La efectividad de los planes de respuesta a violaciones de datos depende de la preparación humana
Expertos dicen que ningún plan de respuesta a violaciones de datos está completo sin considerar ciertos factores humanos.
San Francisco – Una violación de datos puede ser una experiencia insoportable para cualquier empresa, pero un grupo de expertos de investigación de brechas estuvo de acuerdo en que el dolor puede ser disminuido si una organización tiene previstos los elementos de respuesta a las brechas con foco en las personas.
En un evento de Verizon que se celebró en conjunto con la Conferencia RSA 2015 y el lanzamiento del reporte de investigación de brechas de datos (DBIR) 2015 de Verizon, expertos recomendaron fuertemente a las organizaciones construir planes de respuesta de violación de datos y garantizar que los actores clave estén listos para responder de manera efectiva.
Emily Mossburg, líder de la Práctica Resilient Ciber Risk Services con Deloitte & Touche, dijo que es muy importante estar preparados para una violación, especialmente cuando se trata de decisiones de personal. Los planificadores deben asegurarse de que las personas adecuadas están en su lugar y que conocen sus funciones y responsabilidades durante el incidente, las condiciones en que se escalará un incidente, quién toma la decisión, y la forma en que se hará.
"Va más allá de una investigación técnica", dijo Mossburg. "Se trata de tener un personal que sabe que esto es un asunto de negocios, sabiendo cómo asegurarse de que las partes interesadas son parte de la conversación y prepararlos de antemano por lo que esto podría significar."
Paul Nikhinson, gerente de servicios de respuesta a violaciones de la en la agencia de seguros Beazley plc, con sede en Londres, dio un paso más. Él no sólo abogó por ejercicios de simulación para el equipo de respuesta a incidentes de una empresa, sino también por hacer esos escenarios tan oportunos y complejos como sea posible con el fin de modelar mejor la clase de decisiones que sean necesarias.
Parte del elemento de recursos humanos, dijo Sherry Ryan, vicepresidente y director de seguridad de la información de Juniper Networks Inc., debe incluir el apoyo de terceros, lo que requiere la elección de un proveedor de servicios forenses de antemano y de invertir tiempo en el establecimiento de una relación de trabajo.
"Usted no quiere llamar a alguien que no conoce en medio de una crisis", dijo Ryan. "Averigüe quién es ese socio de antemano e inclúyalo en los ejercicios de práctica."
Scott Swantner, agente del servicio secreto de los Estados Unidos, con sede en San Francisco, hizo eco de la necesidad de acercarse a la policía, incluyendo a su agencia y el FBI, antes de un incidente, y dijo que "muchas más" empresas han estado haciendo precisamente eso recientemente.
"Cuando se establece esa relación antes de tiempo, es mucho más fácil cuando la policía se involucra para obtener la respuesta que necesita", dijo Swantner. "Usted no quiere que la primera llamada en el medio de la noche sea cuando los agentes están llegando a mirar a sus servidores, porque simplemente no va a ser un gran día."
El error humano contribuye a las equivocaciones en la respuesta a las brechas
Los panelistas dijeron que algunos de los errores más comunes que ven en la gestión de la respuesta a la violación de datos implican un error humano motivado por el miedo, la falta de experiencia y la incertidumbre.
Por ejemplo, Bryan Sartin –director del equipo de Investigación, Pesquisas, Soluciones y Conocimiento, que se ocupa de los servicios forenses y de respuesta y la violación de datos en Verizon– dijo que los fallos más comunes que su equipo ve implican una incapacidad para mantener la integridad de escenas de posibles delitos, cubriendo inadvertidamente las huellas de los ladrones.
"Probablemente un problema aún más grande que eso es el 'CYA' que las víctimas juegan, tratando de ocultar el hecho de que hicieron cosas que no se supone que deben hacer una vez que se enteraron del incidente", dijo Sartin. "Y eso es todo lo que ocurre desde que se dan cuenta de que tenían un problema hasta que aparecen los investigadores para hacer lo que mejor saben hacer."
Además, Sartin dijo, las principales partes interesadas a menudo subestiman la complejo y abrumador que puede ser gestionar a todas las personas auxiliares y grupos que deben desempeñar un papel en la mitigación de un grave incidente de incumplimiento, incluyendo abogados internos y externos, investigadores internos y externos, las fuerzas del orden , los reguladores, las aseguradoras y muchos otros.
Mossberg dijo que el plan de respuesta de violación de datos debe detallar las funciones de todos los grupos. Esto incluye no sólo la forma en que se manejan las cuestiones relacionadas con el incidente, sino también qué las tareas se le asignarán a las personas en relación con la continuidad del negocio durante la investigación y cómo continuar los procesos de negocio o realizar cambios sobre la marcha para conseguir que la organización vuelva a operar después del incidente.
Brechas anteriores ponen a los líderes de seguridad bajo la lupa
Varios panelistas señalaron cómo las numerosas y recientes violaciones de seguridad de alto perfil han conferido a los gerentes de seguridad de la información empresarial más influencia con los ejecutivos de nivel C en términos de apoyo y financiación. Sin embargo, Mossburg señaló que el cambio significa más presión para los CISO.
"Durante años hemos estado llamando a la puerta de la dirección ejecutiva diciendo: ‘Este es el presupuesto que necesitamos, estamos aquí, es por eso que es importante'", dijo Mossburg. "Ahora se ha abierto la puerta, y nos han integrado a los cuellos blancos, y estamos de pie delante de ellos. Hay mucha más atención."
Ella dijo que los equipos ejecutivos esperan cada vez más que sus líderes de seguridad sean capaces de explicar cómo iban a responder a los últimos titulares de incidentes. Sin embargo, ese tipo de interacción pone el equipo de seguridad en modo reactivo. En cambio, ella aconseja a los CISO que mejor busquen conversaciones de manera más proactiva.
"La mayoría de las organizaciones están viendo más presupuesto [de seguridad] que nunca, pero también más presión y mayores expectativas sobre lo que el oficial de seguridad de la información puede y debe hacer", dijo Mossburg. "Conduzca esas conversaciones alrededor de las cosas más importantes para nosotros, al igual que la estrategia de seguridad cibernética, sus principios básicos, en qué hace hincapié el programa, y cómo está evolucionando."