FireEye, Inc. (NASDAQ: FEYE), la empresa de seguridad guiada por inteligencia, dio a conocer algunas recomendaciones puntuales para prevenir brechas de seguridad en la adopción de sistemas, para de esta forma poder construir un ecosistema de defensa completo dentro de la infraestructura de una organización, bajo el entendido que actualmente las violaciones de seguridad son inevitables.
Según explicó Robert Freeman, vicepresidente para Latinoamérica de FireEye, de acuerdo con un estudio de su empresa, el 96% de las implementaciones de defensa fueron violadas en empresas de los más variados segmentos, el 27% de las infecciones correspondieron a malwares avanzados, lo que hace que las organizaciones de seguridad concentren más recursos en la construcción de sus defensas y en el desarrollo de un plan de respuesta para contrarrestar a los atacantes que ignoran estos factores.
“Ante ese panorama, nosotros recomendamos visualizar que en escenario de amenaza necesita desarrollar una estrategia detallada de respuesta a incidentes, la cual requiere tres pasos fundamentales: detección, respuesta (propia) y experiencia para la ejecución”.
Para FireEye, una vez que se define el plan de respuesta, la organización necesita tener la certeza de que posee las tecnologías de seguridad y los conocimientos adecuados para llevarlo a cabo, lo cual comprende la visión completa de los recursos de TI, las capacidades de detección precisas y el tiempo de reacción. “Estos recursos son combinados con la práctica constante del equipo de trabajo, que también debe aplicar métricas múltiples para medir el grado de funcionamiento. A partir de esta visibilidad, se realizan los ajustes para que se tenga más éxito en el próximo incidente, y en el próximo, y en el siguiente, y así hacia adelante”, agregó Freeman.
Al observar muchos casos, FireEye ha concluido que aún cuando las organizaciones tengan definido, en papel, un excelente plan de respuesta a incidentes, lamentablemente no lo aplican en la realidad. “Este plan no puede ser tan solo un manual guardado en un cajón, al contrario, es una estrategia acordada por todos la cual puede y debe evolucionar a lo largo del tiempo, así como debe ser ensayada con frecuencia y ser puesta inmediatamente en práctica al descubrir que hay un invasor en la red, con el propósito de minimizar los daños, no solo a la infraestructura sino a la marca y a los clientes”.
Para FireEye, un plan de respuesta bien ejecutado comprende seis componentes fundamentales dentro de una organización. Por eso, antes de ser puesto en práctica, estos aspectos deben ser evaluados y contemplados en el plan de respuesta:
- Gobernanza: La estructura organizacional debe estar alineada con la organización global de negocios y declarado en la misión. La política y la orientación de seguridad son claras y protegen los sistemas críticos, y debe compartirse la información entre entidades internas y externas.
- Comunicación: Mecanismos y procesos que promueven un comportamiento eficaz de informaciones entre las entidades externas.
- Visibilidad: Tecnologías y procesos que mantienen a las organizaciones conscientes de las actividades que ocurren en sus sistemas y redes, así como los métodos por los cuales el equipo de respuesta a incidentes informáticos (CIRT por sus siglas en inglés) continúa siendo consciente de la amenaza y utiliza esa comprensión para defender la infraestructura crítica.
- Inteligencia: Las capacidades de inteligencia de amenazas cibernéticas permiten una comprensión detallada del adversario, como capacidades técnicas e intensión. Informa y mejora el plan de seguridad, gestión de vulnerabilidades y respuesta de incidentes.
- Respuesta: Proceso y tecnologías que el equipo de respuesta a incidentes informáticos usa para identificar, categorizar, investigar y remediar los eventos adversos de seguridad.
- Métricas: Medidas objetivas de eficiencia de las personas, procesos y tecnología a utilizar, un sistema que puede ser fácilmente rastreado y automatizado. Estas métricas focalizadas en respuesta a incidentes están ligadas a las metas globales del negocio y seguridad. Los objetivos implican la conducción de la mejora continua.
“Este guión que proponemos establece cuáles mejoras son necesarias con base a lo que traerá mejor retorno e impactará menos la postura de seguridad de la compañía. Al final, como bien dice el CEO de FireEye, Kevin Mandia, “reconocer que las violaciones de seguridad son inevitables no significa que deba desistir de la lucha”. Esto significa que es necesario adoptar una pronta respuesta que evite futuros daños y permita la continuidad normal de los negocios”.