresa obtener información crucial sobre el ataque, por ejemplo, cómo entraron los invasores, a qué se dirigen y si fueron exitosos, todo lo cual es de vital importancia para reducir al mínimo los impactos de amplio rango. Las pruebas periciales y de seguimiento se alteran con el paso del tiempo, debido a que en muchos casos las políticas de retención de datos no se ajusta al perfil de riesgo de una empresa. Frecuentemente la tecnología se modifica, los empleados van y vienen, las empresas son adquiridas y todo esto contribuye a que la evidencia se vuelva obsoleta o simplemente se remueva.

El impacto es mayor con el transcurso del tiempo

Cuanto más tiempo permanezca un ciberpirata en su empresa, mayores serán sus conocimientos sobre su negocio y sus prácticas, por ejemplo, qué recursos son de mayor valor. Muchos criminales – especialmente los grupos patrocinados por ciertos estados – acechan algunas áreas por años, obteniendo acceso completo a información crítica y a planes estratégicos a largo plazo.

¿Qué pueden hacer las empresas para contrarrestar los déficits?

Para lograr una mejor respuesta ante ataques se requiere en muchos casos de un replanteamiento completo de la estrategia de seguridad cibernética. Sin embargo, también hay una serie de medidas de sentido común que pueden mejorar la capacidad de reacción en general.

1) Priorizar el tema respuesta desde arriba

Una encuesta realizada por MWR InfoSecurity reveló que sólo el 12% de las empresas dan prioridad al gasto referente a predicción, prevención, detección y respuesta (PPDR).

Las decisiones con respecto a este tipo de inversión deben provenir de lo más alto de la jerarquía de la entidad, de la junta directiva y la gerencia, priorizando y además comunicando efectivamente el programa de seguridad de la empresa.

Sin embargo, la realidad nos dice que los directivos no necesariamente llegan a este tipo de conclusiones por sí mismos. Pero usted puede y debería contratar a un tercero con experiencia para asesorar a cualquier equipo de liderazgo que necesite apoyo en la comprensión e identificación de dónde y por qué es necesaria una mayor inversión.

2) Echar un vistazo a lo que tiene

Una buena forma de reaccionar se debe en parte a la capacidad de examinar los recursos en cuestión cuando ocurre un incidente, aprovechando las herramientas adecuadas para agilizar el trabajo del equipo y sus acciones. Frecuentemente las herramientas necesarias para una gran parte de la actividad de respuesta pueden estar ya en su empresa; por ejemplo, si ya tiene un agente de endpoints que comprende y se asegura de que tiene los elementos apropiados activados y que puede mejorar la preparación de la respuesta.

3) Implementar la preparación entre las personas, los procesos y la tecnología

 Si pudiéramos recomendar tres medidas básicas de respuesta entre las personas, los procesos y la tecnología serían:

Los empleados – ¿quién está haciendo qué?

Mencionamos que su “primera respuesta” debe ser algo más que su equipo de tecnología y deben estar presentes en toda su empresa. Es esencial que ocurrido un incidente haya un líder (o líderes) o encargados designados, teniendo en cuenta el hecho de que los ataques a menudo ocurren horarios inconvenientes y cuando la gente está de vacaciones. Consideremos también que los equipos de respuesta rápida deben estar totalmente al día con la política de ciberseguridad, por ejemplo, si se sospecha que un equipo o servidor ha sido afectado, la política de la empresa debe ser que no apagarlo, ya que pueden perderse pruebas.

Bono extra:

Considere cómo se comunicará durante un incidente en curso. Frecuentemente los ciberataques comprometen la infraestructura de comunicaciones de una empresa. El atacante puede estar aún allí y ser capaz de ver todas las comunicaciones, por lo que contar con una alternativa preestablecida es vital.

Procesos – desarrolle su manual de respuesta

Un manual de respuesta pone a todos al día. En nuestro whitepaper, Rethinking Response, incluimos un ejemplo de manual de tácticas, que podría servir como punto de referencia para usted y sus colaboradores. El principal beneficio de un manual de este tipo es que implica pensar en tantos escenarios como sea posible y sobre qué hacer con lo que se cree es un ataque; en qué momento se confirma un incidente, quién tiene que participar en la respuesta y cómo se va a comunicar.

Bono extra:

Si ya tiene un manual, vuelva a verificarlo y asegúrese de que sigue siendo adecuado para su propósito.

Tecnología – visibilidad, control y flexibilidad

En nuestro whitepaper, Rethinking Response, le damos una idea de como guiar las discusiones internas en torno a riesgos. Una vez que su equipo esté al tanto de los peligros a los que se enfrenta, estos conocimientos deben transformarse en la implementación de la tecnología adecuada de respuesta a las peligros a las que se enfrenta. Los pilares básicos para una respuesta eficiente son:

– La cobertura del 100% es difícil, pero las empresas deberían intentar acercarse lo más posible a ello.

– Contar con los datos propicios y con la capacidad de analizarlos y de actuar en base a ellos tan rápido como sea posible. Muchas herramientas TI dan prioridad a la recuperación de datos y no al procesamiento de los mismos, lo que suele aumentar el tiempo de espera cuando se trata de averiguar qué está pasando.

– La herramientas deberían retrasar o frustrar al invasor sin que éste se de cuenta de su presencia.

Bono extra:

Basado en su riesgo individual identifique la cantidad de datos de acceso a sus registros para que los expertos en ataques puedan encontrar la información necesaria. Los registros DNS por ejemplo son imprescindibles, ya que muchos malware se fian de los DNS. No tener la capacidad de rastrear las consultas DNS desde los registros del gateway hasta el host inicial puede retrasar las actividades de respuesta.

 ¿Por dónde empezar?

Hay muchos ejemplos de empresas que sufren consecuencias a largo plazo debido un ciberataque. Sin querer intimidar a nadie, pero hablando de ciberseguridad y preparación de respuesta los directivos es importante ayudarles a entender de qué manera unas pocas inversiones bien enfocadas pueden ayudar no sólo en términos de costos, sino también en tiempos, esfuerzo y personal. Una pronta reacción  influye enormemente en la forma en que una empresa se recupera de problemas.

Si usted no tiene la información requerida puede recurrir a externos para asistirle y para poner al día sus empleados, un tercero puede ayudarlo a establecer medidas apropiadas. El tomar conciencia de ciertas medidas y ponerlas en práctica podría marcar la diferencia entre que usted controle un ataque o que un ataque lo controle a usted.