Las cinco etapas del duelo: afrontar una filtración de datos

Inicio » Security Boulevard (Original) » Las cinco etapas del duelo: afrontar una filtración de datos

¿Ha sido víctima de una violación de datos? No estás solo.

Como profesional de respuesta a incidentes (IR), he conocido a muchos tipos diferentes de personal corporativo, desde el personal de TI hasta la alta dirección. Desafortunadamente, probablemente fue el peor día de su vida y, en nuestro mundo, lo más probable es que se deba a phishing o ransomware. Según el Informe de investigaciones de vulneración de datos de Verizon (DBIR 2023), el costo medio por ransomware se duplicó con creces en los últimos dos años hasta alcanzar los 26 000 dólares, y el 95 % de los incidentes que experimentaron una pérdida costaron entre 1 y 2,25 millones de dólares.

Muchos agentes del orden experimentados comparten el mismo sentimiento, especialmente aquellos que trabajan en delitos graves. Al igual que estos socorristas, estamos entrando en una escena de crimen activa. Las emociones están altas, los involucrados están estresados ​​y les está costando entender lo que sucedió, por qué y, lo que es más importante, cómo reanudar las operaciones.

Si bien los clientes son las principales víctimas de los incidentes de seguridad, seguidos por las empresas, los equipos de seguridad de la información en primera línea también son víctimas. Los sentimientos de derrota, pérdida, falta de supervisión y saber que, como resultado, podrían quedar desempleados son duras realidades que enfrentan los equipos, especialmente cuando las decisiones presupuestarias se tomaron sin su participación o si la empresa no contaba con un plan de continuidad del negocio. A menudo, las víctimas pasarán por las mismas cinco etapas de duelo que experimentan las víctimas de otros delitos.

Las cinco etapas del duelo (negación, ira, negociación, depresión y aceptación) fueron desarrolladas por Elisabeth Kübler-Ross en un libro que publicó titulado Sobre la muerte y el morir. El modelo se utilizó para describir a personas con enfermedades terminales que se enfrentaban a la muerte, pero se adaptó rápidamente como una forma de pensar sobre el duelo en general. Después de haber guiado a muchos clientes a través de eventos de violación de datos hasta su solución, hemos visto el modelo de las “cinco etapas del duelo” en acción.

Al observar este modelo con una lente de seguridad de la información, hemos descrito las cinco etapas del duelo en respuesta a incidentes y cómo superarlas para obtener un mejor resultado.

"Es imposible que esto nos haya pasado a nosotros".

"Realmente no puedo creer esto".

Estos son solo algunos fragmentos que hemos escuchado expresar a los clientes de respuesta a incidentes (IR) en las primeras etapas después de una infracción. Si bien es importante reconocer esta desagradable verdad y simpatizar con la situación actual, no hay tiempo que perder. Necesitas actuar rápido.

Sepa que el actor de la amenaza está vivo y coleando; Ahora es el momento de seguir adelante.

“¿Cómo pudiste permitir que esto sucediera?”

En esta etapa, la realidad se impone y la gente puede enfadarse. Puede haber ira hacia la dirección por la falta de compras adecuadas en los últimos años debido a los presupuestos, o ira hacia terceros por la mala gestión de la información de las empresas, es decir, acusaciones.

La realidad: Esta etapa es altamente improductiva y la más inútil de todo el proceso. No sólo el negocio ya está interrumpido, sino que el problema podría verse agravado por el esfuerzo de alguien por buscar represalias.

En este escenario, es imperativo respirar profundamente, reducir el ritmo y concentrarse. No querrás que alguien con las llaves del reino salga por la puerta.

En esta etapa, debes recordarles a todos que estás aquí para hacer un trabajo juntos. Vuelva a centrar la conversación en superar el enojo lo más rápido posible.

La negociación puede adoptar dos formas diferentes. Por un lado, el personal puede negociar internamente pensando: "Tal vez si descargo este software antivirus, solucionará todos mis problemas".

Agitar una varita mágica no solucionará todos sus problemas. Por ejemplo, si es víctima de ransomware, los actores de la amenaza ya han irrumpido. De hecho, han estado dentro de su red durante al menos 24 horas; en algunos casos, meses, si no años. El lanzamiento de ransomware es una de las últimas etapas de una filtración de datos; Simplemente estaban planeando su ataque y decidieron detonar cuando menos lo esperabas.

Por otro lado, negociar con malos actores para que su negocio vuelva a estar en línea es la otra cara de la moneda. La negociación en relación con el ransomware es la razón por la que existen ecosistemas enteros en torno a proveedores de seguros, coordinadores de infracciones y negociadores de ransomware para ayudar a la empresa a intentar restaurar los servicios o encontrar vías viables para volver a su lugar y volver al negocio.

