La reducción del daño causado por un ataque de ciberseguridad empieza por reconocer que se ha producido un incidente. Ser consciente del peligro inminente hace que una organización sea resistente a los impactos de la ciberseguridad. Estos impactos no deben ser ignorados; se espera que los costes estimados de las violaciones de seguridad para las empresas mundiales alcancen los 10,5 billones de dólares (7,7 billones de libras) en los próximos años.
La mitigación de los fallos de seguridad comienza con el conocimiento de un incidente de seguridad. En términos prácticos, los incidentes de seguridad deben ser registrados y esta es la labor de un sistema de notificación de incidentes que proporciona a un equipo la información necesaria para hacer frente a un evento de seguridad.
Tipos de incidentes de seguridad que hay que notificar
El problema de la ciberseguridad es que a menudo se oculta a plena vista. Un estudio de IBM reveló que se tarda una media de 287 días en detectar y contener una filtración de datos. El mismo informe de IBM descubrió que las organizaciones que responden rápidamente a un incidente ahorran un 30% en costes y reducen el tiempo para contener una amenaza a menos de 200 días. Pero cuando se empieza a establecer un proceso de notificación de incidentes, ¿qué tipos de amenazas a la seguridad se deben capturar en el informe de incidentes?
La Oficina del Comisario de Información del Reino Unido (ICO) realiza cada año un análisis de tendencias que muestra el tipo de incidentes de seguridad que acaban en su mesa:
Fuente: UK ICO
El uso de la inteligencia del sector ayuda a determinar los tipos de incidentes de seguridad que requieren atención:
Phishing
El operador humano es donde muchos ciberatacantes centran su atención. El phishing es el método más común que utilizan los estafadores para engañar a un empleado y conseguir que facilite sus credenciales de acceso y otros datos personales. Un sistema de notificación de incidentes de seguridad debe ser capaz de capturar fácilmente los detalles de un mensaje sospechoso de phishing. El informe de incidentes debe contener detalles de cualquier interacción con el mensaje, especialmente si se ha hecho clic en un enlace de un correo electrónico/mensaje. Se deben capturar más detalles de lo que sucedió después para indicar el alcance del incidente.
Dispositivo perdido
Los dispositivos de la empresa pueden contener mucha información sensible. Además de los dispositivos de la empresa, el trabajo a distancia ha aumentado el uso de dispositivos personales para acceder a las aplicaciones corporativas en la nube. Un dispositivo perdido o robado puede acabar en las manos equivocadas, lo que puede dar lugar a la exposición de datos, ya que las empresas utilizan cada vez más la sincronización de datos con las aplicaciones en la nube. Si se pierde o se roba un teléfono utilizado para el trabajo de la empresa, el incidente debe registrarse rápidamente para que se pueda llevar a cabo el triaje del incidente y se inicie una respuesta adecuada.
Fuga accidental de datos
Lasinvestigaciones han revelado que el 58% de los empleados han enviado un correo electrónico a la persona equivocada. El envío erróneo de un correo electrónico puede provocar la pérdida de datos y el incumplimiento de la normativa de protección de datos. Las tendencias de incidentes de la ICO del Reino Unido muestran que la exposición de datos relacionada con el correo electrónico es la que más contribuye a los incidentes de seguridad. Si un empleado cree que ha enviado un correo electrónico con información sensible a la persona o personas equivocadas, debe informar de ello.
Otros incidentes relacionados con el correo electrónico
Uno de los mayores problemas de exposición accidental de datos es el simple hecho de olvidarse de ceder una lista de destinatarios en un intercambio de correos electrónicos. En cuanto el empleado se dé cuenta de que se ha olvidado de poner la copia oculta a los destinatarios, debe informar del incidente para que se inicie el triaje y se gestione el suceso de acuerdo con la política de la empresa.
5 razones para notificar incidentes de ciberseguridad
Hay buenas razones para establecer un proceso sólido de notificación de incidentes. Los resultados son beneficiosos tanto para la empresa como para el empleado e incluyen:
La notificación de incidentes fomenta una cultura de la seguridad
El espíritu que subyace en una cultura de seguridad es el de "estar todos juntos en esto". La notificación de incidentes no debe ser algo temible, sino parte de un proceso cotidiano. Haga que la notificación de incidentes forme parte de la norma de la empresa y del comportamiento esperado de los empleados cuando ocurra algo preocupante. Al proporcionar una forma fácil y rápida de informar de los incidentes, los empleados se convierten en parte de la lucha contra los ciberataques. Esto ayuda a fomentar un espíritu de comunidad en la lucha contra la ciberdelincuencia y el fraude.
