Diez pasos para planificar una respuesta eficaz a los ciberincidentes

Dado que los ciberdelincuentes atacan con éxito a organizaciones de todos los tamaños y todos los sectores industriales, las organizaciones deben estar preparadas para responder a la inevitable violación de datos.

La respuesta debe guiarse por un plan de respuesta que tenga como objetivo gestionar un incidente de ciberseguridad de forma que se limiten los daños, se aumente la confianza de las partes interesadas externas y se reduzcan el tiempo y los costes de recuperación.

En nuestro trabajo con grandes organizaciones globales, hemos descubierto que muchas empresas tienen planes de respuesta, pero no los ponen realmente en práctica. A menudo, la documentación que prescribe cómo actuar en caso de infracción está desactualizada, no es accesible para los principales responsables de la toma de decisiones, es genérica, no ayuda a guiar actividades específicas o alguna combinación de las anteriores.

En muchos casos, especialmente en las organizaciones globales, los planes de respuesta no están integrados en todas las unidades de negocio. Desarrollar planes individuales en silos inhibe el intercambio de información crítica y las mejores prácticas y provoca una falta de coordinación durante las grandes iniciativas de respuesta.

Y demasiados planes quedan sin efecto. Las organizaciones que son muy concienzudas a la hora de practicar simulacros de incendio no ensayan las medidas que tomarían en caso de una violación de datos.

Estos son 10 principios que guían a las empresas a la hora de crear e implementar planes de respuesta a incidentes:

1. Asigne a un ejecutivo que asuma la responsabilidad del plan y de la integración de las iniciativas de respuesta a los incidentes en todas las unidades de negocio y geografías.
2. Desarrolle una taxonomía de los riesgos, las amenazas y los posibles modos de fallo. Actualícelos continuamente en función de los cambios en el entorno de amenazas.
3. Desarrolle guías de respuesta rápida de fácil acceso para los posibles escenarios.
4. Establezca procesos para tomar decisiones importantes, como cuándo aislar las áreas comprometidas de la red.
5. Mantenga relaciones con las principales partes interesadas externas, como las fuerzas del orden.
6. Mantenga los acuerdos de nivel de servicio y las relaciones con proveedores y expertos externos en materia de remediación de infracciones.
7. Asegúrese de que la documentación de los planes de respuesta esté disponible para toda la organización y se actualice de forma periódica.
8. Asegúrese de que todos los miembros del personal entiendan sus funciones y responsabilidades en caso de un ciberincidente.
9. Identifique a las personas que son fundamentales para la respuesta a los incidentes y garantice la redundancia.
10. Entrene, practique y ejecute brechas simuladas para desarrollar la respuesta «memoria muscular». Las organizaciones mejor preparadas organizan simulacros de guerra de forma rutinaria para poner a prueba sus planes, aumentar el conocimiento de los directivos y ajustar sus capacidades de respuesta.

Un plan eficaz de respuesta a los incidentes se basa, en última instancia, en el patrocinio de los ejecutivos. Dado el impacto de las infracciones recientes, esperamos que la respuesta a los incidentes ocupe un lugar más destacado en la agenda ejecutiva. Acelerar el desarrollo de un plan sólido es imperativo para las empresas. Cuando se produce un ciberataque exitoso y salen a la luz la magnitud y el impacto de la infracción, la primera pregunta que se hacen los clientes, los accionistas y los reguladores es: «¿Qué hizo esta institución para prepararse?»

Datos bajo asedio
Un HBR Insight Center

• Cómo mantener una conversación sobre los riesgos de TI
• Repensar la seguridad para el Internet de las cosas
• El aumento del costo de la malicia del software
• La ciberseguridad depende de la educación