8 pasos clave para gestionar y contener una brecha de datos

Una violación de datos puede ser uno de los eventos más devastadores para una organización. Sin embargo, algo aún peor puede ser una mala gestión de la comunicación sobre la respuesta a la violación. Así lo afirma Steve Moore, estratega principal de seguridad de Exabeam, quien ha rastreado adversarios criminales y de estado y liderado las respuestas a las violaciones de seguridad más grandes en la historia de la salud. Moore agrega que la atención que requiere una violación de datos, incluyendo auditorías, regulaciones y apoyo legal, puede durar no meses, sino años.

Anteriormente, cubrimos 5 formas en las que puedes prepararte para una violación y reducir los riesgos. Sin embargo, si a pesar de todas estas precauciones ocurre una violación, aquí hay ocho cosas que debes hacer en las primeras 48 horas para manejar y contener la situación de la mejor manera posible.

Índice de Contenido
  1. 1. Congela todo
  2. 2. Asegura la auditoría y el registro de eventos
  3. 3. Cambia contraseñas o bloquea credenciales
  4. 4. Determina el impacto
  5. 5. Determina cómo ocurrió
  6. 6. Determina qué se debe hacer
  7. 7. Comunica los detalles al personal interno correspondiente
  8. 8. Haz anuncios públicos y prepárate para las respuestas
  9. Después de la violación

1. Congela todo

Desconecta los dispositivos afectados de la red, pero no los apagues ni realices cambios aún. El objetivo es detener cualquier actividad en curso limitando la comunicación hacia y desde los sistemas afectados, sin realizar ninguna acción que pueda eliminar pistas, contaminar evidencia o ayudar involuntariamente al atacante.

En el caso de máquinas virtuales u otros sistemas que puedas "snapshotear", te recomiendo hacerlo ahora para tener una versión registrada del sistema en el momento en que ocurrió la violación. Podrás analizar el "snapshot" más tarde en un estado fuera de línea.

2. Asegura la auditoría y el registro de eventos

Asegúrate de que la auditoría de los sistemas se mantenga intacta y que esté en funcionamiento, ya que esto será uno de los pasos más útiles para determinar el alcance de la violación y establecer métodos de remedio. Si la auditoría ha sido desactivada (por ejemplo, para encubrir las huellas de alguien), restablécela antes de continuar; también ayudará a determinar si la actividad relacionada con la violación está en curso y cuándo se puede considerar que la violación ha concluido de manera segura.

3. Cambia contraseñas o bloquea credenciales

Cambiar las contraseñas o bloquear las credenciales es una táctica común para investigar una violación de datos, ya que ayudará a garantizar la cesación de dicha violación si aún está en curso. Las violaciones de datos comúnmente se basan en contraseñas y credenciales comprometidas. Asegúrate de aplicar este paso a todas las cuentas involucradas, ya sean confirmadas o sospechosas.

Cómo evitar el spam en tu correo electrónico y proteger tu cuenta

4. Determina el impacto

Ahora comienza la investigación. Descubre qué sucedió: qué información se accedió, qué sistemas se vieron comprometidos y qué cuentas se pueden haber utilizado. Necesitarás los registros mencionados en el paso anterior, así como las herramientas discutidas en el segundo paso. Determina y establece el alcance de la violación para formular cómo solucionarla.

5. Determina cómo ocurrió

No es suficiente remediar una violación de datos solo en base al impacto; debes determinar la causa raíz o simplemente estarás colocando una curita temporal en la situación. ¿Alguien proporcionó erróneamente su contraseña? ¿No se parchó un sistema para una determinada vulnerabilidad? ¿Alguien conectó una laptop no autorizada a la red de la empresa, exponiendo así a la organización a malware? ¿O un empleado simplemente dejó su dispositivo móvil sin cifrar en un taxi y luego fue víctima de chantaje?

Moore aconseja: "Algo que a menudo se pasa por alto es que si tu organización está siendo atacada, no es raro que varios grupos de adversarios ataquen sin conocerse entre sí. Esto podría incluir ataques directos, a través de la cadena de suministro, socios, subsidiarias o ayuda contratada".

6. Determina qué se debe hacer

Ahora llega el momento de crear el plan de acción para sellar el barco y evitar más daños. Determina si necesitas borrar remotamente un dispositivo móvil robado, actualizar el software, cambiar las reglas del firewall de red, segregar subredes, ejecutar análisis antimalware, aumentar la auditoría y las alertas, u otros pasos técnicos. Planifica estas acciones y ponlas en marcha de inmediato.

7. Comunica los detalles al personal interno correspondiente

No solo debes preocuparte por los pasos técnicos. También está el proceso de comunicación y notificación. ¿Con quién debes comunicarte para informarles que ocurrió una violación, cómo sucedió, qué detalles se vieron comprometidos y qué se debe hacer? Es posible que necesites hablar con el departamento legal, de relaciones públicas, de recursos humanos, de servicio al cliente u otro grupo interesado que deba participar en la limpieza posterior a la violación.

8. Haz anuncios públicos y prepárate para las respuestas

Este paso puede no ser el más divertido, pero probablemente alguien tendrá que hacer un anuncio público, ya sea en forma de conferencia de prensa, series de correos electrónicos, anuncios en redes sociales, anuncios en el sitio web o cualquier otra forma de comunicación entre la empresa y el mundo exterior.

Turbocharge tu privacidad: Instala Tor en Chrome y navega aún más seguro

Asegúrate de describir lo que la organización ha hecho para remediar la violación, qué pretende hacer en el futuro y qué pasos deben seguir los clientes para protegerse, como cambiar contraseñas, contactar a las compañías de tarjetas de crédito o colocar alertas de fraude.

Si es posible, establece una línea de atención o nombra un grupo específico/información de contacto para atender las inquietudes de los clientes con respecto a esta violación, para que puedan responder preguntas y brindar orientación.

Después de la violación

Una vez que el polvo comienza a asentarse, hay algunas cosas que debes hacer para reforzar tus medidas de seguridad y asegurarte de no encontrarte en la misma situación nuevamente.

Identifica áreas de mejora

Toda violación de datos ocurre a través de algún tipo de brecha, ya sea en entrenamiento, conciencia, medidas de seguridad, capacidades tecnológicas o algún otro punto de entrada. Descubre dónde se produjeron las brechas para poder cerrarlas, probablemente con una educación más sólida y requisitos de cumplimiento más estrictos, y aplícalas según sea necesario.

Trabaja en la prevención de la próxima violación

Deberían preocuparse los usuarios de negocios por la vulnerabilidad del Face ID en el iPhone X

Centra tus esfuerzos en reducir el riesgo de una recurrencia. Mejora los mecanismos de parcheo si las vulnerabilidades explotadas fueron la fuente de la violación. Exige la encriptación si la información de la empresa fue robada de una tarjeta micro-SD en una tablet Android. Utiliza métodos de autenticación mejorados (se recomienda la autenticación de dos factores) cuando sea necesario. Considera otros elementos que puedan ayudar a tu empresa a prevenir violaciones en el futuro y aplícalos según sea necesario.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a 8 pasos clave para gestionar y contener una brecha de datos , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.