Con los ciberdelincuentes dirigidos con éxito a organizaciones de todos los tamaños en todos los sectores de la industria, las organizaciones deben estar preparadas para responder a la inevitable violación de datos.
Una respuesta debe guiarse por un plan de respuesta que tenga como objetivo gestionar un incidente de ciberseguridad de manera que se limite el daño, aumente la confianza de las partes interesadas externas y reduzca el tiempo y los costos de recuperación.
Hemos encontrado en nuestro trabajo con grandes organizaciones globales que muchas empresas tienen planes de respuesta, pero no realmente los ponen en práctica. A menudo, la documentación que prescribe cómo actuar en caso de violación está desactualizada, inaccesible para los principales responsables de la toma de decisiones, genérica, poco útil para orientar actividades específicas, o alguna combinación de lo anterior.
En muchos casos, especialmente en organizaciones globales, los planes de respuesta no se integran entre las unidades de negocio. El desarrollo de planes individuales en silos inhibe el intercambio de información crítica y mejores prácticas y da lugar a una falta de coordinación durante los grandes esfuerzos de respuesta.
Y demasiados planes están inactivos. Las organizaciones que son muy conscientes de la práctica de simulacros de incendio no ensayan los pasos que tomarían en caso de una violación de datos.
Aquí hay 10 principios para guiar a las empresas en la creación y aplicación de planes de respuesta a incidentes:
- Asignar a un ejecutivo para que asuma la responsabilidad del plan y para integrar los esfuerzos de respuesta a incidentes en todas las unidades de negocio y geografías.
- Desarrollar una taxonomía de riesgos, amenazas y posibles modos de falla. Actualizarlos continuamente sobre la base de los cambios en el entorno de amenazas.
- Desarrolle guías de respuesta rápida de fácil acceso para escenarios probables.
- Establecer procesos para tomar decisiones importantes, como cuándo aislar áreas comprometidas de la red.
- Mantener relaciones con las principales partes interesadas externas, como la aplicación de la ley.
- Mantener acuerdos de nivel de servicio y relaciones con proveedores y expertos externos de solución de breach-remediation.
- Asegúrese de que la documentación de los planes de respuesta esté disponible para toda la organización y se actualice periódicamente.
- Asegúrese de que todos los miembros del personal entiendan sus funciones y responsabilidades en caso de un incidente cibernético.
- Identifique a las personas que son críticas para la respuesta a incidentes y garantice la redundancia.
- Entrena, practica y ejecuta brechas simuladas para desarrollar respuesta «memoria muscular». Las organizaciones mejor preparadas llevan a cabo de forma rutinaria juegos de guerra para poner a prueba sus planes, aumentando la conciencia de los gerentes y ajustando sus capacidades de respuesta.
Un plan eficaz de respuesta a incidentes depende en última instancia del patrocinio ejecutivo. Dado el impacto de las recientes infracciones, esperamos que la respuesta a incidentes pase más alto en la agenda ejecutiva. Poner el desarrollo de un plan sólido en la vía rápida es imperativo para las empresas. Cuando se produce un ataque cibernético exitoso y la escala y el impacto de la brecha salga a la luz, la primera pregunta que los clientes, accionistas y reguladores harán es: «¿Qué hizo esta institución para prepararse?»
Un Centro de Insight de HBR
—
Tucker Bailey and Josh Brandley
Via HBR.org
