Todos los profesionales de la seguridad temen "La llamada telefónica". El de las 2 am donde la voz cansada de un analista de seguridad al otro lado de la línea comparte información que pronto es ahogada por los latidos de su corazón en sus oídos. Tu mente corre. Hay tantas cosas que hacer, tanta gente con quien contactar. Saltas de la cama. Por un momento, te miras en el espejo añorando el ayer, cuando tu red no había sido violada.
En nuestro mundo de respuesta a incidentes, la llamada telefónica ocurre con frecuencia. Puede que no sea a las 2 am, si tienes suerte. Y si no tiene suerte, no es un analista de seguridad, sino su agencia federal de aplicación de la ley favorita al otro lado del teléfono.
Es un momento emotivo en el que una posible crisis existencial amenaza su negocio, la reputación de su empresa y su carrera. Al igual que cuando experimentamos otras grandes pérdidas en nuestras vidas, la pérdida de su red puede dejarlo con una verdadera sensación de duelo. Puede esperar sentir las cinco etapas del duelo de la misma manera que Elisabeth Kübler-Ross las explica en su famoso libro, "Sobre la muerte y el morir". Si bien una brecha no puede compararse en gravedad con lo que experimentamos en nuestra vida personal, podemos aprender de las descripciones de Kübler-Ross de negación, ira, negociación, depresión y aceptación para manejar un evento extremadamente estresante.
En 2018, Mark Goudie de CrowdStrike escribió sobre cómo había visto estas emociones en sus clientes a lo largo de su carrera como respondedor de incidentes. Desde entonces, el mundo ha lidiado con la explosión del ransomware , los ataques a la cadena de suministro que crean un riesgo para cientos de miles de clientes y una vulnerabilidad de Java que amenaza a Internet . Aquí repasamos las reflexiones de Mark sobre el duelo por la violación de datos y las combinamos con consejos prácticos sobre cómo hacerle frente. Esta es su guía sobre qué esperar y cómo superar mejor su incidente del "consejero de duelo" de la industria de la seguridad: su empresa de respuesta a incidentes.
Negación
“No hay forma de que este problema sea tan malo como dice mi equipo de seguridad”.
La negación se establece desde el principio, cuando simplemente estás tratando de sobrevivir a lo que sucedió y, como escribe Kübler-Ross, el mundo que te rodea se vuelve "sin sentido y abrumador". Para algunos, es creer que el incidente es un falso positivo o tal vez una actividad legítima errónea. Un buen líder de seguridad impulsa a su equipo a llegar a la verdad del terreno. Superar rápidamente la negación es fundamental para ejecutar con eficacia su plan de respuesta a incidentes en tiempos de crisis. La negación desperdicia el tiempo necesario, retrasando la recuperación.
Ira
¡Quiero que los arresten!
Ahora no es el momento de presionar para que se tomen medidas contra el infractor. Esto vendrá más adelante, ya que ha recopilado toda la información posible mientras investigaba la infracción.
Estar enojado con tu equipo tampoco va a resolver el problema. Será importante evaluar la negligencia después de que el negocio esté seguro y funcione normalmente. Pero descarrilar los esfuerzos vitales para reanudar las operaciones comerciales para castigar al personal solo causará un cisma en el resto del equipo que trabaja en el tema y se reflejará negativamente en usted durante las secuelas cuando se tomen decisiones de personal.
Manténgase enfocado en su lugar. Mantener un enfoque orientado a la tarea con la información disponible. Empuje a las personas a identificar las respuestas. No los menosprecies hasta el punto de la ineficacia o no lograrás resolver el problema.
Negociación
“¿Qué se necesita para que esto desaparezca? Haré lo que sea." “Si tan solo hubiéramos hecho x, y, z.”
Sabemos que desea que su red vuelva a ser como antes. Ninguna cantidad de negociación va a cambiar la situación. ¡Pero tienes una oportunidad increíble! Documente los “si tan solo”. Esa es una gran hoja de ruta sobre lo que la organización necesita mejorar después de un incidente. Una palabra de advertencia: no se obsesione con los "si tan solo" mientras todavía está investigando activamente y recuperándose del incidente. Necesita esa energía para la actividad de respuesta, y la negociación puede convertirse en una distracción. Documente rápidamente lo que se podría hacer mejor y guárdelo para cuando tenga tiempo para una autopsia completa.
