El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha publicado una guía destinada a ayudar a los directores ejecutivos de los sectores público y privado a comprender cuál es la mejor manera de gestionar y responder a un incidente de seguridad cibernética. Las pautas, que han sido diseñadas para complementar su paquete de soporte existente Board Toolkit, están destinadas a servir como una guía no técnica para ayudar a los líderes empresariales a navegar por los diversos cursos de acción que deberán tomar mientras sus equipos de seguridad y TI están trabajando duro. trabajar. «Si su organización es víctima de un ciberataque importante, las consecuencias inmediatas serán desafiantes», dijo el NCSC. “Es posible que encuentres que hay mucha información en algunas áreas y ninguna en otras. Habrá que tomar decisiones difíciles basadas en riesgos para proteger sus operaciones. Su objetivo será limitar el impacto en su negocio, clientes y personal en las semanas y meses siguientes”. Dado que la respuesta a incidentes abarca mucho más que solo seguridad, ya que reúne prácticas de continuidad del negocio, comunicaciones internas y externas y equipos potencialmente financieros y legales, es cada vez más importante que las organizaciones cuenten con una gobernanza proporcionada y efectiva, dijo el NCSC. Por lo tanto, el primer paso debería ser nombrar un oficial superior responsable (SRO) dedicado o implementar una estructura de comando de gobernanza más amplia; muchos optan por adaptar la conocida estructura de comando de tres niveles bronce, plata y oro utilizada en la emergencia del Reino Unido. servicios. Los directores ejecutivos también deben supervisar la implementación de estructuras para ayudar a sus equipos a tomar decisiones efectivas, teniendo en cuenta el impacto total del incidente en todas las partes de la organización, facilitando la colaboración entre quienes gestionan la respuesta y empoderando mejor a los tomadores de decisiones de alto nivel al hacerlo más claro. cómo y por qué los aspectos más técnicos de un incidente cibernético les afectarán en la práctica. Finalmente, no deben tener miedo de permitir una respuesta sólida a las diversas demandas de un incidente, abarcando aspectos como las comunicaciones con la junta directiva, los clientes o usuarios, los medios de comunicación y otras partes interesadas como los reguladores y las compañías de seguros. El apoyo externo es imprescindible También es imprescindible poder recurrir rápidamente a recursos externos para obtener orientación y apoyo durante un incidente cibernético, por lo que estas estructuras deben implementarse mientras el sol aún brilla. Los directores ejecutivos deberían rodear a sus equipos de experiencia cibernética de terceros; Las personas que son capaces de dar un paso atrás y pensar objetivamente en las cosas pueden mejorar drásticamente la calidad de la toma de decisiones durante las horas y días más oscuros de un incidente, y ayudar a las víctimas a gestionar mejor las consideraciones legales, técnicas, operativas y de comunicación. El propio NCSC recomienda y garantiza que se puede recurrir a varias empresas de respuesta a incidentes cibernéticos, pero la guía también señala que los proveedores de seguros cibernéticos pueden desear desplegar sus propios servicios de respuesta a incidentes internos o preferidos, por lo que deben mantenerse informados. Demandas de ransomware En los ataques de ransomware, los líderes empresariales también deberán considerar los riesgos de realizar un pago para recuperar sus datos y sistemas. Los ciberdelincuentes suelen fijar plazos ajustados, actuar agresivamente y mentir para extraer dinero de sus víctimas, por lo que es importante estar preparado para hacer frente a sus tácticas. Actualmente no existe ninguna disposición legal que impida que una organización del sector privado en el Reino Unido pague un rescate (aunque aumenta la presión para que esto cambie), pero el NCSC ni las autoridades del Reino Unido alientan, respaldan o toleran el pago de las demandas de rescate. No hay garantía de que los ciberdelincuentes actúen en su interés una vez que hayan pagado, y se ha demostrado que pagar demandas exorbitantes aumenta las probabilidades de que le vuelvan a atacar. Los directores ejecutivos de salud mental también deben asegurarse de dar alta prioridad a la moral y el bienestar de sus empleados durante un ciberataque; el estrés y la incertidumbre en esos momentos pueden ser enormemente perjudiciales para la respuesta a un incidente. El NCSC advierte que esto tendrá que ser un proceso continuo: más allá de una ráfaga inicial de actividad, los incidentes cibernéticos a menudo tienen una cola muy, muy larga, con impactos que duran meses (incluso años) si los reguladores se involucran. Los equipos deberán tomar decisiones importantes a lo largo de estos procesos, por lo que las buenas prácticas de bienestar son esenciales para ayudarlos en esto y también pueden ayudar a retener al personal a largo plazo. Más allá de la resolución Una vez superada la fase del “pollo sin cabeza” de un ciberataque, las organizaciones víctimas a menudo enfrentarán preguntas pendientes (muchas de ellas muy desalentadoras) sobre los riesgos para los datos de los clientes y del personal, por lo que es vital que el impacto de cualquier violación de este tipo se analice adecuadamente. comunicados, tanto a los afectados como a las autoridades, personal de respuesta a incidentes, aseguradoras, reguladores, etc. Como siempre, la Oficina del Comisionado de Información ofrece una orientación más amplia al respecto, que cubre aspectos como el marco de presentación de informes de 72 horas para infracciones notificables. Al mismo tiempo, unas relaciones públicas externas eficaces y transparentes tranquilizarán a ambos empleados y ayudarán a proteger la reputación más amplia de la organización. Dichos mensajes deben ser objetivos y claros, y procurar nunca tergiversar o restar importancia al incidente; hacerlo puede crear dificultades y dañar la confianza en el futuro. Estos planes de comunicación, y qué detalles se dan a quién, son cosas que deben resolverse con anticipación. Por supuesto, la estrategia de transparencia total puede no ser para todos, pero el ejemplo de la Biblioteca Británica, que a principios de marzo de 2024 publicó un informe en profundidad que expuso su experiencia con un ataque de ransomware, establece un estándar de oro para las buenas prácticas en comunicaciones de incidentes. Finalmente, dijo el NCSC, los directores ejecutivos deberían esforzarse en revisar las lecciones aprendidas de un incidente, realizando sesiones informativas con los involucrados, preguntando qué salió bien, qué salió mal y qué se podría haber hecho de manera diferente o mejor. Para que este enfoque sea eficaz, es necesario que exista un deseo genuino de aprender de la experiencia y comprender lo que condujo a ella, por lo que estas revisiones deben ser de naturaleza sistémica y, lo que es más importante, no identificar una causa raíz ni culpar a una persona. . El objetivo de este paso no es castigar, sino prevenir y preparar, por lo que todos los involucrados deben comprender los diversos factores relacionados con el incidente y cómo se relacionan entre sí.

Source link