Desarrolla un proceso racionalizado para evitar que los incidentes se conviertan en un ataque grave
La infraestructura de notificación debe basarse en un marco de notificación de incidentes, configurado para adaptarse a las necesidades de su organización, y utilizar flujos de trabajo automatizados. Un sistema de notificación de incidentes debe ser configurable para permitir el escalado a través de la notificación, el triaje y la mitigación, al tiempo que garantiza que se avise a la persona más adecuada una vez que se inicie el proceso de notificación de incidentes de seguridad.
Aplica las políticas de seguridad
Disponer de un proceso de incidentes de seguridad ayuda a aplicar la política de seguridad de su empresa. Un sistema de notificación que utiliza flujos de trabajo de incidentes proporciona un marco para llevar un incidente a través del triaje a la mitigación basada en los avisos de la política de seguridad.
Evita los costosos eventos de seguridad
Un incidente que se convierte en un acontecimiento, como una violación de datos, tiene como resultado costes financieros y de otro tipo. Elinforme deIBM "Cost of a Data Breach Report" (Coste de unaviolación de datos) ha visto cómo el año 2021 se llevaba el galardón de los costes más altos de violación de datos en 17 años. Si desarrolla una cultura de notificación en su organización y facilita la notificación de incidentes, su equipo estará más capacitado para evitar que un incidente se convierta en un evento de seguridad en toda regla.
Ayuda a mantener el cumplimiento de la normativa
Mantener un registro de cumplimiento es un requisito por defecto en muchas regulaciones y normas, incluyendo ISO27001, DPA2018 y GDPR. Estos registros también se extienden a los diversos requisitos de notificación de infracciones de la normativa de protección de datos. La notificación de incidentes permite a una organización demostrar que se toma en serio la seguridad y demostrar las medidas paliativas adoptadas. Un sistema de notificación debe permitir a una organización tomar los detalles de una presunta infracción y, a continuación, generar un informe si se requiere una notificación de infracción.
Tres buenas prácticas para la notificación de incidentes de seguridad
El uso de la notificación de incidentes por razones de salud y seguridad está bien establecido. Al cotejar los datos de salud y seguridad, las empresas pueden contribuir a garantizar un entorno de trabajo seguro y cumplir las expectativas normativas. La notificación de incidentes de seguridad es una extensión de esta cultura de salud y seguridad que proporciona un marco para hacer frente a una amenaza inminente. Sin embargo, la notificación requiere que se sigan ciertas prácticas básicas:
1) Facilidad de información
Un sistema de notificación de incidentes debe ser fácil de usar por todos. La introducción de incidentes debe guiar al empleado, capturando los detalles más importantes que se necesitan para iniciar el proceso de escalado. Deben evitarse las barreras de entrada, como los formularios complicados, etc.
2) Escalada adecuada
El sistema de notificación de incidentes debe ser configurable para permitir a un administrador crear flujos de trabajo que reflejen la estructura del equipo que se ocupa de los incidentes de seguridad. Al utilizar un flujo de trabajo automatizado que envíe alertas apropiadas y adaptadas a las personas adecuadas, se pueden prevenir las violaciones de datos y otros eventos de seguridad.
3) Auditoría e informe
Un sistema de notificación de incidentes debe ser capaz de auditar incidentes y acciones y generar informes. Estos informes pueden utilizarse como documentación probatoria para demostrar el cumplimiento de los reglamentos y normas. El informe de incidentes también constituye una base de pruebas para un informe de notificación de violación de datos, si se requiere.
La notificación de incidentes es importante para evitar que un incidente de seguridad se convierta en una violación de la seguridad. Pero el sistema que recoge los detalles del incidente debe ser capaz de trabajar con las mejores prácticas. La recopilación de datos es el punto de partida de la escalada, y ésta debe permitir una fácil introducción de datos y, al mismo tiempo, recopilar suficiente información para que sea informativa. Los flujos de trabajo automatizados proporcionan la columna vertebral para una escalada eficaz y hacen que el proceso de notificación de incidentes sea fluido.