Depresión
“Vamos a cerrar el negocio”. “Nuestra reputación está arruinada”. “Esto nunca terminará…”
Una vez que se asiente la gravedad total de la situación, la tristeza puede comenzar a abrumarte. Las muchas consecuencias de una sola infracción comenzarán a desmoronarse ante usted: un impacto real en la vida y el sustento de sus clientes, temor por su propia posición y culpa por lo sucedido. Apóyate en tus colegas, mentores, compañeros y otras personas importantes para ayudarte a superar el trauma emocional de la violación de tu red. Lo superarás y te recuperarás.
Aceptación
“Esto nunca volverá a suceder”.
No confundas la aceptación con estar bien, ya que este no es el caso. Se trata de entender y vivir con el conocimiento de la situación y lo que significa. Nunca olvidará que fue violado, pero al aceptarlo, usted y su organización estarán mejor preparados para reducir la probabilidad de que vuelva a suceder. Esta es la mentalidad que necesita para lograr mejor las recomendaciones que se ofrecen en la siguiente sección.
Cómo acelerar el proceso de duelo
Como escribió Kübler-Ross, es importante experimentar estas etapas del duelo. Al conocer estas etapas y las posibles experiencias, se pueden desarrollar rápidamente mecanismos de afrontamiento para ayudarlo a usted y a su organización a través del proceso. Otros métodos, que se destacan a continuación, pueden brindarle mayor influencia para acelerar a través de las etapas.
Aproveche los proveedores de servicios de respuesta a incidentes
No es la primera organización que ha experimentado una infracción. Debido a esta desafortunada circunstancia, la industria de servicios de ciberseguridad ha florecido, con tecnología experimentada y empresas de consultoría que se ocupan de problemas similares a los que usted experimenta actualmente a diario. Utilice el conocimiento inherente en esas organizaciones para su beneficio. Pueden mostrarte cómo es la línea de meta en este maratón y la estrategia para llegar allí.
Practique su respuesta de incumplimiento
Realice ejercicios de simulación y con fuego real para permitir que sus equipos experimenten una brecha en un entorno seguro. Un ejercicio de simulación anual consolida su plan de respuesta a incidentes, expone las brechas en los procesos de respuesta y las defensas y, lo que es más importante, lo prepara mejor para responder de manera efectiva y eficiente, incluso a través de las cinco etapas del duelo.
Conozca sus requisitos de informes legales y reglamentarios
Muchas firmas legales ahora llevan a cabo una práctica de seguridad digital, con equipos familiarizados con las obligaciones legales y contractuales debido a una infracción. Discutir asociarse con una empresa antes de que ocurra la inevitable violación. Puede contratar a un bufete de abogados especializado en seguridad cibernética para que lo guíe en todo, desde preservar los privilegios durante una investigación hasta revisar las comunicaciones externas.
Lleva una Póliza de Seguro y Revísala Anualmente
Al igual que los conductores tienen seguro de automóvil, el seguro de responsabilidad cibernética puede brindar protección para los activos digitales de su empresa y mantenerlo enfocado en prácticas defendibles. Además, comprenda qué empresas de consultoría de seguridad cibernética trabajan con su compañía de seguros en particular y permita que eso lo ayude a decidir con qué proveedor de seguridad le gustaría asociarse. Esto permitirá un ecosistema cohesivo de servicios proactivos, reactivos y de recuperación que su organización puede aprovechar y beneficiarse.
Contratar una empresa de comunicación de crisis
Cuando esté en la lucha y atravesando estas etapas, puede parecer desalentador idear estrategias de comunicación para sus clientes, socios, accionistas, los medios de comunicación y los organismos reguladores. Las empresas de comunicación de crisis están ahí para ayudar exactamente con eso.
Realizar una autopsia
La investigación debería haber identificado todos los factores que contribuyeron a la raíz del incumplimiento. Se deben identificar todas las brechas dentro de su gente, procesos y tecnologías. Realice una revisión post mórtem e implemente estrategias para abordar esas brechas.
Después de implementar esos cambios, asegúrese de que sean efectivos poniéndolos a prueba, a través de Red Team o Adversary Emulation , antes de que lo haga el próximo villano. También puede evaluar su progreso a través de revisiones de seguridad proactivas, como evaluaciones de madurez de ciberseguridad y evaluaciones del centro de operaciones de seguridad .
Conclusión
Es probable que experimente las cinco etapas del duelo cuando se enfrente a un incidente grave de ciberseguridad. La forma en que reaccione influirá directamente en el éxito de su equipo al responder al incidente. Mientras recorre las etapas del duelo, recuerde cómo puede responder para lograr una recuperación más rápida: supere la negación, evite la ira, no se distraiga con las negociaciones, apóyese en los demás durante la depresión y, finalmente, use la aceptación para establecer un propósito claro en la resolución. el incumplimiento.
Comments