Por el Lcdo. Silvino Edward Díaz

A medida que más empresas alrededor del mundo adoptan lo último en tecnología para obtener ventajas competitivas, se exponen a un mayor riesgo de sufrir ataques de ciberseguridad. Múltiples titulares en los últimos años han demostrado que ninguna institución, incluso las que forman parte del gobierno federal, son inmunes a los ataques cibernéticos y las filtraciones de datos. Como resultado, muchas empresas han implementado Planes de Respuesta a Incidentes de Ciberseguridad para ayudar a prevenir ataques cibernéticos y conocer los protocolos adecuados a seguir si ocurre un incidente de este tipo.

Un Plan de Respuesta ("Plan") es un conjunto de instrucciones y protocolos para ayudar a las empresas a prepararse, detectar, responder y recuperarse de filtraciones de datos y otros incidentes de seguridad. Si bien el Plan de cada empresa debe desarrollarse para adaptarse mejor a sus necesidades específicas, un plan integral debe centrarse en establecer un marco que identifique las figuras de autoridad (quién estará a cargo de cada tarea), promueva la eficiencia (cuándo se deben seguir ciertos pasos) y facilite organización (qué tareas deben completarse y en qué orden).

La clave del éxito de cualquier plan de IR es que haya una comprensión de toda la empresa sobre cómo funciona el plan y qué se requiere de todos los empleados. Este Plan sirve para minimizar el potencial daño que surge al, por ejemplo, divulgar datos confidenciales y para garantizar una recuperación efectiva y eficiente.

¿Cuáles son las fases de un plan de respuesta a incidentes?

Un Plan de IR normalmente se divide en cinco secciones: preparación, detección, respuesta, recuperación y seguimiento, cada una de las cuales incluye una serie de objetivos y requisitos.

La fase de preparación sirve como una evaluación del negocio. Se centra en la asignación de funciones y responsabilidades entre las diferentes partes interesadas, como los departamentos legales y de recursos humanos, así como en el establecimiento de una cadena de comando formal. Por ejemplo, si ocurriera una filtración de datos, la fase de preparación del Plan señalaría cuándo se debe notificar a los recursos humanos y qué debe hacer el departamento para ayudar a mitigar y resolver el incidente.

La fase de detección fluye directamente de la fase de preparación y se centra en detectar correctamente los signos de un incidente de ciberseguridad. Una vez que se ha detectado una amenaza o un incidente de seguridad, todos los miembros apropiados del equipo de respuesta deben ponerse a trabajar de inmediato para evaluar la situación. Crucial para el éxito es la recopilación y documentación de información que ayudará a comprender mejor la gravedad de la situación, la naturaleza del incidente y las amenazas que presenta. Muchas empresas han decidido utilizar software que puede escanear y detectar vulnerabilidades y brechas.

La tercera fase de un Plan, la respuesta, sirve para contener y neutralizar las amenazas, para evitar la propagación del ciberataque. Este proceso incluye la eliminación de archivos maliciosos y accesos ocultos, que pueden dar lugar a futuros ataques si no se cierran o descartan adecuadamente, así como la contabilización del incidente y cómo ocurrió. Si bien la respuesta inmediata requiere mucho uso de tecnología, con programas que ayudan a reparar daños y a regresar a operaciones normales, el análisis de diagnóstico requiere empleados capacitados para asesorar con precisión el incidente y la respuesta. Esto incluye registrar la hora, fecha, ubicación y el alcance del ataque, así como determinar la fuente aproximada del incidente, como por ejemplo, si fue un ataque interno o externo.

Las fases cuarta y quinta de un Plan, recuperación y seguimiento, trabajan juntas para garantizar que una empresa quede en una posición favorable luego de que se haya atendido una ciberamenaza. El proceso de recuperación es un análisis del incidente con la intención de comprender mejor cómo ocurrió el ataque, así como los pasos que se deben tomar para evitar que vuelva a ocurrir. Busca descubrir puntos débiles que puedan derivar en futuras complicaciones y corregir vulnerabilidades existentes. La fase de seguimiento se centra en la respuesta a largo plazo a un ciberataque. A menudo incluye un informe de respuesta a incidentes que detalla el ataque cibernético y sus efectos relacionados, así como recomendaciones para controles de mantenimiento periódicos para examinar cualquier vulnerabilidad.