Planificació de la resposta per incompliment

Un incompliment de dades pot tancar la vostra empresa durant un temps crític, de vegades per sempre; sens dubte pot posar en risc el vostre futur financer i, en alguns casos, fins i tot us pot arribar a la presó. Però res d’això ha de passar perquè, si teniu previst correctament, vosaltres i la vostra empresa us podeu recuperar i continuar en el negoci, de vegades en pocs minuts. En definitiva, tot es refereix a la planificació.

La setmana passada es va parlar de com preparar-se per a un incompliment de dades. Si suposem que ho has fet abans que s’hagi produït la violació, els propers passos són raonablement senzills. Però un d’aquests passos de preparació va ser crear un pla per després provar-lo. I, sí, això tindrà un treball important.

La diferència és que la planificació anticipada feta abans de qualsevol incompliment té com a finalitat minimitzar els danys. Després de l’incompliment, el pla s’ha de centrar en el procés de recuperació i en els problemes posteriors, suposant que n’hi hagi. Recordeu el vostre objectiu general, tal com es feia abans de l’incompliment, és minimitzar l’impacte que l’incompliment té sobre la vostra empresa, els vostres empleats i els vostres clients.

Planificació de recuperació

La planificació de recuperació consta de dues grans categories. El primer és solucionar el dany causat per la violació i assegurar-se que l’amenaça s’elimina realment. El segon és tenir cura dels riscos financers i legals que acompanyen un incompliment de dades. Pel que fa a la salut futura de la vostra organització, totes dues són igualment importants.

"La contenció és clau en termes de recuperació", va dir Sean Blenkhorn, vicepresident de les solucions d'enginyeria de solucions i assessorament per a la protecció gestionada i el proveïdor de resposta eSentire. "Com més ràpid puguem detectar l'amenaça, millor la podem contenir."

Blenkhorn va dir que contenir una amenaça pot variar segons quin tipus d’amenaça hi ha. En el cas del ransomware, per exemple, pot suposar l'ús de la plataforma de protecció de l'extrem final gestionada per ajudar a aïllar el programari maliciós juntament amb infeccions secundàries de manera que no es pugui propagar i eliminar-lo. També pot suposar la implementació de noves estratègies de manera que es bloquegin les futures infraccions, com ara equipar usuaris en itinerància i teletreballar amb comptes de xarxa privada virtual (VPN).

Tot i això, altres tipus d’amenaces poden requerir tàctiques diferents. Per exemple, un atac que busqui informació financera, propietat intel·lectual (IP) o altres dades de la vostra empresa no es gestionarà de la mateixa manera que un atac de ransomware. En aquests casos, potser haureu de cercar i eliminar la ruta d’entrada i haureu de trobar una manera d’aturar els missatges de comandament i control. Al seu torn, això requerirà que superviseu i gestioneu el trànsit de xarxa per a aquests missatges de manera que pugueu veure on s’originen i on s’envien dades.

"Els atacants tenen primer avantatge", va dir Blenkhorn. "Has d'estar buscant anomalies".

Aquestes anomalies us portaran al recurs, normalment un servidor, que proporciona accés o que proporciona exfiltració. Un cop trobat això, podeu eliminar el malware i restaurar el servidor. Tanmateix, Blenkhorn adverteix que és possible que hàgiu de tornar a imatge del servidor per assegurar-vos que qualsevol programari maliciós s'ha desaparegut.

Passos de recuperació d'incompliment

Blenkhorn va dir que hi ha tres coses addicionals a recordar a l’hora de planificar una recuperació d’incompliment:

1. L’incompliment és inevitable,
2. La tecnologia sola no resoldrà el problema i
3. Heu d’assumir que és una amenaça que no havíeu vist mai abans.

Però un cop eliminada l’amenaça, només heu realitzat la meitat de la recuperació. L’altra meitat està protegint el propi negoci. Segons Ari Vared, directora sènior de Producte del proveïdor d’assicuració cibernètica CyberPolicy, això significa preparar amb antelació els vostres socis de recuperació.

"Aquí és on tenir un pla de recuperació cibernètica en marxa pot estalviar el negoci", va dir Vared a PCMag en un correu electrònic. "Això significa assegurar-se que el vostre equip legal, un equip de tècnica forense, el vostre equip de relacions públiques i els vostres membres del personal clau saben per endavant què cal fer sempre que hi hagi incompliments."

