Si la ciberresiliencia es un deporte de equipo, aquí tiene lo que necesita en su banco

«Todo el mundo tiene un plan hasta que se ponen cara a cara», explica el boxeador Mike Tyson. 

Ese podría ser el mantra para los CISO y sus equipos de seguridad, que pueden hacer todo lo posible de preparación antes de los posibles incidentes de seguridad, solo para lanzar el manual de estrategias cuando la realidad llegue al fan. No importa cuánta preparación se haya hecho, un incidente de seguridad tiene una manera de llevar al límite los procedimientos, las tecnologías y las personas de una organización. 

No estamos argumentando que un manual de estrategias no sea importante para la recuperación (en gran medida lo es), pero tener una base resiliente es la verdadera clave. Eso incluye tener un equipo bien formado y preparado, armado con las herramientas adecuadas para entrar en acción en el calor del momento. Cuando tiene órdenes de marcha claras, un plan de recuperación totalmente priorizado y una línea de visión para los equipos de recuperación y datos resilientes, es menos probable que esté luchando. 

Lea el informe: Para lograr la ciberresiliencia es necesario trabajar en equipo

Necesita un equipo dinámico 

La ciberseguridad es un deporte de equipo que requiere conocimientos, coordinación y preparación multidisciplinaria. El mayor comodín para cualquier organización que responda a un incidente es la gente. ¿Conocen sus funciones? ¿Están preparados para intervenir y desempeñarse? 

«En el calor de la batalla, aparecen diferentes personalidades y las cosas que ensaya tienden a ponerse a prueba», afirma uno de los directores de seguridad de la información en el reciente debate de Pure Storage. Por ello, es esencial tener un equipo de respuesta a emergencias bien preparado y preparado, preparado para actuar cuando el tiempo es esencial. Esto puede incluir:

• Expertos forenses digitales. Este grupo reunirá y analizará pruebas de las máquinas afectadas, así como registros de seguridad y otras herramientas, siguiendo procedimientos detallados para mantener la integridad de sus hallazgos y garantizar su idoneidad como prueba. Esto incluye la reconstrucción de los eventos que han provocado que un evento utilice datos de registro de seguridad, la recuperación de los datos perdidos de dispositivos físicos y virtuales, la recogida y el análisis de pruebas de incidentes, la garantía de una cadena de custodia demostrada de las pruebas digitales, la coordinación y colaboración con las fuerzas del orden y la prestación de testimonio en procedimientos legales.
• Asesor jurídico. Las águilas jurídicas le ayudan a entender las obligaciones, los posibles conflictos y las responsabilidades asociadas a un evento. Pueden asesorarle sobre cómo comunicarse con las fuerzas del orden, los organismos de investigación y las partes interesadas. También pueden proporcionar información valiosa al redactar políticas y procedimientos. 
• Seguridad de la información (InfoSec). InfoSec es un subconjunto de ciberseguridad específicamente relacionado con la seguridad de los datos. El equipo de InfoSec coordina la investigación, la evaluación, el seguimiento, la resolución y la notificación de los incidentes críticos de seguridad. También serán las personas que promulguen el protocolo de vulneración de la seguridad y determinen si es necesario informar de un incidente de seguridad.
• Tecnología de la información. No es de extrañar que el equipo de TI participe activamente en todas las fases de la respuesta a una emergencia. Esto incluye la asignación de todos los activos y terminales de TI y de red, la identificación y evaluación de los incidentes, las medidas de contención para minimizar los daños, la erradicación o la eliminación de la amenaza, la restauración de los sistemas a su estado anterior y el análisis posterior al evento para mejorar la seguridad futura y los esfuerzos de respuesta a los incidentes.
• Relaciones con los medios y comunicaciones corporativas. Una organización debe ser capaz de comunicar una cuenta coherente y precisa durante y después del evento de seguridad. Un punto de contacto predeterminado puede controlar y coordinar la comunicación —incluidas las comunicaciones internas— y gestionar la comunicación con los medios de comunicación, las entidades comerciales afiliadas y las partes interesadas externas. 
• Relaciones con los inversores. Designar a una sola persona o equipo para que se comunique con socios e inversores valiosos en caso de un incidente de seguridad ayuda a garantizar que recibirán comunicaciones ordenadas y que pueden evaluar los impactos financieros del incidente.
• Gestor de incidentes. El gestor de incidentes ocupa un puesto en la parte superior de la jerarquía de ERT. Su trabajo es coordinar todas las acciones del ERT, asegurarse de que cada miembro del equipo lleve a cabo sus acciones, resumir los hallazgos, escalar los problemas a la dirección superior y, cuando sea necesario, asignar funciones ad hoc.
• Otros miembros importantes del equipo. Según sea necesario, el equipo puede incluir a proveedores de seguros cibernéticos y a organizaciones de aplicación de la ley locales o nacionales.