Si su organización es víctima de ransomware, no podemos enfatizar lo suficiente la importancia de asociarse con un equipo de profesionales expertos para ayudarlo a erradicar, restaurar y recuperar cualquier dato robado, eliminado o cifrado. Lo último que desea es que el actor de la amenaza profundice más de lo que ya ha hecho, lo que podría provocar que usted pague un rescate más alto y represente un mayor riesgo para su organización.

"Ojalá hubiéramos manejado las cosas de otra manera".

"Lamento que esto haya sucedido durante nuestra guardia".

La depresión suele aparecer entre las horas 48 y 72. Aquí es cuando queda claro que el personal de TI será el más afectado por la tormenta, especialmente si la organización nunca preparó un plan adecuado de continuidad del negocio y recuperación ante desastres.

En esta etapa, el personal puede cansarse emocional y mentalmente. La productividad disminuye y surgen las dudas. Además, las personas necesitan dormir y comer con regularidad, lo cual es necesario tener en cuenta.

La realidad: superarás esto. En lugar de permanecer en la etapa de depresión, concéntrese en abordar la lista de prioridades para que el negocio vuelva a estar en línea.

Al igual que la etapa de ira, esta etapa puede ser muy improductiva y/o la menos productiva. El camino hacia la remediación puede ser largo, pero hay luz al final del túnel. Sólo necesitas seguir avanzando para verlo.

A su debido tiempo, superarán la etapa de depresión y llegarán a la fase final: la aceptación.

“Tenemos un largo camino por delante. ¿Cómo vamos a abordar esto?”

“¿Cómo podemos evitar que esto vuelva a suceder?”

La mayoría de las empresas afectadas, si no todas, finalmente alcanzan la aceptación y las operaciones comerciales finalmente se reanudan. Salir de la etapa de depresión hacia la aceptación puede ser un gran hito para las organizaciones.

Cuanto más rápido acepte el problema en cuestión, más rápido su organización podrá encontrar soluciones y volver a trabajar.

Las filtraciones de datos se han convertido en eventos comunes que afectan a las organizaciones de diversas maneras. Pueden causar graves tensiones en los ingresos debido al daño a la productividad, la pérdida de negocios durante el tiempo de inactividad, los honorarios de abogados y los costos de remediación.

Esas repercusiones podrían ser aún peores si su empresa alimenta infraestructura crítica. Los servicios públicos que son una necesidad básica para la supervivencia humana, como la electricidad, el agua y la energía, podrían verse comprometidos y la población en general podría verse afectada negativamente.

El informe sobre el costo de una filtración de datos de IBM reveló que el costo total promedio de una filtración de datos aumentó casi un 10 % a 4,24 millones de dólares, el más alto jamás registrado. Los costos fueron aún mayores cuando se supuso que el trabajo remoto fue un factor que provocó la infracción, aumentando a 4,96 millones de dólares.

1. Realice un ejercicio teórico.

No hay nada que pueda preparar mejor a tu equipo para un ataque de la vida real que un evento simulado. Estos escenarios simulados de incidentes de seguridad física y ciberseguridad del mundo real educan a los líderes y al personal sobre la detección de violaciones y prueban el plan de preparación y respuesta de su organización.

2. Trazar un plan de recuperación y continuidad del negocio y mantener accesible una copia de seguridad.

Un plan funcional de continuidad del negocio y recuperación ante desastres es fundamental para organizaciones de todos los tamaños. Tener un plan listo para ejecutar en caso de una infracción le permitirá dedicar menos tiempo a preocuparse y más tiempo a volver a la normalidad. Este plan puede incluso integrarse directamente en el diseño de su proceso de respaldo para que, en caso de que no pueda ejecutarlo, un colega de su equipo pueda administrar el almacenamiento de datos y realizar el respaldo de la manera correcta.

3. Invierta en una prueba de penetración.

Utilizando diversas herramientas y técnicas, los probadores de penetración examinan los sistemas externos y accesibles a Internet y los sistemas accesibles internamente en busca de parches, configuración de sistemas y servicios y vulnerabilidades de autenticación. A través de una prueba de penetración, su organización puede recopilar información para comprender dónde se encuentran las amenazas y ofrecer una hoja de ruta de remediación con recomendaciones estratégicas para ayudar a resolver problemas sistémicos en el futuro. Este método también mide la eficacia de sus soluciones y la calidad de la visibilidad de seguridad de su SOC.