El primer pas que suposa és identificar els vostres socis de recuperació amb antelació, informar-los del vostre pla i realitzar les accions que siguin necessàries per conservar els seus serveis en cas d’incompliment. Això sembla molta càrrega administrativa, però Vared va enumerar quatre motius importants que fan que el procés valgui la pena l’esforç:

1. Si es necessita acords de no-divulgació i confidencialitat, es poden acordar amb antelació, juntament amb les tarifes i altres termes, de manera que no es perdi temps després de intentar negociar amb un nou venedor.
2. Si teniu assegurança cibernètica, pot ser que l’agència tingui socis específics ja identificats. En aquest cas, voldreu utilitzar aquests recursos per assegurar-vos que es cobreixin els costos segons la política.
3. El vostre proveïdor d’assegurança cibernètica pot tenir directrius per l’import que estigui disposat a cobrir per a determinats aspectes i el propietari de petites empreses mitjanes (SMB) voldrà assegurar-se que les taxes de venedor s’inclouen dins d’aquestes directrius.
4. Algunes companyies d’assegurança cibernètica tindran els socis de recuperació necessaris a casa, convertint-lo en una solució clau en mà per al propietari de l’empresa, ja que les relacions ja estan establertes i els serveis quedaran coberts automàticament en virtut de la pòlissa.

Abordar temes legals i forenses

Vared va dir que el vostre equip legal i el seu equip forense són prioritaris després d’un atac. L’equip forense farà els primers passos en la recuperació, tal com va exposar Blenkhorn. Com el seu nom indica, aquest equip està allà per conèixer què va passar i, el que és més important, com. Això no és per assignar la culpa; és identificar la vulnerabilitat que ha permès la violació per poder connectar-la. Aquesta és una distinció important que cal fer amb els empleats abans que arribi l’equip forense per evitar cap problema o preocupació indeguda.

Vared va assenyalar que l'equip legal que respongui a la violació probablement no seran els mateixos que gestionen les tasques legals tradicionals per al vostre negoci. Més aviat, seran un grup especialitzat amb experiència en el tractament de les conseqüències dels ciberataques. Aquest equip pot defensar-se de demandes derivades de la violació, tractar-se amb els reguladors, o fins i tot gestionar negociacions amb ciberes lladres i els seus rescats.

Mentrestant, el vostre equip de relacions públiques treballarà amb el vostre equip legal per gestionar els requeriments de notificació, comunicarà als vostres clients per explicar-vos l’incompliment i la vostra resposta i possiblement fins i tot expliqui els mateixos detalls als mitjans de comunicació.

Finalment, un cop realitzats els passos necessaris per recuperar-se de la violació, haureu de reunir aquests equips juntament amb els executius del nivell C i tenir una reunió i informe posterior a l'acció. L’informe posterior a l’acció és fonamental per preparar la vostra organització per al següent incompliment mitjançant la determinació de què va sortir correctament, què va passar malament i què es podria fer per millorar la vostra resposta la propera vegada.

Prova del vostre pla

• 6 coses que no s'han de fer després d'un incompliment de dades
• Incompliments de dades compromeses 4.5 mil milions de registres durant el primer semestre de 2018: incompliments de dades comprometuts 4.5 milions de registres el primer semestre de 2018
• Cathay Pacific revela un incompliment de dades que afecta els passatgers de 9, 4 M Cathay Pacific revela un incompliment de dades que afecta als passatgers 9, 4M

Tot això suposa que el vostre pla ha estat ben concebut i executat de forma competent en cas de mala cosa. Malauradament, mai no és una hipòtesi segura. L’única manera d’estar raonablement segur que el vostre pla suposa qualsevol possibilitat d’èxit és practicar-lo un cop preparat. Els especialistes que heu dedicat a tractar els ciberataques com a esdeveniments habituals en el seu negoci no us donaran molta resistència a la pràctica del vostre pla; ja estan acostumats a això i probablement ho espereu. Però, ja que són forasters, haureu d’assegurar-vos que estiguin programats per a la pràctica i probablement haureu de pagar-los el seu temps. Això significa que és important tenir en compte la vostra pressupostació, no només una vegada, sinó de forma regular.

La base de la regularitat de la base depèn de com responen els vostres empleats interns a la primera prova. La primera prova probablement fallarà en alguns aspectes o, possiblement, en tots els aspectes. Això és d'esperar, ja que aquesta resposta serà molt més complexa i feixuga per a molts que un simple simulacre de foc. El que heu de fer és mesurar la gravetat d'aquest fracàs i utilitzar-lo com a línia de referència per decidir amb quina freqüència i fins a quin punt heu de practicar la vostra resposta. Recordeu que hi ha un simulacre per un desastre que la majoria de les empreses no experimentaran mai. El vostre simulacre de ciberataque és per a un desastre que és pràcticament inevitable en algun moment.