La tecnología que necesita

Después de una vulneración o un ataque de seguridad, los recursos informáticos podrían cerrarse y cualquier recurso comprometido podría ser confiscado, puesto en cuarentena o necesario para su uso por los investigadores. Un entorno de recuperación por etapas, configurado y probado con antelación, proporciona un entorno de TI seguro y limpio para ayudar a que los sistemas críticos vuelvan a estar en línea lo antes posible. 

• Instantáneas inmutables. Las copias instantáneas inmutables, apodadas «bolsas de aire para el almacenamiento de datos», protegen los datos de las modificaciones y los borrados no autorizados basados en las políticas de conservación de datos existentes. Después de la intrusión y el reconocimiento iniciales, el ransomware intentará ejecutar, cifrar y/o filtrar los datos. Sin las copias instantáneas, y si un ataque de ransomware cifra los datos o los metadatos de las copias de seguridad, sus posibilidades de recuperación de los datos son escasas, lo que le hace vulnerable a las demandas de rescate. 
• Un acuerdo de nivel de servicio de ciberrecuperación que envía cabinas limpias para la recuperación. 
• Arquitectura de resiliencia escalonada con “bunkers” de datos. Las arquitecturas de copia de seguridad por niveles se basan en la resiliencia. Garantizan que los datos están en la mejor ubicación para la recuperación en todo momento, lo que le acerca a alcanzar los objetivos de tiempo de recuperación (RTO) de cero. Las copias instantáneas por niveles las aíslan, lo que garantiza aún más su disponibilidad en caso de desastre.

Manténgase resiliente a los eventos con la plataforma de Pure Storage

¿Y si su plataforma de almacenamiento de datos pudiera hacer que los “eventos mayores” fueran más parecidos a los “eventos tolerables”? Si bien una cabina de Pure Storage no puede prevenir un ataque, puede darle la capacidad de sobrevivir a una y recuperarse rápidamente. Así es como.

Las copias instantáneas SafeMode™ de Pure Storage® son las únicas copias instantáneas del sector con esta ventaja. Las copias instantáneas SafeMode son lo que llamo “superinmutable+. Al igual que las copias instantáneas tradicionales e inmutables, una vez que se almacenan, los datos contenidos en ellos no pueden modificarse, editarse o sobrescribirse. Sin embargo, las copias instantáneas SafeMode de Pure Storage tienen una gran ventaja: Tampoco pueden eliminarse —ni siquiera por un usuario o proceso con privilegios administrativos en la cabina de Pure Storage—. 

Para los suscriptores de Evergreen//One™, nuestra suscripción al almacenamiento como servicio de nivel empresarial, el SLA de Ciberrecuperación y Resiliencia ofrece un servicio complementario único para mitigar el riesgo, garantizando:   

• Envío al siguiente día laborable de cabina(s) de recuperación limpia* 
• 48 horas para finalizar un plan de recuperación
• Tasa de transferencia de datos de 8 TiB/hora
• Paquete de servicios, que incluye un equipo de ingeniería de servicios técnicos para finalizar el plan de recuperación y un ingeniero de servicios profesionales in situ desde el momento de la llegada de la cabina hasta la sustitución de la infraestructura de servicio afectada.
• Informes trimestrales de ciberresiliencia, preparados por Pure Storage y revisados con usted directamente 
• Servicios de corrección proporcionados por los arquitectos de seguridad de Pure Storage si desea abordar las vulnerabilidades identificadas en el informe.

La ciberresiliencia empieza con una seguridad de los datos sólida y una colaboración entre equipos. Descargue el nuevo informe de Pure Storage y 451 Research sobre cómo mejorar las relaciones entre las operaciones de TI y los grupos de seguridad. 

*Calendario de envío: El siguiente día laborable envía las cabinas a Norteamérica y EMEA. Tres días hábiles a Asia y Australia/Nueva Zelanda. El envío rápido puede estar disponible en función de la región.